企業如何合規落地《個人信息保護法》

8月21日《個人信息保護法》正式公布。從2020年10月初次提出審議到2021年8月完成第三次審議，有關部門在短時間內的大力推進，充分顯示了國家對這部法律的高度重視。

焦慮的社會現狀

隨著數字化建設的高速發展，大數據已經不知不覺滲透了我們生活的方方面面。出門上班，導航給你規劃到單位的時間、距離、最佳路線；日常吃飯，軟件給你推送附近熱門好店和優質外賣；新聞頭條，都是你關心的話題；購物平臺，首頁都是你喜歡的品類；視頻娛樂，主視覺窗口都是你最感興趣的推薦；出入商家門店、待售樓盤、寫字樓甚至自家小區，都廣泛開始安裝攝像頭進行人臉捕捉識別……大數據似乎“比我們自己更懂自己”。所以，我們每天都在不同場景不同環境，留下自己的足跡、觀點、行為、情感，自覺或不自覺、自愿或不自愿地產生著大數據，我們被大數據所環繞、籠罩和支配。

但是我們在享受大數據給我們帶來的便利的同時，也隨時面臨著大量個人數據即個人信息被無情泄漏的風險。回顧今年“3·15”晚會曝光的九大消費黑幕，個人隱私保護成為最大亮點。商家人臉識別、簡歷大數據、專坑老年人的手機“清理”軟件、搜索引擎及瀏覽器虛假醫藥廣告等一系列曝光，以及眾多知名品牌被點名曝光，令大家瞠目結舌。“隱私安全”首次成了央視3·15的焦點話題。

“當前，社會各方面對于用戶畫像、算法推薦等新技術新應用高度關注，對相關產品和服務中存在的信息騷擾、‘大數據殺熟’等問題反映強烈。”全國人大常委會法工委發言人臧鐵偉表示。

由此可見，個人信息安全問題，已經從機構自身上升到涉及數據主體權益、社會發展與穩定、國家安全層面。個人信息的保護，已經成為全民關心的數據安全問題。

個保法綱領及要點概述

《個人信息保護法》 (以下簡稱“個保法”) 總體大綱如下：

個保法明確規定了個人信息處理者的義務，以及加強了履行個人信息保護職責部門的義務。主要概括如下：

第五十一條 個人信息處理者應當根據個人信息的處理目的、處理方式、個人信息的種類以及對個人權益的影響、可能存在的安全風險等，采取下列措施確保個人信息處理活動符合法律、行政法規的規定，并防止未經授權的訪問以及個人信息泄露、篡改、丟失：

(一) 制定內部管理制度和操作規程；

(二) 對個人信息實行分類管理；

(三) 采取相應的加密、去標識化等安全技術措施；

(四) 合理確定個人信息處理的操作權限，并定期對從業人員進行安全教育和培訓；

(五) 制定并組織實施個人信息安全事件應急預案；

(六) 法律、行政法規規定的其他措施。

第五十五條 有下列情形之一的，個人信息處理者應當事前進行個人信息保護影響評估，并對處理情況進行記錄：

(一) 處理敏感個人信息；

(二) 利用個人信息進行自動化決策；

(三) 委托處理個人信息、向其他個人信息處理者提供個人信息、公開個人信息；

(四) 向境外提供個人信息；

(五) 其他對個人權益有重大影響的個人信息處理活動。

第五十六條 個人信息保護影響評估應當包括下列內容：

(一) 個人信息的處理目的、處理方式等是否合法、正當、必要；

(二) 對個人權益的影響及安全風險；

(三) 所采取的保護措施是否合法、有效并與風險程度相適應。

個人信息保護影響評估報告和處理情況記錄應當至少保存三年。

第五十八條 提供重要互聯網平臺服務、用戶數量巨大、業務類型復雜的個人信息處理者，應當履行下列義務：

(一) 按照國家規定建立健全個人信息保護合規制度體系，成立主要由外部成員組成的獨立機構對個人信息保護情況進行監督；

(二) 遵循公開、公平、公正的原則，制定平臺規則，明確平臺內產品或者服務提供者處理個人信息的規范和保護個人信息的義務；

(三) 對嚴重違反法律、行政法規處理個人信息的平臺內的產品或者服務提供者，停止提供服務；

(四) 定期發布個人信息保護社會責任報告，接受社會監督。

第六十一條 履行個人信息保護職責的部門履行下列個人信息保護職責：

(一) 開展個人信息保護宣傳教育，指導、監督個人信息處理者開展個人信息保護工作；

(二) 接受、處理與個人信息保護有關的投訴、舉報；

(三) 組織對應用程序等個人信息保護情況進行測評，并公布測評結果；

(四) 調查、處理違法個人信息處理活動；

(五) 法律、行政法規規定的其他職責。

另外，個保法特別對敏感信息類別、應用程序過度收集個人信息、"大數據殺熟"等作出針對性規范，并將數據泄露等更改為泄露、篡改、丟失，同時對個人信息跨境提供規則作出相關規定。

