上期回顾
数达安全专家团在上期解读中对数据安全新技术进行了展望,选择了九项新技术进行了介绍,这些新技术可以覆盖数据生命周期中收集、存储、使用、加工、传输、提供等阶段的全部场景,对促进数据业务与数据安全具有重要作用,应成为各方重点攻关的方向。
本期摘要
《中华人民共和国个人信息保护法》即将于2021年11月1日起施行,而《数据安全法》已经于2021年9月1日正式施行。各方都非常关心数据安全和个人信息保护法如何落地这个急迫问题。本期总结了数据安全新特性,对个人信息保护法的主要内容进行了说明,以期满足各相关方的个人信息保护需求。
数据安全新特性
2021年8月27日,中国互联网络信息中心(CNNIC)在京发布第48次《中国互联网络发展状况统计报告》:截至2021年6月,我国网民规模达10.11亿。这些网民涉及的个人信息在集中汇聚后,规模大到了天文数字程度。
由于人工智能、大数据技术善于从海量数据中总结经验、发现规律、辅助决策,可以充分释放数据资源所蕴含的巨大价值,可以显著提升个人、经济和社会活动的功用性和便利性,因此得到了广泛应用。在这些技术带来巨大便利性的同时,也给数据业务和数据安全带来了三大新风险,分别是:大规模数据泄露风险、可持续发展风险和数据异常传输风险。
大规模数据泄露风险本质上是由于个人信息数据的集中汇聚且疏于安全管理所导致的;可持续发展风险是指数据共享业务由于接收方违反共享合同非法复制、非法占有其他方提供的共享数据而导致数据共享业务难以持续发展的风险;而数据异常传输风险则是由于非法攻击事件或者非正当目的业务活动导致的。
上述风险可能给国家安全、公共利益和个人权益带来严重损害。为此,国家近期连续正式发布了《数据安全法》和《个人信息保护法》,加上前几年发布的《网络安全法》和《国家安全法》,共同为数据安全和个人信息保护提供了坚实的法制基础。
个人信息保护法的主要内容
《个人信息保护法》明确规定了如下主要内容:
1、明确个人信息保护的监管体系
a.国家网信部门在个人信息保护监管方面的统筹协调作用;
b.国务院有关部门在各自职责范围内负责个人信息保护和监督管理工作;
c.县级以上地方人民政府有关部门。
2、明确“告知-同意”规则
a.知情同意是个人信息处理活动最重要的合法性基础;
b.处理个人信息应当获得个人的同意,该同意应当由个人在充分知情的前提下自愿、明确作出。
3、规定了个人信息处理者的义务
a.采取必要措施保障个人信息处理合法合规;
b.定期开展合规审计;
c.处理个人信息对个人权益有重大影响的,应事前进行个人信息保护影响评估,相关记录至少保存三年;
d.发生个人信息安全事件应立即补救并通知专职部门及个人;
e.其他有关义务。
4、明确个人信息保护的监管体系
a.违法处理个人信息,情节严重的,将会被没收违法所得,至高处五千万或上一年度营业额百分之五的罚款等;
b.直接责任人员至高将被处罚款一百万元等;
c.共同处理个人信息,造成损害的,应当承担连带责任。
5、规定了个人信息跨境的规则
a.跨境提供个人信息应取得个人的单独同意;
b.关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者应当通过网信部门组织的安全评估;
c.其他个人信息处理者可选择以下任一路径:通过网信部门组织的安全评估,通过专业机构进行个人信息保护认证,与境外接收方订立网信部门制定的标准合同,或者遵循其他法定路径。
个人信息保护法与数安法等的关系
在习主席总体国家安全观指引下,以《国家安全法》龙头,《网络安全法》负责网络空间安全整体的治理,《数据安全法》负责数据处理活动的安全与开发利用,《个人信息保护法》负责个人信息的保护,四部法律构成一个有机整体。
为了更清楚的看出这些法律的区别和联系,下面对具有最紧密联系的《个人信息保护法》和《数据安全法》进行全面对比,以利于读者了解清楚它们的差异性和一致性,正确地将数据安全应用于个人信息保护。
个人信息保护法 | 数据安全法 | |
通过及施行 时间 | 2021年8月20日通过,将于2021年11月1日起施行。 | 2021年6月10日通过,自2021年9月1日起施行。 |
法律 地位 | 高。全国人大常委会通过,个人信息保护的国家级基本法。是我国第一部全面规范个人信息保护方面问题的基础性法律。 | 高。全国人大常委会通过,数据安全的国家级基本法。是我国第一部全面规范数据安全治理方面问题的基础性法律。 |
范围 | 小。聚焦个人信息。 | 大。关注个人信息和其他数据。 |
重要性 | 重要(不能被其他法律替代)。 | 重要。 |
侧重点 | 网络和数据中的个人信息。个人信息保护法保障国家安全、公共利益的个人权益,重点关注“个人信息的保护”,个人信息保护在数据安全法中处于从属地位。 | 数据以及数据所在的网络。确立了数据分类分级管理、数据安全审查、数据安全风险评估、监测预警和应急处置等基本制度,以提升国家数据安全能力,有效应对数据这一非传统领域的国家安全挑战,切实维护国家主权、安全和发展利益。首次将数据作为“关键要素”写入法律,首次确认“数据权益”。 数据安全法未能从个人信息全维度(原则、出境、权利等)进行规范,难以系统性解决个人信息保护问题。 |
