2021年8月20日,十三屆全國人大常委會(huì)第三十次會(huì)議表決通過了《中華人民共和國《個(gè)人信息保護(hù)法》》,自2021年11月1日起正式實(shí)施。《個(gè)人信息保護(hù)法》對個(gè)人信息處理規(guī)則、個(gè)人信息跨境傳輸、個(gè)人信息處理活動(dòng)的權(quán)利、信息處理者的義務(wù)、監(jiān)管部門職責(zé)以及罰則等作出了全面的規(guī)定。
過去一年,該法作為我國首部規(guī)范和加強(qiáng)個(gè)人信息保護(hù)的專門性法律,為破解個(gè)人信息保護(hù)中的熱點(diǎn)難點(diǎn)問題提供了強(qiáng)有力的法律保障。2022年11月1日,《個(gè)人信息保護(hù)法》即將迎來正式實(shí)施一周年。安全419長期關(guān)注個(gè)人信息保護(hù)相關(guān)議題,值此《個(gè)人信息保護(hù)法》實(shí)施一周年之際,拋出備受關(guān)注的關(guān)鍵話題,以期能引來更多的探討。
實(shí)施一年后,《個(gè)人信息保護(hù)法》給企業(yè)運(yùn)營、社會(huì)公眾帶來了哪些影響?當(dāng)前哪些行業(yè)還面臨著比較突出的個(gè)人信息保護(hù)問題?圍繞一系列相關(guān)問題,我們邀請了四位業(yè)內(nèi)專家來分享自己的觀察。
實(shí)施一年后,《個(gè)人信息保護(hù)法》給企業(yè)運(yùn)營和社會(huì)公眾帶來了哪些影響?
山石網(wǎng)科數(shù)據(jù)安全技術(shù)專家李蒞指出,《個(gè)人信息保護(hù)法》明確規(guī)定了企業(yè)組織在個(gè)人信息使用處理和流轉(zhuǎn)過程當(dāng)中所應(yīng)遵循的原則以及相關(guān)的義務(wù),它使得廣大人民群眾在數(shù)字經(jīng)濟(jì)發(fā)展過程當(dāng)中享受到更多的幸福感和安全感,一方面對相關(guān)違法犯罪人員起到震懾和懲戒的作用,另一方面也提升了大眾關(guān)于個(gè)人信息的保護(hù)意識(shí)。
安天移動(dòng)安全資深安全專家博文表示,從安天移動(dòng)安全的監(jiān)測來看,近年來應(yīng)用的超范圍收集和違規(guī)收集個(gè)人信息行為已經(jīng)出現(xiàn)逐年的下降和遞減的趨勢。在這一點(diǎn)上,公眾個(gè)人信息的認(rèn)知和意識(shí)得到了很大程度的提升,可以看到在過去的這種隱私換取便利的方式下,公眾的意愿明顯下降,并且對自身的個(gè)人信息被非法使用和獲取的問題明顯有了更多關(guān)注。
在給企業(yè)運(yùn)營帶來的影響方面,熠數(shù)信息CTO方偉認(rèn)為,《個(gè)人信息保護(hù)法》對企業(yè)而言最重要還是做好合規(guī)工作。其中主要包含了兩個(gè)層面,首先是企業(yè)在采集公民個(gè)人信息的時(shí)候要注意合規(guī),杜絕出現(xiàn)信息的過度收集,以及需要得到用戶的授權(quán)許可。另外一點(diǎn)是在使用、加工跟運(yùn)維這些數(shù)據(jù)的時(shí)候,要加強(qiáng)企業(yè)自身的安全的措施,防止內(nèi)部的外部的數(shù)據(jù)泄露以及數(shù)據(jù)被破壞等事件的發(fā)生,提高企業(yè)自身的安全能力。
他談到,“網(wǎng)絡(luò)安全行業(yè)其實(shí)是自頂向下的,對于公眾而言,他們會(huì)認(rèn)為網(wǎng)絡(luò)安全、數(shù)據(jù)安全距離大眾非常的遙遠(yuǎn),但其實(shí)《個(gè)人信息保護(hù)法》的發(fā)布拉近了公民與安全行業(yè)之間的距離,每一個(gè)人的生活都與之息息相關(guān),《個(gè)人信息保護(hù)法》的實(shí)施讓所有的人都提高了個(gè)人信息安全意識(shí),對整個(gè)安全行業(yè)的發(fā)展來說也具有很重要的積極意義。”
極盾科技CEO丁楊也就這一問題分享了自己的觀點(diǎn),在他看來,《個(gè)人信息保護(hù)法》頒布以來從個(gè)人的角度,能夠明顯感受到過往對個(gè)人信息的非法獲取、過度的采集濫用等現(xiàn)象非常大的改善,比如說各類的騷擾電話,信息的轟炸,精準(zhǔn)詐騙,以及在一些場景下強(qiáng)制采集個(gè)人信息的現(xiàn)象都得到了很好的遏制。
從生活中經(jīng)常使用到的一些數(shù)字軟件平臺(tái)中,普通的消費(fèi)者也能夠享有決定自己的哪些數(shù)據(jù)可以被采集以及可以被使用的權(quán)利。作為企業(yè)來說,不管是數(shù)據(jù)的擁有者還是數(shù)據(jù)的使用者,都在個(gè)人信息保護(hù)和數(shù)據(jù)安全的投入層面做了大量的改進(jìn)和提升。無論是在制度流程保障、工具平臺(tái)的數(shù)據(jù)安全建設(shè)還是相關(guān)能力人才的培養(yǎng)層面,整個(gè)行業(yè)做出了很大的進(jìn)步。
企業(yè)在《個(gè)人信息保護(hù)法》的落實(shí)方面,做出了哪些的明顯改變?
