在之前的兩篇文章 基于資料分類分級和敏感資料保護,保障企業資料安全 、 如何基于Dataphin實作敏感資料保護(以消費者隐私保護為例)
中,我們詳細的介紹了如何基于Dataphin的資料分類分級和動态脫敏能力,實作資料研發過程中的敏感資料保護。本文我們更加詳細的研究下《個人資訊保護法》(本文後面簡稱個保法)。
在2021年8月20日,全國人大正式通過《個人資訊保護法》,标志着中國個人資訊保護立法由“分散”進入“統一”的新階段,也為企業的合規經營提出了更加清晰且嚴格的要求。個保法涉及到的内容很多,涉及到個人資訊處理者、個人資訊主體、政府機關等多個主體,對個人資料的采集、使用、存儲、跨境等都做了詳細的法律規定,詳細的内容可以參考:
中華人民共和國個人資訊保護法。
本文更多從企業角度,也就是個人資訊處理者的角度,針對資料的生命周期來分析下新的法律環境下企業的合規經營之路。
一、适用範圍
在中國境内處理個人資訊的活動 或者 向境内自然人提供産品和服務的 都适用個保法。是以,凡是涉及到中國境内自然人的業務,都需要遵守個保法。
二、業務合規
這部分是對前端業務,也就是對資料來源的要求,業務合規部分,主要講了三件事:
1、除了法律單獨規定(如公共安全),處理個人資訊時,需要明确告知處理方式,并取得個人同意;處理方式發生變更或者設計個人敏感資訊的,需要單獨同意。該部分生效後會看到APP在重新安裝後,申請權限時都需要有詳細的說明。
2、資料跨境必須經過國家主管機構的審批,走正式流程後資料方可跨境。
3、除法律另有規定的情況下,個人對其個人資訊享有知情權,決定權,有權限制或拒絕他人對其個人資訊進行處理。該部分生效後,APP上需要提供停止跟蹤/停止收集個人資訊/删除個人資訊等功能。
三、個保法下的公司的義務
1、資料處理者的義務
上面這張圖,已經很完整的總結出了企業在個人資訊處理時的義務,下面我們挨個來看下:
1、内部管理制度 & 内部操作規程。管理制度和操作規程是清單中其他義務能夠完成的基礎,需要根據法律、行業、企業的情況,認真制定。管理制度要充分考慮目标和企業組織的情況;操作規程更要結合實際的産品和方法論,確定個保法能真正落地。該部分可以參考後續系列文章:企業中的資料安全制度。
2、個人資訊分類。在上一篇
中,我們講解了如何在Dataphin中定義資料的分類分級标準,并通過Dataphin實作資料自動分類分級的案例。在制定企業的資料分類分級标準時,參考行業标準并靈活調整,是一個不錯的思路。該部分可以在網上搜尋公開的或者行業的分類分級标準,也可以參考後續系列文章:企業資料的分類分級标準。
3、安全技術措施。個人資料,需要采取加密、去辨別化等安全技術措施。這一點是對資料處理标準來說非常大的變化,在個保法出來之前,個人資料多是明文入庫,在這個基礎上做好脫敏和權限的劃分即可;在個保法出來之後,因為個人對個人資訊具有删除權,但是從技術上對個人的曆史資料進行全量的删除非常困難,隻能進行去辨別化處理才能夠有效保護資料;并且個保法也明确規定了資料處理過程中,需要對敏感資料采取加密、去辨別化等安全技術措施。
在之前的文章裡,我們已經詳細的講解了如何通過動态脫敏功能,在資料開發的流程中實作敏感資料的保護。至于資料入庫(資料內建)的加密方案,以及Dataphin完整的加解密方案,可以參考後續系列文章:利用Dataphin實作資料的加解密和敏感資料保護。
4、内部人員管理。這部分主要是權限的管理和安全意識安全操作的教育訓練,此處不再贅述。有關Dataphin的權限體系,可以參考産品手冊
使用者角色和權限5、定期合規審計。合規審計主要包括兩部分内容:資料安全審計、資料合規審計。資料安全審計主要是通過技術手段,對系統内的資料的安全使用情況進行審計,比如是否有敏感資料的異常通路,有大規模的資料下載下傳;資料合規審計則是對資料業務的審計,包含資料的輸入、處理等業務過程和法律法規的符合程度。該部分可以參考後續系列文章:利用Dataphin實作資料中台的安全審計。
6、應急預案實施。對于發生和可能發生的個人資訊洩露、篡改和丢失,應當立即采取補救措施,并通知個人;對于能夠采取有效措施避免資訊洩漏、篡改、丢失造成危害的,可以不用通知個人。對于資料洩漏,應當在源頭就通過資料加密、權限配置設定、審計告警等措施,将洩漏風險降至最低;在洩漏之後,應當有資料溯源、停用賬号等措施,防止損失進一步擴大。
2、指定個人資訊保護負責人
在個保法中,第五十二條規定如下:
“處理個人資訊達到國家網信部門規定數量的個人資訊處理者應當指定個人資訊保護負責人,負責對個人資訊處理活動以及采取的保護措施等進行監督。個人資訊處理者應當公開個人資訊保護負責人的聯系方式,并将個人資訊保護負責人的姓名、聯系方式等報送履行個人資訊保護職責的部門。”企業需要專門設定一個個人資訊保護負責人的職位,可以考慮由CRO(首席風險官)、安全部門負責人等任職,全權負責企業的資料安全管理。需要注意的是,個人資訊保護負責人的權責一緻,在享受較大的權利的同時,也承擔着企業的安全紅線,一旦出現事故,對企業和個人都是巨大的責任,具體的可以參考下面的法律責任:
經過上面對個保法的簡單解讀,相信大家現在有了一個比較明确的概念。本文更多是結合企業的業務對個保法進行一個通俗的解讀,更加專業的文章可以直接閱讀原文
關于個保法的更多落地文章,可以關注後續安全系列文章,從資料安全的建設方法論,到通過Dataphin實作資料安全都會逐漸講解。