《個(gè)人信息保護(hù)法(草案)》發(fā)布，該法以保護(hù)個(gè)人信息權(quán)益，規(guī)范個(gè)人信息處理活動(dòng)，保障個(gè)人信息依法有序自由流動(dòng)，促進(jìn)個(gè)人信息合理使用為立法宗旨，規(guī)定了個(gè)人、企業(yè)、國家機(jī)關(guān)多主體對個(gè)人信息保護(hù)的權(quán)利與義務(wù)。

個(gè)人信息保護(hù)法(草案)內(nèi)容公布

[[349407]]

那么該法會(huì)對企業(yè)有何影響?企業(yè)該怎么開展數(shù)據(jù)合規(guī)工作?本文將對以上問題進(jìn)行闡述。

1. 個(gè)人信息保護(hù)法的適用于全行業(yè)

草案規(guī)定個(gè)人信息處理者對于個(gè)人信息使用的僅適用于境內(nèi)，對于跨境處理個(gè)人信息者需要設(shè)立專門機(jī)構(gòu)或者制定代表。明確了個(gè)人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息，對于個(gè)人信息的處理包括個(gè)人信息的收集、存儲(chǔ)、使用、加工、傳輸、提供、公開等活動(dòng)。組織、個(gè)人在中華人民共和國境內(nèi)處理自然人個(gè)人信息活動(dòng)，對于跨境處理個(gè)人信息者，應(yīng)在境內(nèi)設(shè)立專門機(jī)構(gòu)或者制定代表。必要的情況下域外適用效力，以充分保護(hù)我國境內(nèi)個(gè)人的權(quán)益。

具體參照：第三條、第四條、第五十二條、第六十八條

2. 聚焦了個(gè)人信息的使用場景

草案規(guī)定了個(gè)人信息處理者在大數(shù)據(jù)分析、數(shù)據(jù)共享分發(fā)、數(shù)據(jù)跨境等具體場景下的相關(guān)規(guī)定。在利用個(gè)人信息進(jìn)行自動(dòng)化決策時(shí)，個(gè)人認(rèn)為自動(dòng)化決策對其權(quán)益造成重大影響的，有權(quán)要求個(gè)人信息處理者予以說明，并有權(quán)拒絕。利用自動(dòng)化決策進(jìn)行商業(yè)營銷、信息推送時(shí)，應(yīng)當(dāng)提供不針對個(gè)人特征的選項(xiàng)。

對于向境外提供個(gè)人信息的，至少需具備網(wǎng)信部門組織的安全評估、網(wǎng)信部門規(guī)定的經(jīng)專業(yè)機(jī)構(gòu)進(jìn)行個(gè)人信息的保護(hù)認(rèn)證、與境外接收方訂立合同虛達(dá)到本法律法規(guī)規(guī)定的個(gè)人信息保護(hù)標(biāo)準(zhǔn)及法律法規(guī)規(guī)定的其他標(biāo)準(zhǔn)其中之一方可進(jìn)行。

草案規(guī)定在個(gè)人信息共享分發(fā)、境外傳輸活動(dòng)前應(yīng)進(jìn)行風(fēng)險(xiǎn)評估，包括：目的、處理方式、影響及風(fēng)險(xiǎn)程度、保護(hù)措施、風(fēng)險(xiǎn)程度等，并將評估報(bào)告保留至少三年。

具體參照：第二十五條，第二十六條，第三十八條，第五十四條

3. 增強(qiáng)了個(gè)人信息的處理要求

草案明確了信息處理者在處理個(gè)人信息時(shí)需要取得個(gè)人同意，違者從嚴(yán)處罰。并對敏感個(gè)人信息進(jìn)行了定義，具體包括：種族、民族、宗教信仰、個(gè)人生物特征、醫(yī)療健康、金融賬戶、個(gè)人行蹤等。強(qiáng)調(diào)只有特定的目的和充分的必要性，方可處理敏感個(gè)人信息，且要單獨(dú)取得個(gè)人同意或書面同意，并告知處理敏感個(gè)人信息的必要性和對個(gè)人的影響。對于違反個(gè)人信息使用的，根據(jù)相關(guān)法律、行政法規(guī)，從嚴(yán)處理。

具體參照：第二十九條——第三十二條

4. 明確了個(gè)人信息的個(gè)人權(quán)力及處理者義務(wù)

草案與民法典第1034-1039條相銜接，對個(gè)人信息處理中的個(gè)人權(quán)利和信息處理者的義務(wù)進(jìn)行了具體規(guī)定。個(gè)人權(quán)利具體包括：知情權(quán)、決定權(quán)、查詢權(quán)、更正權(quán)、刪除權(quán)、解釋說明權(quán)等。對于個(gè)人信息處理者拒絕個(gè)人行使權(quán)利的請求，應(yīng)說明理由。