丁楊表示,《個(gè)人信息保護(hù)法》事實(shí)上直接給普通民眾帶來了很大的便利性。“從數(shù)據(jù)安全保護(hù)的角度,我們可以看到像以告知和同意為核心的處理規(guī)則,已經(jīng)幾乎覆蓋了所有常見的數(shù)字化APP、網(wǎng)站和平臺(tái)。事實(shí)上,其實(shí)現(xiàn)在很多的APP已經(jīng)更進(jìn)一步,不僅提供了告知同意的知情權(quán)、決定權(quán),甚至還賦予了用戶異議刪除權(quán),從功能層面提供了非常細(xì)粒度的安全管控和偏好的選擇,能夠讓用戶更好的去做好對個(gè)人隱私數(shù)據(jù)的保護(hù),決定哪些數(shù)據(jù)在什么場景,提供給什么樣的平臺(tái)去使用。”
博文補(bǔ)充道,《個(gè)人信息保護(hù)法》當(dāng)中對應(yīng)用對個(gè)人信息的收集范圍、使用目的、收集的頻度,以及后續(xù)的數(shù)據(jù)分享、銷毀相關(guān)的一些要點(diǎn)進(jìn)行了詳細(xì)的規(guī)定,并且已經(jīng)將相關(guān)的行為規(guī)范上升到立法程度。在當(dāng)前的大數(shù)據(jù)時(shí)代,這也對應(yīng)用的開發(fā)者如何保障用戶的個(gè)人信息不受侵害提出了更高標(biāo)準(zhǔn)的要求。
他表示,在未來的移動(dòng)互聯(lián)網(wǎng)的應(yīng)用的開發(fā)乃至運(yùn)營過程中,開發(fā)者都應(yīng)該從產(chǎn)品的最開始的立項(xiàng)設(shè)計(jì)到開發(fā)上線,再到后續(xù)的整個(gè)的一個(gè)運(yùn)營規(guī)范中時(shí)刻牢記有關(guān)個(gè)人信息的規(guī)范和要求,這樣才能夠保障自身產(chǎn)品的合規(guī)性,以及保障對用戶的個(gè)人信息相關(guān)的權(quán)益。
當(dāng)前哪些行業(yè)還面臨著比較突出的個(gè)人信息保護(hù)問題?主要存在哪些方面?
