中國網絡空間安全協會發布《個人信息的內生安全機制及其實現》研究報告

個人信息的內生安全機制如何構建？如何有效推進其實現并發揮作用？ 《個人信息的內生安全機制及其實現》研究報告對此進行了闡釋說明。

7月19日，以“強化數據安全保障體系，推進數字文明新發展”為主題的2023年中國網絡文明大會數據安全與個人信息保護論壇在福建廈門舉行，會上發布了《個人信息的內生安全機制及其實現》研究報告（以下簡稱《報告》）。

該《報告》由中國網絡空間安全協會組織編撰并發布，內容系統梳理了《中華人民共和國個人信息保護法》實施以來我國個人信息治理取得的成果，針對當前現行個人信息治理存在的問題，提出通過建立健全個人信息的內生安全機制，探索建立一條契合產業發展規律、平衡安全與發展、提升個人信息治理效果的路徑。

《報告》提出《個人信息保護法》實施以來，履行個人信息保護職責的部門開展了多種形式的個人信息專項執法行動，中國網絡空間安全協會也在積極推進行業自律，組織會員單位簽署《中國網絡空間安全協會個人信息保護自律公約》。經過多方共同努力，個人信息治理取得階段性成果，廣大網民關注的超范圍收集、強制索權、一攬子授權和個人信息泄露問題情況有所改善。

然而隨著治理工作的深入推進，個人信息治理也進入了深水區，部分企業只是簡單地執行監管指令或者整改要求，并未從產品設計層面全面、系統落實個人信息保護法的各項要求，甚至采取“熱更新”“加殼”“加密”等方式逃避監管。

針對上述問題，《報告》提出應當在提升監管技術手段的同時，通過執法威懾督促個人信息處理者完善內部治理機制，具體而言：一方面，要堅持“個人信息合規不僅是技術判斷，更重要的是價值判斷”的原則，充分發揮個人信息處理者法務部門（合規部門）的作用，推進落實合規評估和風險評估；另一方面，個人信息處理者業務部門實施要通過設計和默認設置保護隱私（個人信息安全“三同步”要求），在產品設計、開發階段要考慮個人保護的要求，采取匿名化、去標識化等技術措施，和權限控制、訪問控制等管理措施有效保護個人信息。

《報告》認為，個人信息的內生安全機制契合產業邏輯、技術邏輯、個人信息本質特征，其實施有利于提升個人信息保護合規效果，降低個人信息保護執法成本，有效保障個人合法權益。