2021年8月20日,十三屆全國人大常委會第三十次會議表決通過了《中華人民共和國《個人信息保護法》》,自2021年11月1日起正式實施。《個人信息保護法》對個人信息處理規則、個人信息跨境傳輸、個人信息處理活動的權利、信息處理者的義務、監管部門職責以及罰則等作出了全面的規定。
過去一年,該法作為我國首部規范和加強個人信息保護的專門性法律,為破解個人信息保護中的熱點難點問題提供了強有力的法律保障。2022年11月1日,《個人信息保護法》即將迎來正式實施一周年。安全419長期關注個人信息保護相關議題,值此《個人信息保護法》實施一周年之際,拋出備受關注的關鍵話題,以期能引來更多的探討。
實施一年后,《個人信息保護法》給企業運營、社會公眾帶來了哪些影響?當前哪些行業還面臨著比較突出的個人信息保護問題?圍繞一系列相關問題,我們邀請了四位業內專家來分享自己的觀察。
實施一年后,《個人信息保護法》給企業運營和社會公眾帶來了哪些影響?
山石網科數據安全技術專家李蒞指出,《個人信息保護法》明確規定了企業組織在個人信息使用處理和流轉過程當中所應遵循的原則以及相關的義務,它使得廣大人民群眾在數字經濟發展過程當中享受到更多的幸福感和安全感,一方面對相關違法犯罪人員起到震懾和懲戒的作用,另一方面也提升了大眾關于個人信息的保護意識。
安天移動安全資深安全專家博文表示,從安天移動安全的監測來看,近年來應用的超范圍收集和違規收集個人信息行為已經出現逐年的下降和遞減的趨勢。在這一點上,公眾個人信息的認知和意識得到了很大程度的提升,可以看到在過去的這種隱私換取便利的方式下,公眾的意愿明顯下降,并且對自身的個人信息被非法使用和獲取的問題明顯有了更多關注。
在給企業運營帶來的影響方面,熠數信息CTO方偉認為,《個人信息保護法》對企業而言最重要還是做好合規工作。其中主要包含了兩個層面,首先是企業在采集公民個人信息的時候要注意合規,杜絕出現信息的過度收集,以及需要得到用戶的授權許可。另外一點是在使用、加工跟運維這些數據的時候,要加強企業自身的安全的措施,防止內部的外部的數據泄露以及數據被破壞等事件的發生,提高企業自身的安全能力。
他談到,“網絡安全行業其實是自頂向下的,對于公眾而言,他們會認為網絡安全、數據安全距離大眾非常的遙遠,但其實《個人信息保護法》的發布拉近了公民與安全行業之間的距離,每一個人的生活都與之息息相關,《個人信息保護法》的實施讓所有的人都提高了個人信息安全意識,對整個安全行業的發展來說也具有很重要的積極意義。”
極盾科技CEO丁楊也就這一問題分享了自己的觀點,在他看來,《個人信息保護法》頒布以來從個人的角度,能夠明顯感受到過往對個人信息的非法獲取、過度的采集濫用等現象非常大的改善,比如說各類的騷擾電話,信息的轟炸,精準詐騙,以及在一些場景下強制采集個人信息的現象都得到了很好的遏制。
從生活中經常使用到的一些數字軟件平臺中,普通的消費者也能夠享有決定自己的哪些數據可以被采集以及可以被使用的權利。作為企業來說,不管是數據的擁有者還是數據的使用者,都在個人信息保護和數據安全的投入層面做了大量的改進和提升。無論是在制度流程保障、工具平臺的數據安全建設還是相關能力人才的培養層面,整個行業做出了很大的進步。
企業在《個人信息保護法》的落實方面,做出了哪些的明顯改變?
丁楊表示,《個人信息保護法》事實上直接給普通民眾帶來了很大的便利性。“從數據安全保護的角度,我們可以看到像以告知和同意為核心的處理規則,已經幾乎覆蓋了所有常見的數字化APP、網站和平臺。事實上,其實現在很多的APP已經更進一步,不僅提供了告知同意的知情權、決定權,甚至還賦予了用戶異議刪除權,從功能層面提供了非常細粒度的安全管控和偏好的選擇,能夠讓用戶更好的去做好對個人隱私數據的保護,決定哪些數據在什么場景,提供給什么樣的平臺去使用。”
博文補充道,《個人信息保護法》當中對應用對個人信息的收集范圍、使用目的、收集的頻度,以及后續的數據分享、銷毀相關的一些要點進行了詳細的規定,并且已經將相關的行為規范上升到立法程度。在當前的大數據時代,這也對應用的開發者如何保障用戶的個人信息不受侵害提出了更高標準的要求。
他表示,在未來的移動互聯網的應用的開發乃至運營過程中,開發者都應該從產品的最開始的立項設計到開發上線,再到后續的整個的一個運營規范中時刻牢記有關個人信息的規范和要求,這樣才能夠保障自身產品的合規性,以及保障對用戶的個人信息相關的權益。
當前哪些行業還面臨著比較突出的個人信息保護問題?主要存在哪些方面?
