在之前的两篇文章基于数据分类分级和敏感数据保护,保障企业数据安全、如何基于Dataphin实现敏感数据保护(以消费者隐私保护为例)中,我们详细的介绍了如何基于Dataphin的数据分类分级和动态脱敏能力,实现数据研发过程中的敏感数据保护。本文我们更加详细的研究下《个人信息保护法》(本文后面简称个保法)。
在2021年8月20日,全国人大正式通过《个人信息保护法》,标志着中国个人信息保护立法由“分散”进入“统一”的新阶段,也为企业的合规经营提出了更加清晰且严格的要求。个保法涉及到的内容很多,涉及到个人信息处理者、个人信息主体、政府机关等多个主体,对个人数据的采集、使用、存储、跨境等都做了详细的法律规定,详细的内容可以参考:中华人民共和国个人信息保护法。
本文更多从企业角度,也就是个人信息处理者的角度,针对数据的生命周期来分析下新的法律环境下企业的合规经营之路。
一、适用范围
在中国境内处理个人信息的活动 或者 向境内自然人提供产品和服务的 都适用个保法。因此,凡是涉及到中国境内自然人的业务,都需要遵守个保法。
二、业务合规
这部分是对前端业务,也就是对数据来源的要求,业务合规部分,主要讲了三件事:
1、除了法律单独规定(如公共安全),处理个人信息时,需要明确告知处理方式,并取得个人同意;处理方式发生变更或者设计个人敏感信息的,需要单独同意。该部分生效后会看到APP在重新安装后,申请权限时都需要有详细的说明。
2、数据跨境必须经过国家主管机构的审批,走正式流程后数据方可跨境。
3、除法律另有规定的情况下,个人对其个人信息享有知情权,决定权,有权限制或拒绝他人对其个人信息进行处理。该部分生效后,APP上需要提供停止跟踪/停止收集个人信息/删除个人信息等功能。
三、个保法下的公司的义务
1、数据处理者的义务
上面这张图,已经很完整的总结出了企业在个人信息处理时的义务,下面我们挨个来看下:
1、内部管理制度 & 内部操作规程。管理制度和操作规程是列表中其他义务能够完成的基础,需要根据法律、行业、企业的情况,认真制定。管理制度要充分考虑目标和企业组织的情况;操作规程更要结合实际的产品和方法论,确保个保法能真正落地。该部分可以参考后续系列文章:企业中的数据安全制度。
2、个人信息分类。在上一篇基于数据分类分级和敏感数据保护,保障企业数据安全中,我们讲解了如何在Dataphin中定义数据的分类分级标准,并通过Dataphin实现数据自动分类分级的案例。在制定企业的数据分类分级标准时,参考行业标准并灵活调整,是一个不错的思路。该部分可以在网上搜索公开的或者行业的分类分级标准,也可以参考后续系列文章:企业数据的分类分级标准。
3、安全技术措施。个人数据,需要采取加密、去标识化等安全技术措施。这一点是对数据处理标准来说非常大的变化,在个保法出来之前,个人数据多是明文入库,在这个基础上做好脱敏和权限的划分即可;在个保法出来之后,因为个人对个人信息具有删除权,但是从技术上对个人的历史数据进行全量的删除非常困难,只能进行去标识化处理才能够有效保护数据;并且个保法也明确规定了数据处理过程中,需要对敏感数据采取加密、去标识化等安全技术措施。
在之前的文章里,我们已经详细的讲解了如何通过动态脱敏功能,在数据开发的流程中实现敏感数据的保护。至于数据入库(数据集成)的加密方案,以及Dataphin完整的加解密方案,可以参考后续系列文章:利用Dataphin实现数据的加解密和敏感数据保护。
4、内部人员管理。这部分主要是权限的管理和安全意识安全操作的培训,此处不再赘述。有关Dataphin的权限体系,可以参考产品手册用户角色和权限。
5、定期合规审计。合规审计主要包括两部分内容:数据安全审计、数据合规审计。数据安全审计主要是通过技术手段,对系统内的数据的安全使用情况进行审计,比如是否有敏感数据的异常访问,有大规模的数据下载;数据合规审计则是对数据业务的审计,包含数据的输入、处理等业务过程和法律法规的符合程度。该部分可以参考后续系列文章:利用Dataphin实现数据中台的安全审计。
6、应急预案实施。对于发生和可能发生的个人信息泄露、篡改和丢失,应当立即采取补救措施,并通知个人;对于能够采取有效措施避免信息泄漏、篡改、丢失造成危害的,可以不用通知个人。对于数据泄漏,应当在源头就通过数据加密、权限分配、审计告警等措施,将泄漏风险降至最低;在泄漏之后,应当有数据溯源、停用账号等措施,防止损失进一步扩大。
2、指定个人信息保护负责人
在个保法中,第五十二条规定如下:
“处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。个人信息处理者应当公开个人信息保护负责人的联系方式,并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门。”企业需要专门设置一个个人信息保护负责人的职位,可以考虑由CRO(首席风险官)、安全部门负责人等任职,全权负责企业的数据安全管理。需要注意的是,个人信息保护负责人的权责一致,在享受较大的权利的同时,也承担着企业的安全红线,一旦出现事故,对企业和个人都是巨大的责任,具体的可以参考下面的法律责任:
经过上面对个保法的简单解读,相信大家现在有了一个比较明确的概念。本文更多是结合企业的业务对个保法进行一个通俗的解读,更加专业的文章可以直接阅读原文中华人民共和国个人信息保护法。
关于个保法的更多落地文章,可以关注后续安全系列文章,从数据安全的建设方法论,到通过Dataphin实现数据安全都会逐步讲解。
