企业如何合规落地《个人信息保护法》

2021年8月20日，《个人信息保护法》正式公布。从2020年10月初次提出审议到2021年8月完成第三次审议，有关部门在短时间内的大力推进，充分显示了国家对这部法律的高度重视。

Part-1 焦虑的社会现状

随着数字化建设的高速发展，大数据已经不知不觉渗透了我们生活的方方面面。出门上班，导航给你规划到单位的时间、距离、最佳路线；日常吃饭，软件给你推送附近热门好店和优质外卖；新闻头条，都是你关心的话题；购物平台，首页都是你喜欢的品类；视频娱乐，主视觉窗口都是你最感兴趣的推荐；出入商家门店、待售楼盘、写字楼甚至自家小区，都广泛开始安装摄像头进行人脸捕捉识别……大数据似乎“比我们自己更懂自己”。所以，我们每天都在不同场景不同环境，留下自己的足迹、观点、行为、情感，自觉或不自觉、自愿或不自愿地产生着大数据，我们被大数据所环绕、笼罩和支配。

但是我们在享受大数据给我们带来的便利的同时，也随时面临着大量个人数据即个人信息被无情泄漏的风险。回顾今年“3·15”晚会曝光的九大消费黑幕，个人隐私保护成为最大亮点。商家人脸识别、简历大数据、专坑老年人的手机“清理”软件、搜索引擎及浏览器虚假医药广告等一系列曝光，以及众多知名品牌被点名曝光，令大家瞠目结舌。“隐私安全”首次成了央视3·15的焦点话题。

“当前，社会各方面对于用户画像、算法推荐等新技术新应用高度关注，对相关产品和服务中存在的信息骚扰、‘大数据杀熟’等问题反映强烈。”全国人大常委会法工委发言人臧铁伟表示。

由此可见，个人信息安全问题，已经从机构自身上升到涉及数据主体权益、社会发展与稳定、国家安全层面。个人信息的保护，已经成为全民关心的数据安全问题。

2021年8月20日，《个人信息保护法》正式公布。从2020年10月初次提出审议到2021年8月完成第三次审议，有关部门在短时间内的大力推进，充分显示了国家对这部法律的高度重视。

Part-2 个保法纲领及要点概述

《个人信息保护法》 (以下简称“个保法”) 总体大纲如下：

个保法明确规定了个人信息处理者的义务，以及加强了履行个人信息保护职责部门的义务。主要概括如下：

第五十一条 个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等，采取下列措施确保个人信息处理活动符合法律、行政法规的规定，并防止未经授权的访问以及个人信息泄露、篡改、丢失：

(一) 制定内部管理制度和操作规程；

(二) 对个人信息实行分类管理；

(三) 采取相应的加密、去标识化等安全技术措施；

(四) 合理确定个人信息处理的操作权限，并定期对从业人员进行安全教育和培训；

(五) 制定并组织实施个人信息安全事件应急预案；

(六) 法律、行政法规规定的其他措施。

第五十五条 有下列情形之一的，个人信息处理者应当事前进行个人信息保护影响评估，并对处理情况进行记录：

(一) 处理敏感个人信息；

(二) 利用个人信息进行自动化决策；

(三) 委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息；

(四) 向境外提供个人信息；

(五) 其他对个人权益有重大影响的个人信息处理活动。

第五十六条个人信息保护影响评估应当包括下列内容：

(一) 个人信息的处理目的、处理方式等是否合法、正当、必要；

(二) 对个人权益的影响及安全风险；

(三) 所采取的保护措施是否合法、有效并与风险程度相适应。

个人信息保护影响评估报告和处理情况记录应当至少保存三年。

第五十八条 提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，应当履行下列义务：

(一) 按照国家规定建立健全个人信息保护合规制度体系，成立主要由外部成员组成的独立机构对个人信息保护情况进行监督；

(二) 遵循公开、公平、公正的原则，制定平台规则，明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务；

