今年是《网络安全法》正式实施的第五年,也是我国数据合规立法的关键年份。
• 1月1日,《中华人民共和国民法典》正式实施,其中人格权编设立“隐私权和个人信息保护”专章,构建数字时代个人信息和隐私保护的民法基础;
• 6月10日,《中华人民共和国数据安全法》审议通过,将于9月1日起正式施行;《深圳经济特区数据条例》、《网络安全审查办法(修订草案)》相继公布;
• 8月20日,经第十三届全国人大常委会第三十次会议审议后,《中华人民共和国个人信息保护法》(以下简称“《个保法》”)获得通过并公布。
《个保法》共八章七十四条。将于2021年11月1日起生效实施,是我国迈入数字化社会,彰显“以人为本”的法律制度里程碑,也是我国为全球数字治理贡献的中国方案。
《个保法》的诞生,对信息安全领域而言具有划时代的重要意义。特别是对个人信息产生的主体(个人)、个人信息处理的主体(机构/个人)、个人信息安全监管主体(国家相关机关)等进行了明确的权责界定以及违法惩处,为数字时代的个人信息保护提供了法律保障。
对此,明朝万达信息安全专家从《个保法》的立法历程、详细解读两方面进行详细分析,并对迎接《个保法》实施需加强的技术措施进行了解读。
立法历程
2020年10月13日,十三届全国人大常委会委员长会议提出了关于提请审议个人信息保护法草案的议案。草案规定侵害个人信息权益的违法行为,情节严重的,没收违法所得,并处5000万元以下或者上一年度营业额5%以下罚款,5%的额度甚至超过了在个人信息保护方面规定“最严”的欧盟。
2021年4月26日,个人信息保护法草案提请全国人大常委会二次审议。草案拟规定,提供基础性互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应成立主要由外部成员组成的独立机构,对个人信息处理活动进行监督,并要求其定期发布个人信息保护社会责任报告等。
2021年8月13日,全国人大常委会法工委举行记者会,通报本次常委会会议拟审议的法律草案的主要情况。关于个人信息保护法草案,根据各方面意见,提请本次常委会会议审议的草案三次审议稿拟作如下主要修改:
一是,我国宪法规定,国家尊重和保障人权,公民的人格尊严不受侵犯,公民的通信自由和通信秘密受法律保护。制定实施本法对于保障公民的人格尊严和其他权益具有重要意义。据此,拟在草案第一条中增加规定“根据宪法”制定本法。
二是,进一步完善个人信息处理规则,特别是对应用程序(App)过度收集个人信息、“大数据杀熟”等作出有针对性规范。
三是,将不满十四周岁未成年人的个人信息作为敏感个人信息,并要求个人信息处理者对此制定专门的个人信息处理规则。
四是,完善个人信息跨境提供的规则,对按照我国缔结或者参加的国际条约、协定向境外提供个人信息、对转移到境外的个人信息的保护不应低于我国的保护标准等作出规定。
五是,增加个人信息可携带权的规定,完善死者个人信息保护的规定。六是,对完善个人信息保护投诉、举报工作机制及违法处理个人信息涉嫌犯罪案件的移送提出明确要求。
2021年8月20日,十三届全国人大常委会第三十次会议表决通过《中华人民共和国个人信息保护法》。个人信息保护法自 2021年11月1日起施行。其中明确:
①通过自动化决策方式向个人进行信息推送、商业营销,应提供不针对其个人特征的选项或提供便捷的拒绝方式
②处理生物识别、医疗健康、金融账户、行踪轨迹等敏感个人信息,应取得个人的单独同意
③对违法处理个人信息的应用程序,责令暂停或者终止提供服务。
详细解读
1、明确“个人信息”定义
《个保法》在第一章第四条首先对“个人信息”进行了明确的定义:个人信息是以电子或其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。个人信息的处理包括收集、存储、使用、加工、传输、提供、公开、删除等。
个人信息保护的原则是收集、使用个人信息的基本遵循,是构建个人信息保护具体规则的制度基础。个人信息保护法借鉴国际经验并立足我国实际,确立了个人信息处理应遵循的原则,强调处理个人信息应当遵循合法、正当、必要和诚信原则,具有明确、合理的目的并与处理目的直接相关,采取对个人权益影响最小的方式,限于实现处理目的的最小范围,公开处理规则,保证信息质量,采取安全保护措施等。
2、核心原则:告知-同意
第二章大部分明确规定:处理个人信息,应当在事先充分告知的前提下取得个人同意,不得误导、欺诈、胁迫等;不得以个人不同意为由拒绝提供产品或者服务;信息处理者应当提供便捷的撤回同意方式。
3、个人信息处理的“三最”边界
第一章第六条、第二章第十一条中明确规定:处理个人信息应当采取对个人权益影响最小的方式;收集范围应当限于实现处理目的的最小范围。保存期限应当为实现处理目的所必要的最短时间。
4、严格保护敏感个人信息
个人信息保护法将生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息列为敏感个人信息。个人信息保护法要求,只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,方可处理敏感个人信息,同时应当事前进行影响评估,并向个人告知处理的必要性以及对个人权益的影响。
5、禁止“大数据杀熟”
当前,越来越多的企业利用大数据分析、评估消费者的个人特征用于商业营销。有一些企业通过掌握消费者的经济状况、消费习惯、对价格的敏感程度等信息,对消费者在交易价格等方面实行歧视性的差别待遇,误导、欺诈消费者。其中,最典型的就是社会反映突出的“大数据杀熟”。
对于大数据杀熟、广告投放等进行了严格的规范,第二章第二十四条明确规定:个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。