李蒞認(rèn)為,個(gè)人信息安全保護(hù)事實(shí)上并不存在行業(yè)的區(qū)別,各個(gè)行業(yè)的個(gè)人信息保護(hù)問題都不容小覷,尤其是涉及到比如說金融、運(yùn)營商、教育、能源等等國計(jì)民生相關(guān)領(lǐng)域。當(dāng)下最嚴(yán)峻的風(fēng)險(xiǎn)和挑戰(zhàn)便是落地難和執(zhí)行難,主要的問題在于企業(yè)和組織在理解《個(gè)人信息保護(hù)法》相關(guān)條文的過程當(dāng)中存在一定的分歧,大家目前都是處于一個(gè)觀望的態(tài)度,這就要求政府相關(guān)的機(jī)構(gòu)要盡快的出臺(tái)最佳實(shí)踐,并加以引導(dǎo)和推廣。
丁楊談到,從重視程度上來看,可以看到現(xiàn)在包括金融行業(yè)以及大型的國央企和互聯(lián)網(wǎng)企業(yè)等,他們對個(gè)人信息的保護(hù)還是比較專注和謹(jǐn)慎。但是另外一方面,一些規(guī)模相對較小,在數(shù)字化能力以及數(shù)據(jù)保護(hù)意識(shí)上稍弱,但業(yè)務(wù)上卻涉及到個(gè)人敏感信息的一類行業(yè)客戶,比如行為軌跡類、個(gè)人住址類、交易信息類的等等相關(guān)的供應(yīng)商,他們?nèi)匀幻媾R更多的一些個(gè)人信息保護(hù)相關(guān)問題。雖然目前已經(jīng)有了一個(gè)比較大的個(gè)人信息保護(hù)的法律框架,但是仍然缺少比較細(xì)粒度的操作合規(guī)的指引,企業(yè)想合法合規(guī)的使用數(shù)據(jù)產(chǎn)生最大的業(yè)務(wù)價(jià)值,可能邊界和定位還是存在一些難點(diǎn)。
“同時(shí),數(shù)據(jù)安全內(nèi)憂外患,對外企業(yè)需要構(gòu)筑好防御體系,阻斷黑客的一些針對性的攻擊,病毒勒索等等惡意破壞行為;對內(nèi)也要去阻止違規(guī)的操作,非授權(quán)的訪問、離職泄密等類似事件的發(fā)生,這需要有比較成熟的產(chǎn)品技術(shù)方案支撐,這也是像我們極盾科技這樣的數(shù)據(jù)安全服務(wù)商存在的價(jià)值。”
博文從應(yīng)用開發(fā)者的角度談到了自己的看法,他認(rèn)為當(dāng)前應(yīng)用開發(fā)者在個(gè)人信息保護(hù)方面面臨兩大問題:首先是缺乏專業(yè)的安全合規(guī)方面的技術(shù)人才,其次是應(yīng)用開發(fā)者對于國家監(jiān)管單位對于個(gè)人信息保護(hù)和隱私保護(hù)相關(guān)條款具體落實(shí)要求,存在理解不太到位的情況。最終導(dǎo)致應(yīng)用可能被監(jiān)管單位通報(bào),甚至是要被應(yīng)用商店下架,造成了后續(xù)的經(jīng)濟(jì)損失和用戶的流失問題。因此他認(rèn)為,未來通過第三方服務(wù)機(jī)構(gòu)向應(yīng)用開發(fā)者提供個(gè)人信息保護(hù)相關(guān)的合規(guī)檢測服務(wù)會(huì)是一個(gè)必然的趨勢。
從企業(yè)數(shù)據(jù)安全建設(shè)的角度,方偉談到了自己的觀點(diǎn)。他表示,網(wǎng)絡(luò)安全行業(yè)最早是伴隨著攻防對抗而產(chǎn)生的,目前數(shù)據(jù)安全、信息個(gè)人信息保護(hù)已經(jīng)成為了網(wǎng)絡(luò)安全行業(yè)中的一個(gè)細(xì)分領(lǐng)域。對于企業(yè)而言,外部的攻擊威脅只是其中的一小部分,更多的數(shù)據(jù)安全問題還是來自于企業(yè)內(nèi)部自身發(fā)生的數(shù)據(jù)泄露方面。
其中包括員工的誤操作,內(nèi)部人員跟外部人員勾結(jié)惡意操作,離職前數(shù)據(jù)的下載等多種方式,這些都是目前企業(yè)在個(gè)人信息保護(hù)過程當(dāng)中付出代價(jià)最高,也是最難以檢測到的數(shù)據(jù)泄露行為。除此之外,還有一些隱藏在企業(yè)內(nèi)部,已經(jīng)被外部攻擊者獲取到相應(yīng)權(quán)限的設(shè)備也會(huì)被用于進(jìn)行數(shù)據(jù)竊取、數(shù)據(jù)破壞這類的行為,這是同樣也是當(dāng)前企業(yè)面臨的重要的問題,所以說識(shí)別異常的用戶以及識(shí)別出用戶的異常是當(dāng)前企業(yè)普遍面臨的挑戰(zhàn)。
在當(dāng)前《個(gè)人信息保護(hù)法》的落地和完善改進(jìn)方面有哪些建議?
