《個保法》實施一周年,個人信息保護工作正當

  業界資訊     |      2023-03-30 17:45

《中華人民共和國個人信息保護法》自2021年11月1日起正式施行,至今已有1年。

《中華人民共和國個人信息保護法》于2021年8月20日頒布,自2021年11月1日起正式施行?!秱€人信息保護法》與《網絡安全法》、《數據安全法》組成中國數據保護立法體系的三大支柱,共同構成管理數據處理和網絡安全問題的綜合框架。

該法作為我國首部規范和加強個人信息保護的專門性法律,為破解個人信息保護中的熱點難點問題提供了強有力的法律保障。同時,在《個人信息保護法》建立的個人信息法律框架下,企業合規也迎來了前所未有的挑戰。

1.png

《個保法》中個人信息、個人敏感信息定義

根據《個人信息保護法》第4條規定“個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息,不包括匿名化處理后的信息?!睋Q句話說,只要能通過信息識別到具體個人,都屬于個人信息,即具有識別性的信息就是個人信息。比較典型的個人信息有:家庭住址、電話號碼、電子郵箱、身份證號碼等等。

個人信息又可以分為一般個人信息和敏感個人信息。根據《個人信息保護法》第28條第1款規定“敏感個人信息是一旦泄露或者非法使用,容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息,包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息,以及不滿十四周歲未成年人的個人信息?!?/span>

企業在日常運營過程中不可避免地收集和處理大量個人信息,只有明確個人信息定義和敏感個人信息的范圍,企業才能在數據合規中做到有的放矢,構建出完善的合規體系。

踐行《個保法》,個人信息保護工作如何開展

 個人信息分類分級管理

個人信息分為一般個人信息和敏感個人信息,并進行分類分級保護,是我國個人信息和數據保護走向成熟和深入的標志。企業應當首先建立個人信息分級管理機制,鑒別和區分企業處理個人信息的不同類別,并著重針對敏感個人信息、未成年人信息設置規則。企業可以依據自身的特點,參照國家標準/行業標準,采用自動化的數據訪問流量解析技術、敏感數據智能識別技術、數據分類分級自動化標注技術,建立起企業敏感數據的資產目錄,增強企業敏感數據的可見度。

● 個人敏感信息訪問權限控制

隨著技術的發展以及市場競爭的加劇,企業為快速響應外界需求,將數據訪問權限擴散到更多人員。這些行為都使得數據訪問的場景和人員權限日益復雜,權限敞口擴大且缺乏管控之后,引發數據安全事件的可能性越來越高。企業應建立統一的數據集定義、用戶定義、數據訪問權限配置能力,根據敏感數據類型、用戶標簽和多種控制條件配置訪問控制策略,對高風險訪問具備阻斷能力。

● 敏感個人信息脫敏訪問

企業日常經營中涉及個人信息相關數據處理活動時,應結合業務、數據、安全合規要求等維度將個人信息納入邏輯數據集合,根據敏感數據類型、控制動作、數據訪問類型、有效時間、主體位置、執行路徑等條件實施數據動態脫敏措施,且無需擔心數據結構變化。如應用前端脫敏展示、開發測試運維人員訪問脫敏、機構人員未經授權查詢數據自動脫敏、BI數據分析及數據報告按需自動脫敏敏感數據等。

● 個人信息保護安全審計

企業必須依照法律、行政法規的規定,對個人信息的處理做安全審計。主要內容包括:相關程序和安全措施、個人信息處理活動的監控和記錄、個人信息的非法使用、濫用和責任追究等。在發生安全事件或泄露事件后,具備數據訪問軌跡追溯、安全合規分析能力。

● 組織協同推進保障

數據合規體系建設意義重大,企業領導層應大力支持并率先垂范。企業數據合規體系需要多部門協調共同推進保障。企業數據管理部門與業務部門、信息技術部門、網絡產品主管部門,乃至外部技術開發單位共同參與。各方全流程參與方案設計、數據合規監管要求梳理、特定產品風險識別與評估、數據合規保護制度與員工指南制定、隱私政策修改、數據合規風險防控等職責。