對于個(gè)人信息處理者，有義務(wù)采取必要措施確保個(gè)人信息處理活動(dòng)符合法律、法規(guī)的規(guī)定。包括管理制度建設(shè)、個(gè)人信息分類分級管理、加密去標(biāo)識化措施及其他安全技術(shù)措施。并制定個(gè)人信息保護(hù)負(fù)責(zé)人對其監(jiān)督。境外的個(gè)人信息處理者則需要在境內(nèi)設(shè)立專門機(jī)構(gòu)或者指定代表。

個(gè)人信息保護(hù)者需定期對個(gè)人信息進(jìn)行審計(jì)、風(fēng)險(xiǎn)評估，發(fā)現(xiàn)有個(gè)人信息泄露的，應(yīng)當(dāng)立即采取補(bǔ)救措施，通知履行個(gè)人信息保護(hù)的部門和個(gè)人。

具體參照：第四十四條——第五十五條

5. 加大對違法行為的處罰力度

草案對違法行為加大了處罰力度，違反個(gè)人信息保護(hù)法最高可處五千萬元或年度營業(yè)額百分之五罰款。對于違反《個(gè)人信息保護(hù)法》處理個(gè)人信息或者沒有采取必要保護(hù)措施的，沒收違法所得。拒不改正的，處100萬以下罰款，直接負(fù)責(zé)的主管人員和其他直接負(fù)責(zé)責(zé)任人員，處一萬以上十萬以下罰款。情節(jié)嚴(yán)重的，由履行個(gè)人信息保護(hù)職責(zé)的部門責(zé)令改正，沒收違法所得，并處五千萬以下或者上一年度營業(yè)額百分之五以下罰款，并可以責(zé)令暫停業(yè)務(wù)、停業(yè)整頓、吊銷業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照。

具體參照：第六十二條

從GDPR看個(gè)人信息保護(hù)法

[[349408]]

GDPR被視為當(dāng)前最為全面、嚴(yán)格的數(shù)據(jù)保護(hù)法案。通過比較我國《個(gè)人信息保護(hù)法(草案)》與GDPR的異同，可以更好地幫助企業(yè)應(yīng)對數(shù)據(jù)全球流動(dòng)的挑戰(zhàn)，并讓企業(yè)從其他國家的合規(guī)實(shí)踐中為在中國部署數(shù)據(jù)合規(guī)措施提供參考：

• 以中國境內(nèi)自然人為保護(hù)對象，與GDPR的管轄范圍基本一致;
• 保護(hù)的對象為個(gè)人信息，與GDPR、CCPA等主要數(shù)據(jù)法規(guī)沒有實(shí)質(zhì)性的區(qū)別;
• 規(guī)定了查閱權(quán)、復(fù)制權(quán)、更正權(quán)、刪除權(quán)、知情權(quán)、決定權(quán)、限制與拒絕處理權(quán)、解釋說明權(quán)等權(quán)利，更加接近國際主流數(shù)據(jù)保護(hù)法律的權(quán)利配置
• 設(shè)置了保護(hù)認(rèn)證、簽訂合同等路徑，借鑒了GDPR對數(shù)據(jù)出境的規(guī)定
• 對數(shù)據(jù)保護(hù)職位責(zé)任人設(shè)置的前提要求有所不同

從對比上來看，一方面?zhèn)€人信息保護(hù)法借鑒了國際上先進(jìn)的個(gè)人信息保護(hù)規(guī)則，以更好的與國際接軌，另一方面，也根據(jù)我國的實(shí)際環(huán)境下的數(shù)據(jù)安全保護(hù)需求進(jìn)行了本土化的調(diào)整。

那么GDPR的實(shí)施情況如何呢：

GDPR實(shí)施后，已經(jīng)有近 300 起罰款，最低的一起罰款 90 歐元，而最高的則罰款 2.04 億歐元。2019年 11 月 8 日，匈牙利一所醫(yī)院因違反 GDPR 被罰 90 歐元。同樣這一年，英國航空公司由于泄露 50 萬名乘客個(gè)人信息被重罰近 2.04 億歐元。有超過三分之一的罰款事件源于數(shù)據(jù)處理的法律依據(jù)不當(dāng)，還有接近三分之一的罰款是因?yàn)槲闯浞植扇〖夹g(shù)和管理措施確保信息安全，比如發(fā)生數(shù)據(jù)泄露事件。

從GDPR對于個(gè)人隱私保護(hù)相關(guān)事件的判罰可以幫助我們一窺未來我國個(gè)人保護(hù)法對于數(shù)據(jù)安全事件的判罰尺度。

國家對個(gè)人信息保護(hù)的監(jiān)管趨勢

[[349409]]