企業如何落地個保法？

從個保法的核心變動和修改不難看出，國家對于企業如何進行個人信息安全的保護，對于職責部門如何履行其監管職責，從法律上都提出了高要求、高標準、高規范。

“個人信息保護的專門法律即將出臺，企業的個人信息保護違法成本將大幅上升，對個人信息保護的合規安排刻不容緩。特別是處理敏感個人信息的特殊保護、個人信息跨境提供的合規等，將成為企業優先和重點的合規事項。以往對APP違法違規收集個人信息的行為的處理，主要是進行通報、要求下架或對個人信息處理者進行行政處罰等措施，個人信息保護法的出臺意味著消費者提出民事索賠的渠道也會更為順暢。”某律師事務所高級合伙人表示。

“個人信息安全立法過程中，最核心的問題就是信息收集，然后是信息收集后的保管不當和非法利用。”一位法學專家表示。

面對嚴峻的《個人信息保護法》考驗，企業如何落地執行呢？全知科技深耕個人隱私安全保護領域，有著成熟的技術理念和多年的實踐經驗，全知科技依據個保法自主研發的數據安全產品及服務，能夠賦能企業穩步實現個保法的合規要求。

下面具體對應《個人信息保護法》的要求，全知科技來為大家分別開出“藥方”。

個保法要求：防止信息泄露、篡改、丟失

知形-應用數據風險監測系統，能夠有效規范企業內部員工的數據使用行為，能夠將企業業務應用系統中的人、數據和風險進行閉環鏈接。自動化梳理用戶與訪問數據的關系，實時監控發現用戶訪問數據的風險，并當個人信息發生泄露時及時進行事件泄露溯源。全時態數據守護，讓敏感數據流動全留痕。

知影-API風險監測系統，通過對Web、APP、小程序、IoT等應用系統的流量分析系統，實現API數據暴露面的治理和對數據攻擊行為持續發現。部署在企業互聯網出口，能夠實時監控企業API的數據暴露面以及被攻擊情況，防止大量個人信息通過API接口被篡改。

知蹤-數據庫風險監測系統，實時監控并記錄針對目標數據庫系統各類操作的流量分析系統。多維度處理分析操作行為與敏感數據流動監控，精準預警風險，對數據庫進行動態保護。完全記錄各種數據庫事件內容，日志有效對應到使用者真實身份，一旦出現事件，能夠迅速響應和定位，實現后期取證。

個保法要求：個人信息跨境問題

全知數據出境風險檢測工具箱，專門針對企業數據出境的治理難題，不僅可以發現企業的出境數據資產，還可以全方位檢測企業的出境情況，匯總出境的數據量和數據類型，定位出境的數據源頭，可以幫助測評機構產出數據出境檢測報告，推動企業針對性的進行數據出境的整改。

個保法要求：實行個人信息保護影響評估

全知數據安全咨詢評估服務，基于對法律法規、行業監管等需求的全面了解，全知科技可以通過以下評估服務，協助企業快速掌握自身關于個人信息安全的風險情況，并輸出符合國家要求專業評估報告。  

APP隱私合規評估：針對企業APP中個人隱私合規評估部分的要求，提供APP權限申請和使用情況、個人信息采集相關風險、與第三方交互情況等數據風險。

數據出境安全風險評估：針對數安法及個保法要求，提供數據出境中涉及的數據類型、數據量級、是否存在向境外提供重要數據等風險的評估。  

個人敏感信息風險評估：針對數安法及個保法要求，通過技術工具，提供企業針對個人敏感信息數據全生命周期中，各個階段的風險評估需求。

個保法要求：個人信息保護情況測評問題

全知數據安全風險測評服務，全知科技深度參與了多項國家/地方/行業的數據安全標準制定，對于個人信息安全保護有著專業的深度的理解，能夠運用技術累積和管理能力實踐，幫助客戶進行個人信息保護情況測評。全知科技還能夠結合行業和環境，制定可行的數據安全目標和落地規劃，切實解決企業關于社會公布測評結果的后顧之憂。

●全知科技參與制訂的相關國家標準如下：

《信息安全技術 個人信息安全影響評估指南》

《信息安全技術 個人信息安全工程指南》

《信息安全技術 個人信息告知同意指南》

《信息安全技術 基因識別數據安全要求》

《信息安全技術 APP個人信息安全測評規范》