李蒞認為,個人信息安全保護事實上并不存在行業的區別,各個行業的個人信息保護問題都不容小覷,尤其是涉及到比如說金融、運營商、教育、能源等等國計民生相關領域。當下最嚴峻的風險和挑戰便是落地難和執行難,主要的問題在于企業和組織在理解《個人信息保護法》相關條文的過程當中存在一定的分歧,大家目前都是處于一個觀望的態度,這就要求政府相關的機構要盡快的出臺最佳實踐,并加以引導和推廣。
丁楊談到,從重視程度上來看,可以看到現在包括金融行業以及大型的國央企和互聯網企業等,他們對個人信息的保護還是比較專注和謹慎。但是另外一方面,一些規模相對較小,在數字化能力以及數據保護意識上稍弱,但業務上卻涉及到個人敏感信息的一類行業客戶,比如行為軌跡類、個人住址類、交易信息類的等等相關的供應商,他們仍然面臨更多的一些個人信息保護相關問題。雖然目前已經有了一個比較大的個人信息保護的法律框架,但是仍然缺少比較細粒度的操作合規的指引,企業想合法合規的使用數據產生最大的業務價值,可能邊界和定位還是存在一些難點。
“同時,數據安全內憂外患,對外企業需要構筑好防御體系,阻斷黑客的一些針對性的攻擊,病毒勒索等等惡意破壞行為;對內也要去阻止違規的操作,非授權的訪問、離職泄密等類似事件的發生,這需要有比較成熟的產品技術方案支撐,這也是像我們極盾科技這樣的數據安全服務商存在的價值。”
博文從應用開發者的角度談到了自己的看法,他認為當前應用開發者在個人信息保護方面面臨兩大問題:首先是缺乏專業的安全合規方面的技術人才,其次是應用開發者對于國家監管單位對于個人信息保護和隱私保護相關條款具體落實要求,存在理解不太到位的情況。最終導致應用可能被監管單位通報,甚至是要被應用商店下架,造成了后續的經濟損失和用戶的流失問題。因此他認為,未來通過第三方服務機構向應用開發者提供個人信息保護相關的合規檢測服務會是一個必然的趨勢。
從企業數據安全建設的角度,方偉談到了自己的觀點。他表示,網絡安全行業最早是伴隨著攻防對抗而產生的,目前數據安全、信息個人信息保護已經成為了網絡安全行業中的一個細分領域。對于企業而言,外部的攻擊威脅只是其中的一小部分,更多的數據安全問題還是來自于企業內部自身發生的數據泄露方面。
其中包括員工的誤操作,內部人員跟外部人員勾結惡意操作,離職前數據的下載等多種方式,這些都是目前企業在個人信息保護過程當中付出代價最高,也是最難以檢測到的數據泄露行為。除此之外,還有一些隱藏在企業內部,已經被外部攻擊者獲取到相應權限的設備也會被用于進行數據竊取、數據破壞這類的行為,這是同樣也是當前企業面臨的重要的問題,所以說識別異常的用戶以及識別出用戶的異常是當前企業普遍面臨的挑戰。
在當前《個人信息保護法》的落地和完善改進方面有哪些建議?
李蒞表示,《個人信息保護法》第五十八條第一款當中提到了對于承接重要的互聯網服務,且用戶體量巨大,業務復雜的相關平臺,應當建立由外部人員組成的獨立機構,對個人信息保護的情況進行有效監管。但所謂的“獨立機構”它是如何被建立起來的,包括整個監管的流程是否是科學合理有效的,在《個人信息保護法》的原文當中是沒有被進一步的闡釋和說明的,這就要求在下一步工作當中要來對相關的內容做完善和補充。
博文談到,安天移動安全注意到,由于開發者企業自身的業務場景的不同,以及其核心產品應用的業務場景的差異性,導致收集、處理、使用甚至分享用戶個人信息過程中的標準,事實上也存在差異性。
因此,他建議,在進一步的《個人信息保護法》相關的政策實施過程中,應該針對特定的行業、特定的業務場景區分化和差異化的建立數據標準和監管邊界,針對頻繁出現跟信息保護問題的行業甚至企業,也要加強監管的巡查力度,守牢我們的用戶安全底線。
丁楊從《個人信息保護法》的完善角度提出了三點建議:
01 在可操作性方面可以再進一步提升,在《個人信息保護法》大的框架下如何去更好的落地,其實這需要有相應的行業條例或者更細粒度的規章制度,去幫助企業和平臺來具體的落地執行;
02 在民眾的意識層面還應進一步去做提升,開設更多的渠道和平臺去做好宣傳教育工作,尤其是針對一些如老年人和未成年人的弱勢群體的宣傳教育方面,避免他們受到非法的個人信息相關的侵犯;
03 建議打通更便捷的投訴渠道,及時回應民眾對個人合法權益遭到侵犯時進行投訴的需求。
方偉表示,當前《個人信息保護法》里面很多條款比較具有原則性的,它在落地跟實施的過程當中,需要通過一些案例來進行推進。應該結合不同的應用場景,增加一些適當的司法解釋,部門規章以及地方性的法規等等,這樣才能夠不斷的推進《個人信息保護法》的落地實施。
此外,當前數據已經成為了數字經濟時代新的生產要素,是數字經濟發展的主要動力。那么經過處理的模糊化的公民的個人信息,其實也是其中的重要的組成部分之一,企業實際上是可以對這部分數據進行處理和使用。
“《個人信息保護法》的實施是為了讓企業拋棄掉過去錯誤的以及濫用的利用方式,走向正確的信息的使用方式。要做到這一步,就要進一步的明確合規以及免責的邊界,推動企業用公民的個人信息做好事,而不是用來做壞事。我們也可以考慮借鑒一些國外的相關立法,探索在保護公民個人信息的同時,也能夠增加促進數字經濟發展以及創新應用的相應的規則”,方偉最后談到。
更多信息可以來這里獲取==>>電子技術應用-AET<<