依赖 关系 | 个人信息保护离不开和数据安全。个人信息保护做得到位包括个人用户鉴权信息保护等也能显著促进数据安全。 | 数据安全法补充和细化了网络安全法中关于数据安全的内容部分,尤其是数据安全技术部分也可用于个人信息。 |
定义 | 个人信息:“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。” | 数据:“任何以电子或非电子形式对信息的记录”,内涵扩展极大。 |
跨境 数据 | 个人信息不得随意出境:关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。出境需经监管部门安全审查和认证。 | 规定不得随意跨境传输:非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。 |
敏感个人信息和核心数据 | 敏感个人信息:“一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息。” | 核心数据:关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。 |
个人信息保护影响评估和数据安全评估 | ★《个人信息保护法》第五十一条 规定了应进行个人信息保护影响评估的五种情况:a.处理敏感个人信息;b.利用个人信息进行自动化决策;c.委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;d.向境外提供个人信息;e.其他对个人权益有重大影响的个人信息处理活动。 | 数据安全评估:重要数据的处理者应当按照规定对其数据活动定期开展风险评估,并向有关主管部门报送风险评估报告。风险评估报告应当包括本组织掌握的重要数据的种类、数量,收集、存储、使用、加工、传输、提供等使用数据的情况,面临的数据安全风险及其应对措施等” |
对数据安全能力的 要求 | 个人信息保护法提出了对个人信息进行分级管理的如下要求: ★《个人信息保护法》第五十一条 个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取系列安全保障措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失... ★第五十四条规定了合规审计义务。 ★第五十五条、第五十六条规定了个人信息处理者在特定情形下进行个人信息保护影响评估的义务。 ★第五十七条规定了安全事件通知义务。 ★第五十八条规定了重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者的特殊义务。 | 数据安全法提出了如下要求: 在网络安全等级保护制度的基础上,进一步建立健全全流程数据安全管理制度、采取各种数据安全技术措施进行数据安全保护、风险监测、预警处置等: ★第二十七条开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施等必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。 ★第二十九条开展数据处理活动应当加强风险监测...;发生数据安全事件时,应当立即采取处置措施... ★第三十条 重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。 |
责任 主体 | 个人信息处理者、关键信息基础设施运营者、国家机关,以及境外个人、组织和国家等。 ★第九条个人信息处理者应当对其个人信息处理活动负责。 ★第三十三条国家机关处理个人信息的活动,适用本法。 此外,在第四十条、第四十二条、第四十三条分别对关键信息基础设施运营者、境外组织和个人、任何国家和地区从事从事个人信息处理进行了具体规定。 | 重要数据的处理者、关键信息基础设施的运营者 ★第二十七条 重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。 ★第三十一条 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;... |
主管部门和执法机构 | 国家网信部门、国务院有关部门以及县级以上地方人民政府有关部门。 ★第六十条 履行个人信息保护职责的部门的职责如下: 国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。 国务院有关部门依照本法和有关法律、行政法规的规定,在各自职责范围内负责个人信息保护和监督管理工作。 县级以上地方人民政府有关部门的个人信息保护和监督管理职责,按照国家有关规定确定。 | 国家网信办统筹、行业和区域主管部门监管、公安机关、国家安全机关执法,保密部门、军队部门。 ★第六条 各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责。 ★工业、电信、交通、金融、卫生健康、教育、科技等主管部门承担本行业数据安全监管职责。 ★公安机关、国家安全机关在职责范围内承担数据安全监管职责。 ★国家网信部门负责统筹协调网络数据安全和相关监管工作。 ★第五十三条 开展涉及国家秘密的数据处理活动... ★第五十四条 军事数据安全保护的办法,... |
