8月20日,《中華人民共和國個人資訊保護法》(以下簡稱“個人資訊保護法”)正式表決透過,並將於2021年11月1日起施行。此次法案,對行業普遍關注的多項資訊保安問題做出明確規定,在國家網路安全發展程式中具有里程碑意義。從不久前引發熱議的《資料安全法》到《個人資訊保護法》,一系列法律組合拳的出臺,意味著數字經濟已經告別了過去“粗放型”的管理模式,進入到規範化、精細化執行階段。
基於此,我們特別邀請到安在新媒體創始人張耀疆、德勤風險諮詢副總監王建霞、騰訊安全雲鼎實驗室資料安全專家劉海洋,聚焦《個人資訊保護法》中企業應該重點關注的問題進行解讀討論,為企業提供借鑑與參考。
Q1:整體來看,《個人資訊保護法》出臺對網路安全產業發展有什麼重要意義?
王建霞:我認為主要可以從五個方面來講。
一、 法律意義
長久以來,我國都缺少一部專門針對個人資訊保護的立法。《個人資訊保護法》的出臺,對於網路安全從業者來說是非常好的訊息,我們在日常工作中終於有了規範化和強制性的法律依據。
二、 國際意義
過去企業合規都是以歐盟GDPR為標準和指南,《個人資訊保護法》的出臺,可以大大提升國際領域對中國個人資訊保護的認可度和信心。
三、 企業意義
《個人資訊保護法》11月1日正式生效施行,因此,企業需要針對自身業務是否合規進行自檢,如果存在風險,在11月前需要儘快彌補相關風險。相對來說,大型企業的業務資料更多、業務型別更加複雜,所以風險也會更大。
四、 個人資訊跨境保護
無論是中國企業出華、還是國外企業入華,《個人資訊保護法》都會針對關鍵資訊科技設施類企業提出比較明確的要求。
五、 個人資訊保護的組織架構建立
除了合規之外,《個人資訊保護法》也會對企業的數字化相關業務產生影響。因此,企業在《個人資訊保護法》前提下開展相關產品和業務建設,長期來看,可以有效提升企業在整個行業的競爭力。
劉海洋:在王總分享的基礎上,我再補充以下三個方面:
一、對境外企業提供資料服務的限制
境外機構提供服務出現個人資訊出現問題和需要承擔責任時需要跨境交流,效率非常低,《個人資訊保護法》出臺後,境外企業在國內提供服務時,必須要建立相關機構和代表。出現相關問題可以在境內進行交涉,對於資料的維權非常有幫助。
二、對等反制
對我國採取歧視性的禁止、限制或者其他類似措施的,可以根據實際情況對該國家或者地區對等採取措施。
三、明確個人權利與義務
《個人資訊保護法》明確了自然人的資料權利,同時提出了個人資訊處理者應該承擔的義務。相關主體責任也進一步被明確。
從利好的角度來看,《個人資訊保護法》對於資料安全從業者一定是“積極的訊號”。在資料安全領域,一直缺少標準的評估體系,這部法律頒佈後,相信在不久的將來,資料安全的評估體系也會構建出來。
Q2:相比二審稿,三審稿進行了哪些修改?主要爭議點在哪裡?
王建霞:(截至沙龍舉辦時)個人資訊保護法全文還沒有正式釋出,根據近日人大常委臧鐵偉先生的說明,(我們可以側面瞭解到)三審內容主要做了以下方面的調整。
一、增加“根據《憲法》制定本法”條款。該條款直接提升了該法的法律地位。
二、針對APP過度收集個人資料、大資料殺熟等社會熱點問題進行明確響應。
三、將“不滿14週歲人群”的資訊作為敏感資訊。
四、完善了個人資料跨境提供的規則。
五、 增加了個人資料“可攜帶權”的規定。
此前,中國已經有些探索,比如工信部在2019年提出“攜號轉網”的服務,以及《個人資訊保安規範》裡提出了個人獲取資訊副本的權利,以及可以在技術可行的情況下把資訊傳輸給第三方等。
六、明確對個人資訊保護如何投訴、舉報的工作機制。
七、明確“自動化決策”的定義,企業不得以個人不同意為由拒絕提供產品或服務,並在需要向使用者解釋決策的具體邏輯,且使用者有權拒絕透過自動化決策做出的決定。
Q3:很多人評價《個人資訊保護》是有史以來最嚴格的資料安全保護法律之一,“嚴格”具體體現在哪裡?
王建霞:歐盟GDPR生效時,網上同樣有各種各樣的說法,稱其是“史上最嚴”。在我們看來,《個人資訊保護法》有相比GDPR嚴格的地方,也有比它稍微寬鬆一些的地方。
一、 從法律條文來看
雖然還未施行,但是根據中國法律的特性可以看出:《個人資訊保護法》法責嚴苛,會依法給予治安管理處罰,嚴重者會追究刑事責任。罰款的最高額度是五千萬以下,或者是上一年營業額5%的罰款。而歐盟GDPR一檔是2%、一檔是4%,不管從罰款還是個人追責,《個人資訊保護法》都相對嚴苛。
而在企業的角色方面,《個人資訊保護法》中提到“企業只是個人資訊的處理者”。而歐盟GDPR規定“企業是資料控制者和處理者”,控制者的義務大於處理者。個保法的處理者相當於GDPR的控制者。
二、 從執法層面來看
《個人資訊保護法》11月生效,目前國內已經有很多諸如“淨網行動”等各種各樣的舉措,這些行動都會檢查APP是否有資料蒐集使用資料相關的違規行為。在此之前,我們用歐盟執法案例去做分析時發現,從個人角度要以GDPR來起訴某一個企業,中間流程比較複雜。從這個角度來對比,中國的執法程度會高一些。
劉海洋:個保法對於“個人資訊處理者”需要履行的義務進行了明確的說明,可歸納為九項,包括有義務保障個人資訊的安全、需要及時告知情況、主動刪除、定期審計、事前做評估、保障行權等規定,這些都是個人資訊處理者的義務。
《個人資訊保護法》中,關於個人資訊處理者需要獲得使用者授權同意的場景有七種。在這七個場景下,必須要取得使用者的同意,否則企業開展處理活動就是違法的。《個人資訊保護法》還規定了八個需個人資訊處理者進行使用者告知的場景。這“七個同意”和“八個告知”在梳理業務過程中進行解決的工作量是極其龐大的。
Q4:《個人資訊保護法》對企業主體責任如何規定?