正是由于近年來頻發(fā)的個(gè)人隱私泄露事件，個(gè)人信息保護(hù)已經(jīng)成為整個(gè)社會(huì)的焦慮，從《網(wǎng)絡(luò)安全法》正式施行到最近的《個(gè)人信息保護(hù)法(草案)》，各監(jiān)管部門也在不斷地加強(qiáng)對個(gè)人信息保護(hù)領(lǐng)域執(zhí)法經(jīng)驗(yàn)的累積，對個(gè)人信息保護(hù)的監(jiān)管呈現(xiàn)出以下特點(diǎn)：

一是法律法規(guī)不斷完善，近年來，我國在數(shù)據(jù)安全層面的法律法規(guī)愈發(fā)健全，隨著《民法典》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》的陸續(xù)出臺(tái)，《信息安全技術(shù) 個(gè)人信息安全規(guī)范》《個(gè)人信息出境安全評估辦法》《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》及各行業(yè)數(shù)據(jù)安全分級指南的陸續(xù)發(fā)布，對各企業(yè)在正常業(yè)務(wù)開展過程中的數(shù)據(jù)安全要求更加嚴(yán)格。

二是監(jiān)管多主體化，現(xiàn)在個(gè)人信息保護(hù)由網(wǎng)信部門統(tǒng)籌，協(xié)調(diào)公安部門、市場監(jiān)管部門及其他行業(yè)主管部門進(jìn)行監(jiān)管。公安部門負(fù)責(zé)互聯(lián)網(wǎng)領(lǐng)域APP治理，市場監(jiān)管部門負(fù)責(zé)消費(fèi)者權(quán)益保護(hù)等，同時(shí)對線上和線下進(jìn)行多維度監(jiān)管。隨著《個(gè)人信息保護(hù)法》的正式實(shí)施，監(jiān)管機(jī)關(guān)的執(zhí)法權(quán)力會(huì)進(jìn)一步加強(qiáng)，多部門聯(lián)合執(zhí)法也會(huì)成為常態(tài)。

三是處罰力度逐步加大，隨著執(zhí)法經(jīng)驗(yàn)不斷積累，對于有些企業(yè)多次違法的，處罰力度肯定會(huì)進(jìn)一步加大。判罰標(biāo)準(zhǔn)也會(huì)逐漸按照《個(gè)人信息保護(hù)法》的處罰規(guī)定，因此，保證個(gè)人信息在收集、存儲(chǔ)、使用、加工、傳輸、提供、公開等活動(dòng)中的安全，是免受巨額罰款和保證企業(yè)信譽(yù)安全的重要環(huán)節(jié)。

面對個(gè)人信息保護(hù)監(jiān)管要求，企業(yè)該如何接招?

針對企業(yè)內(nèi)部個(gè)人信息安全已存在或可能面臨的安全問題，為應(yīng)對行業(yè)監(jiān)管要求，提升個(gè)人信息整體安全防護(hù)效果，應(yīng)從頂層建設(shè)著手，制定關(guān)于個(gè)人信息保護(hù)的管理措施。觀安信息通過多年數(shù)據(jù)安全治理經(jīng)驗(yàn)，建議企業(yè)對個(gè)人信息保護(hù)措施主要從以下幾方面進(jìn)行：

(1) 加強(qiáng)企業(yè)內(nèi)部個(gè)人信息合規(guī)建設(shè)

隨著《網(wǎng)絡(luò)安全法》、《網(wǎng)絡(luò)安全等級保護(hù)》《個(gè)人信息保護(hù)法》等安全法律法規(guī)的相繼實(shí)施，監(jiān)管力度也會(huì)越來越強(qiáng)，數(shù)據(jù)安全合規(guī)已成為企業(yè)未來可持續(xù)發(fā)展的必然要求。法律法規(guī)是保障信息化建設(shè)的強(qiáng)制性舉措，作為企業(yè)經(jīng)營者，安全合規(guī)是企業(yè)可持續(xù)發(fā)展的首要條件，對個(gè)人信息處理活動(dòng)提前做好相關(guān)合規(guī)工作，打好基礎(chǔ)，防患于未然。

(2) 建立健全企業(yè)內(nèi)部個(gè)人信息保護(hù)制度

草案第五十條對此進(jìn)行了規(guī)定，總結(jié)來說就是企業(yè)應(yīng)當(dāng)根據(jù)個(gè)人信息的處理目的、方式、種類、影響以及可能存在的安全風(fēng)險(xiǎn)等，在相關(guān)法律法規(guī)的規(guī)定下，制定企業(yè)內(nèi)部的管理制度和操作規(guī)程，對個(gè)人信息實(shí)行分級分類管理，采取相應(yīng)的加密、去標(biāo)識化等安全技術(shù)措施。對此，企業(yè)應(yīng)建立和完善內(nèi)部個(gè)人信息管理制度，加強(qiáng)企業(yè)內(nèi)部安全意識培訓(xùn)，對掌握公民個(gè)人信息的工作人員更要加強(qiáng)保密教育和培訓(xùn)。