处罚 力度 | 迄今最大(五千万元或者营业额百分之五罚款、停业、禁止从业等) ★第六十六条违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,...拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。 有前款规定的违法行为,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。 | 大(一千万元罚款、停业、刑罚) ★第四十五条 违反国家核心数据管理制度,危害国家主权、安全和发展利益的,由有关主管部门处二百万元以上一千万元以下罚款。 ★第四十六条 违反本法第三十一条规定,向境外提供重要数据的,由有关主管部门责令改正,给予警告,...情节严重的,处一百万元以上一千万元以下罚款,...对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。 ★第四十八条 违反本法第三十六条规定,未经主管机关批准向外国司法或者执法机构提供数据的,由有关主管部门给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;造成严重后果的,处一百万元以上五百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上五十万元以下罚款。 |
通过上述详细对比,可以看出个人信息保护法和数据安全法在法律地位、重要性上是一样高的,二者存在相互依赖关系:
1、个人信息保护法对个人信息进行全维度保护,并对数据安全法进行必要的补充和完善;
2、数据安全法要求数据处理者和关键信息基础设施运营者在网络安全等级保护基础上采取各类数据安全措施来提高数据安全能力,这些能力可用于个人信息保护;
3、个人信息保护规定的处罚强度更大。
要做好个人信息保护工作,就必须在做好数据安全工作的基础上,采用数据安全技术落实个人信息保护法的各项专门要求。
基于数据安全的个人信息保护方案
基于数据安全技术和数据安全服务,构建个人信息保护体系,促进数据业务快速、稳定、可持续发展:
1、采用数据安全技术实现全方位的的技术防护
a. 针对个人信息收集场景,采用数据审计技术来检测是业务应用系统的收集行为是否合规,且确保采集时符合告知-同意原则;
b. 针对个人信息存储场景,采用数据加密技术进行保护;
c. 针对个人信息使用、加工场景,采用数据资产梳理、数据行为审计、数据访问控制、数据脱敏等技术,自动化发现敏感数据、进行分类分级并实现差异化管控,全面跟踪数据流动过程,及时发现数据攻击、数据异常传输,然后基于安全策略进行自动响应、拦截、报告、预警,及时发现并避免大规模数据泄露;
d. 针对个人信息传输场景,采用传输加密技术进行传输;
e. 针对提供、共享等场景,尤其是针对数据跨境流动,采用去标识化、隐私计算、溯源技术等进行保护;
f. 针对用户权利请求,采用个人信息知识图谱技术进行自动响应;针对处理个人信息的各类实体,聚焦经常发生的终端安全、文档安全和网络安全、邮件安全等方面,采用综合数据防泄漏技术及时检测、阻断
反个人信息保护策略的访问和操作行为,协助发现违规内部人员。
2、建设个人信息保护流程体系
a. 建立责任体系,明确责任主体;
b. 梳理个人信息:采用自动化识别工具对个人敏感信息进行自动化识别、分类分级、确定敏感数据的存储位置、属主、权限等,落实保护责任;
c. 进行风险评估:评估数据安全措施(管理和技术)是否足以降低风险到可接受等级;
d. 跟踪业务流程、人员、数据、业务应用和基础设施架构的变化情况,定期审查和监控个人信息安全风险和处置措施;
e. 业务流程安全控制:针对每一个业务场景,明确业务需要获取哪些个人信息,确保采集过程的知情同意,避免信息的过度采集、过度使用,在个人信息生命周期各阶段采取相应的安全措施。
总结
2022/7/12
数达安全专家团通过调查研究,对广为关注的数据安全和个人信息保护法的急迫问题进行了讨论,对个人信息保护的主要内容进行了说明,总结了采用数据安全技术和数据安全服务的个人信息保护解决方案,为相关机构利用数据安全落实个人信息保护义务提供参考。
参考资料
1.《中华人民共和国个人信息保护法》
2.《中华人民共和国数据安全法》
3.《信息安全技术—数据安全能力成熟度模型》(GB/T 37988-2019)
4.《数据运营企业应该如何建立数据安全防护体系?——数达安全专家团数据安全法解读系列之二》
5.《数据安全新技术--数达安全专家团数据安全法解读系列之六》