通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。
通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。
6、规范国家机关处理活动
保护个人信息权益、保障个人信息安全是国家机关应尽的义务和责任。对此,个人信息保护法对国家机关处理个人信息的活动作出专门规定,特别强调国家机关处理个人信息的活动适用本法,并且处理个人信息应当依照法律、行政法规规定的权限和程序进行,不得超出履行法定职责所必需的范围和限度。
7、个人信息跨境规则
个人信息跨境传输要求,建立起国家标准,第三章第四十条明确:关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估;法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。
8、个人信息的个人权利
个人信息保护法将个人在个人信息处理活动中的各项权利,包括知悉个人信息处理规则和处理事项、同意和撤回同意,以及个人信息的查询、复制、更正、删除等总结提升为知情权、决定权,明确个人有权限制个人信息的处理。同时,为了适应互联网应用和服务多样化的实际,满足日益增长的跨平台转移个人信息的需求,个人信息保护法对个人信息可携带权作了原则规定,要求在符合国家网信部门规定条件的情形下,个人信息处理者应当为个人提供转移其个人信息的途径。此外,个人信息保护法还对死者个人信息的保护作了专门规定,明确在尊重死者生前安排的前提下,其近亲属为自身合法、正当利益,可以对死者个人信息行使查阅、复制、更正、删除等权利。
9、强化个人信息处理者义务
个人信息处理者是个人信息保护的第一责任人。据此,个人信息保护法强调,个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。
在此基础上,个人信息保护法设专章明确了个人信息处理者的合规管理和保障个人信息安全等义务,要求个人信息处理者按照规定制定内部管理制度和操作规程,采取相应的安全技术措施,指定负责人对其个人信息处理活动进行监督,定期对其个人信息活动进行合规审计,对处理敏感个人信息、利用个人进行自动化决策、对外提供或公开个人信息等高风险处理活动进行事前影响评估,履行个人信息泄露通知和补救义务等。
10、健全个人信息保护工作机制
个人信息保护涉及的领域广,相关制度措施的落实有赖于完善的监管执法机制。根据个人信息保护工作实际,个人信息保护法明确,国家网信部门和国务院有关部门在各自职责范围内负责个人信息保护和监督管理工作,同时,对个人信息保护和监管职责作出规定,包括开展个人信息保护宣传教育、指导监督个人信息保护工作、接受处理相关投诉举报、组织对应用程序等进行测评、调查处理违法个人信息处理活动等。此外,为了加强个人信息保护监管执法的协同配合,个人信息保护法还进一步明确了国家网信部门在个人信息保护监管方面的统筹协调作用,并对其统筹协调职责作出具体规定。
11.明确个人信息保护部门
本法第六章明确了履行个人信息保护职责部门、职责和可采取的工作措施。其中,国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作;国务院有关部门和县级以上地方人民政府有关部门均负责个人信息保护和监督管理职责,统称为个人信息保护职责的部门。
12.大型互联网企业义务
对于大型互联网企业需要建立健全制度;做好独立机构的建立,要求由外部成员组成,目的监督个人信息处理活动;对于严重违反法律、行政法规的需要停止服务;有报告发布、接受社会监督的责任义务。
技术措施
众所周知,针对信息安全保护一致认同的有效措施为:管理+技术。随着《个人信息保护法》的出台,加之《网络安全法》、《数据安全法》以及相关的规范、指引,无不从立法的管理层面给信息安全保护建立起了管理红线和标准。但是如果只有完善的管理方式,而没有相应的技术手段来来支撑,那管理成本将变得极其高昂,并且管理成果也将不尽如人意。
《个保法》第五章第五十一条明确规定:个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取下列措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失:
(一)制定内部管理制度和操作规程;
(二)对个人信息实行分类管理;
(三)采取相应的加密、去标识化等安全技术措施;
(四)合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;
(五)制定并组织实施个人信息安全事件应急预案;
(六)法律、行政法规规定的其他措施。
作为中国新一代信息安全技术企业的代表厂商,明朝万达深耕数据安全领域16载,专注于信息安全管理制度和操作规程优化、数据治理和数据分类分级咨询与服务、数据加密、去标识化、数据防泄漏等,为金融、公安、政府、电信运营商等诸多行业客户提供专业的数据安全产品、解决方案等服务,签约用户超过3000家。
凭借在数据安全领域取得的优异成就,明朝万达于2019年获得了中网投、国投创合联合投资,并于2020年获得中国电科集团(CETC)战略投资。
在大数据、云计算等新技术应用背景下,明朝万达以数据安全为核心、自主可控的国密算法应用技术为基础,研发的Chinasec(安元)数据安全系列产品及解决方案,覆盖数据产生、存储、交换、使用等全生命周期重要环节,实现对服务器、数据库、PC终端、移动终端以及网络通信的全IT架构下数据安全的协同联动管理,打造企业级的数据安全防护体系。
作为国内数据安全市场的倡导者,明朝万达坚持技术创新,不断加大对研发层面的投入,拥有一支以清华大学博士和硕士为骨干力量的核心研发团队,截至目前公司已累计申请发明专利近400项,获授权专利140余项。