李蒞表示,《個(gè)人信息保護(hù)法》第五十八條第一款當(dāng)中提到了對于承接重要的互聯(lián)網(wǎng)服務(wù),且用戶體量巨大,業(yè)務(wù)復(fù)雜的相關(guān)平臺(tái),應(yīng)當(dāng)建立由外部人員組成的獨(dú)立機(jī)構(gòu),對個(gè)人信息保護(hù)的情況進(jìn)行有效監(jiān)管。但所謂的“獨(dú)立機(jī)構(gòu)”它是如何被建立起來的,包括整個(gè)監(jiān)管的流程是否是科學(xué)合理有效的,在《個(gè)人信息保護(hù)法》的原文當(dāng)中是沒有被進(jìn)一步的闡釋和說明的,這就要求在下一步工作當(dāng)中要來對相關(guān)的內(nèi)容做完善和補(bǔ)充。
博文談到,安天移動(dòng)安全注意到,由于開發(fā)者企業(yè)自身的業(yè)務(wù)場景的不同,以及其核心產(chǎn)品應(yīng)用的業(yè)務(wù)場景的差異性,導(dǎo)致收集、處理、使用甚至分享用戶個(gè)人信息過程中的標(biāo)準(zhǔn),事實(shí)上也存在差異性。
因此,他建議,在進(jìn)一步的《個(gè)人信息保護(hù)法》相關(guān)的政策實(shí)施過程中,應(yīng)該針對特定的行業(yè)、特定的業(yè)務(wù)場景區(qū)分化和差異化的建立數(shù)據(jù)標(biāo)準(zhǔn)和監(jiān)管邊界,針對頻繁出現(xiàn)跟信息保護(hù)問題的行業(yè)甚至企業(yè),也要加強(qiáng)監(jiān)管的巡查力度,守牢我們的用戶安全底線。
丁楊從《個(gè)人信息保護(hù)法》的完善角度提出了三點(diǎn)建議:
01 在可操作性方面可以再進(jìn)一步提升,在《個(gè)人信息保護(hù)法》大的框架下如何去更好的落地,其實(shí)這需要有相應(yīng)的行業(yè)條例或者更細(xì)粒度的規(guī)章制度,去幫助企業(yè)和平臺(tái)來具體的落地執(zhí)行;
02 在民眾的意識(shí)層面還應(yīng)進(jìn)一步去做提升,開設(shè)更多的渠道和平臺(tái)去做好宣傳教育工作,尤其是針對一些如老年人和未成年人的弱勢群體的宣傳教育方面,避免他們受到非法的個(gè)人信息相關(guān)的侵犯;
03 建議打通更便捷的投訴渠道,及時(shí)回應(yīng)民眾對個(gè)人合法權(quán)益遭到侵犯時(shí)進(jìn)行投訴的需求。
方偉表示,當(dāng)前《個(gè)人信息保護(hù)法》里面很多條款比較具有原則性的,它在落地跟實(shí)施的過程當(dāng)中,需要通過一些案例來進(jìn)行推進(jìn)。應(yīng)該結(jié)合不同的應(yīng)用場景,增加一些適當(dāng)?shù)乃痉ń忉專块T規(guī)章以及地方性的法規(guī)等等,這樣才能夠不斷的推進(jìn)《個(gè)人信息保護(hù)法》的落地實(shí)施。
此外,當(dāng)前數(shù)據(jù)已經(jīng)成為了數(shù)字經(jīng)濟(jì)時(shí)代新的生產(chǎn)要素,是數(shù)字經(jīng)濟(jì)發(fā)展的主要?jiǎng)恿ΑD敲唇?jīng)過處理的模糊化的公民的個(gè)人信息,其實(shí)也是其中的重要的組成部分之一,企業(yè)實(shí)際上是可以對這部分?jǐn)?shù)據(jù)進(jìn)行處理和使用。
“《個(gè)人信息保護(hù)法》的實(shí)施是為了讓企業(yè)拋棄掉過去錯(cuò)誤的以及濫用的利用方式,走向正確的信息的使用方式。要做到這一步,就要進(jìn)一步的明確合規(guī)以及免責(zé)的邊界,推動(dòng)企業(yè)用公民的個(gè)人信息做好事,而不是用來做壞事。我們也可以考慮借鑒一些國外的相關(guān)立法,探索在保護(hù)公民個(gè)人信息的同時(shí),也能夠增加促進(jìn)數(shù)字經(jīng)濟(jì)發(fā)展以及創(chuàng)新應(yīng)用的相應(yīng)的規(guī)則”,方偉最后談到。
更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<