(三) 对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者，停止提供服务；

(四) 定期发布个人信息保护社会责任报告，接受社会监督。

第六十一条 履行个人信息保护职责的部门履行下列个人信息保护职责：

(一) 开展个人信息保护宣传教育，指导、监督个人信息处理者开展个人信息保护工作；

(二) 接受、处理与个人信息保护有关的投诉、举报；

(三) 组织对应用程序等个人信息保护情况进行测评，并公布测评结果；

(四) 调查、处理违法个人信息处理活动；

(五) 法律、行政法规规定的其他职责。

第六十九条 处理个人信息侵害个人信息权益造成损害，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任。

第七十条 个人信息处理者违反本法规定处理个人信息，侵害众多个人的权益的，人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。

另外，个保法特别对敏感信息类别、应用程序过度收集个人信息、"大数据杀熟"等作出针对性规范，并将数据泄露等更改为泄露、篡改、丢失，同时对个人信息跨境提供规则作出相关规定。

Part-3 企业如何合规落地个保法

从个保法的核心变动和修改不难看出，国家对于企业如何进行个人信息安全的保护，对于职责部门如何履行其监管职责，从法律上都提出了高要求、高标准、高规范。

“个人信息保护的专门法律即将出台，企业的个人信息保护违法成本将大幅上升，对个人信息保护的合规安排刻不容缓。特别是处理敏感个人信息的特殊保护、个人信息跨境提供的合规等，将成为企业优先和重点的合规事项。以往对APP违法违规收集个人信息的行为的处理，主要是进行通报、要求下架或对个人信息处理者进行行政处罚等措施，个人信息保护法的出台意味着消费者提出民事索赔的渠道也会更为顺畅。”某律师事务所高级合伙人表示。

“个人信息安全立法过程中，最核心的问题就是信息收集，然后是信息收集后的保管不当和非法利用。”一位法学专家表示。

面对严峻的《个人信息保护法》考验，企业如何落地执行呢？全知科技深耕个人隐私安全保护领域，有着成熟的技术理念和多年的实践经验，全知科技依据个保法自主研发的数据安全产品及服务，能够赋能企业稳步实现个保法的合规要求。

下面具体对应《个人信息保护法》的要求，全知科技来为大家分别开出“药方”。

◼个保法要求：防止信息泄露、篡改、丢失

知形：应用数据风险监测系统，能够有效规范企业内部员工的数据使用行为，能够将企业业务应用系统中的人、数据和风险进行闭环链接。自动化梳理用户与访问数据的关系，实时监控发现用户访问数据的风险，并当个人信息发生泄露时及时进行事件泄露溯源。全时态数据守护，让敏感数据流动全留痕。

知影：API风险监测系统，通过对Web、APP、小程序、IoT等应用系统的流量分析系统，实现API数据暴露面的治理和对数据攻击行为持续发现。部署在企业互联网出口，能够实时监控企业API的数据暴露面以及被攻击情况，防止大量个人信息通过API接口被篡改。

知踪：数据库风险监测系统，实时监控并记录针对目标数据库系统各类操作的流量分析系统。多维度处理分析操作行为与敏感数据流动监控，精准预警风险，对数据库进行动态保护。完全记录各种数据库事件内容，日志有效对应到使用者真实身份，一旦出现事件，能够迅速响应和定位，实现后期取证。

◼个保法要求：个人信息跨境问题

建议使用数据出境风险检测工具箱，专门针对企业数据出境的治理难题，不仅可以发现企业的出境数据资产，还可以全方位检测企业的出境情况，汇总出境的数据量和数据类型，定位出境的数据源头，可以帮助测评机构产出数据出境检测报告，推动企业针对性的进行数据出境的整改。

◼个保法要求：实行个人信息保护影响评估

企业可以选择适合的安全咨询评估服务，基于对法律法规、行业监管等需求的全面了解，可以通过以下评估服务，协助企业快速掌握自身关于个人信息安全的风险情况，并输出符合国家要求专业评估报告。   

· APP隐私合规评估：针对企业APP中个人隐私合规评估部分的要求，提供APP权限申请和使用情况、个人信息采集相关风险、与第三方交互情况等数据风险。

· 数据出境安全风险评估：针对数安法及个保法要求，提供数据出境中涉及的数据类型、数据量级、是否存在向境外提供重要数据等风险的评估。   

· 个人敏感信息风险评估：针对数安法及个保法要求，通过技术工具，提供企业针对个人敏感信息数据全生命周期中，各个阶段的风险评估需求。