(3) 制定個(gè)人信息精細(xì)化管控措施

對個(gè)人信息進(jìn)行精細(xì)化管控，就需要知道哪些個(gè)人信息需要進(jìn)行保護(hù)，草案第二十九條對敏感個(gè)人信息進(jìn)行了描述，具體包括：種族、民族、宗教信仰、個(gè)人生物特征、醫(yī)療健康、金融賬戶、個(gè)人行蹤等。接下來企業(yè)就會(huì)面臨幾個(gè)問題：

(4) 這些敏感個(gè)人信息具體分布在哪?我該如何對這些敏感個(gè)人信息進(jìn)行管理?

首先，我們明確了哪些是敏感信息。其次，我們要找到敏感個(gè)人信息分布在哪?最后，對于敏感個(gè)人信息地保護(hù)不可以采用一刀切的方式，比如全部進(jìn)行脫敏。這既浪費(fèi)了資源，也不利于敏感個(gè)人信息地有效管控。因此，針對靜態(tài)儲(chǔ)存的數(shù)據(jù)可以借助觀智敏感數(shù)據(jù)發(fā)現(xiàn)系統(tǒng)找到企業(yè)內(nèi)部各數(shù)據(jù)資產(chǎn)分布的敏感個(gè)人信息，根據(jù)行業(yè)相關(guān)規(guī)范要求及行業(yè)通用數(shù)據(jù)，根據(jù)數(shù)據(jù)的來源、內(nèi)容和用途對數(shù)據(jù)進(jìn)行分類。按照數(shù)據(jù)的價(jià)值、內(nèi)容敏感程度、影響和分發(fā)范圍不同對數(shù)據(jù)進(jìn)行敏感級別劃分。不同敏感級別的數(shù)據(jù)有著不同的管控原則和數(shù)據(jù)開放要求，實(shí)現(xiàn)企業(yè)對不同類型和級別的敏感個(gè)人信息精細(xì)化運(yùn)營管控的要求。

(5) 加強(qiáng)個(gè)人信息數(shù)據(jù)易泄露場景管理

企業(yè)業(yè)務(wù)系統(tǒng)經(jīng)過多年沉淀，積累了大量個(gè)人隱私數(shù)據(jù)和企業(yè)信息。海量數(shù)據(jù)除了在企業(yè)內(nèi)部流轉(zhuǎn)，還需要進(jìn)行外部“共享”。如何保證在產(chǎn)生、交換、共享等場景下的個(gè)人信息安全可用和數(shù)據(jù)使用價(jià)值?為滿足這一要求，數(shù)據(jù)共享時(shí)需要使用數(shù)據(jù)脫敏技術(shù)、水印溯源技術(shù)。特別是當(dāng)數(shù)據(jù)應(yīng)用于開發(fā)、測試、培訓(xùn)等環(huán)境時(shí)，使用真實(shí)數(shù)據(jù)將臨嚴(yán)重?cái)?shù)據(jù)泄露的風(fēng)險(xiǎn)。

(6) 定期對個(gè)人信息等敏感數(shù)據(jù)進(jìn)行風(fēng)險(xiǎn)評估

企業(yè)在采用安全產(chǎn)品治理后，需要定期對企業(yè)內(nèi)部資產(chǎn)進(jìn)行風(fēng)險(xiǎn)檢查?？梢越柚^安敏感數(shù)據(jù)發(fā)現(xiàn)工具通過對敏感數(shù)據(jù)分布情況，結(jié)合數(shù)據(jù)分類分級的管控原則，檢查敏感數(shù)據(jù)安全保護(hù)情況，是否存在數(shù)據(jù)安全風(fēng)險(xiǎn)，

例如：測試環(huán)境里是否有未脫敏、未加密的敏感數(shù)據(jù)，有哪些非合規(guī)數(shù)據(jù)及其位置。及時(shí)給到相應(yīng)部門進(jìn)行整改，以便后續(xù)對數(shù)據(jù)資產(chǎn)進(jìn)行脫敏或加密等安全整改工作的執(zhí)行。

寫在最后

信息技術(shù)的高速發(fā)展，讓個(gè)人信息都變得的越來越易獲取，《個(gè)人信息保護(hù)法》的頒布有利于震懾一些通過不當(dāng)途徑獲取個(gè)人信息的不法之徒，避免企業(yè)對此類數(shù)據(jù)使用不當(dāng)給個(gè)人造成的財(cái)產(chǎn)損失和精神損失。而保障個(gè)人隱私信息與企業(yè)經(jīng)濟(jì)發(fā)展如何取得一定的平衡，則需要在法規(guī)的基礎(chǔ)上結(jié)合企業(yè)自律，共同完善個(gè)人信息保護(hù)體系。