劉海洋:根據機構特徵不同,有些企業是請第三方負責,有些是由IT人員負責。而從《個人資訊保護法》中可以看出,責任劃分屬於“誰處理、誰負責”。如果企業將資料和個人資訊委託給第三方,企業需要承擔監督的責任。根據國家規定,當個人資訊達到一定數量,就需要指定一名責任人行使監督工作,幫助國家履行個人資訊保安職責的部門執行監督。
在企業開展個人資訊保護時,我總結了五個建議遵循的原則,供大家參考:
一、誠信原則
不要用誘導或欺詐的方式獲取資訊。
二、最小範圍
能不要最好不要,資訊不是拿到手裡面就是財富。拿多了可能就是負擔,滿足業務需要就可以了。
三、公開透明
無論是做大資料分析、輔助決策、營銷推廣,儘量做到公開透明,企業對資料的決策可以透過媒體或者官網的方式透明化。
四、準確和即時性
資訊資料並不是拿過來就再不負責,要定期更新保證資訊的準確性和完整性。
五、最短時間原則
收集完資訊處理了後,要立即主動刪除。
Q5:企業內部有哪些業務/部門與《個人資訊保護法》息息相關?應該如何應對?
王建霞:整體來看,個人資訊與企業大部分的業務條線都是有關聯的,包括HR、營銷、售後等等。企業首先需要進行基礎的個人資料梳理,分析資訊型別和應用場景,具體可以從如下維度出發:
一、產品維度
可以梳理出產品中涉及到的所有資料相關處理場景。
二、企業級別
目前大多數企業都屬於存量業務,資料量大、場景複雜,建議抓大放小,從高風險入手。比如把涉及到生物資訊、未成年人資訊等敏感資料的場景單拎出來重點處理。
風險評估後,需要管理層及時進行個人資訊保護決策,例如風險容忍度,相關落地策略等都需要進行決策和落地。
Q6:對企業來講,是否必須要從體系化建設去考慮?過程中如何避免“踩坑”?
王建霞:體系的本意是好的,但在具體實踐中,我們也觀察到很多情況下所起到的作用有限。因此企業在做體系建設時,一定要再往下做一層。
專案體系的難點其實在落地,專案過程中,每個企業的戰略、商業模式、業務生態、組織架構、成熟度和技術能力都不一樣,沒有一套現成的方法論可以直接用。因此,每個企業要做到把法律的要求解讀成具體落地的要求,比如說企業產品裡面隱私功能如何設計,隱私政策的框架和使用者授權怎麼去實現,需要具體場景、具體分析。
此外,還有一個難點涉及到跨境,比如企業出海或者是海外企業入華時,不只是要遵守一部法律,還要遵守很多其他的法律。那麼,我們需要用最嚴的要求、還是隻需要符合當地的要求來進行決策,這也是企業需要關注的。
劉海洋:“踩坑”這個點是我們在提供服務中經常被問到的,大家都不想踩坑。因此我總結了一些大家可能踩到的“坑”。
首先,在處理公開資訊時,有些個人資訊是公開的,在網上我們也能看得到,但在處理這些資訊的時候不能肆無忌憚,不是已經公開就可以隨便用,作為資訊處理者,需要運算元據時也要經過資訊個人的同意。
再有,資料個人資訊處理者有義務主動刪除資料,滿足條件的時候就要主動刪除。如果有些情況下企業無法刪除,也不代表企業就能逃避主動刪除這一項義務,法律上也不會強制企業去突破瓶頸進行刪除,但需要停止個人資訊處理活動。
Q7:目前有哪些工具和產品可以幫助企業提高各環節合規效率?
劉海洋:從《個人資訊保護法》中,我們可以看到合規工作是七分業務、三分技術。而在龐雜的業務合規工作量面前,資料安全從業者們需要儘可能考慮一體化、輕量化的解決方案。目前我們騰訊安全主推的一款CASB產品,可以幫助企業在開展合規工作中起到一定的助力作用:
一、 安全能力
融合將審計、脫敏(有匿名法演算法)、加密、訪問控制等安全能力進行一體化融合,相當於一次整合,多種使用,幫助企業快速推進合規落地。
二、 自動化輔助工具
可以輔助開展業務合規工作,如自動分類分級、資料資產梳理、訪問關係梳理、資料許可權梳理等。
此外,個人資訊中的敏感個人資訊也是重中之重,CASB可以利用技術自動化手段,幫助企業發現其分佈情況,以及被訪問情況,哪些使用者擁有許可權,哪些使用者進行操作……都可以透過CASB來輔助。
Q8:基於合法獲取的資料成果歸屬問題,《個人資訊保護法》中是否有相關規定?
王建霞:首先從歐盟GDPR的邏輯來看,以下三類個人資訊資料,都是屬於使用者個人的資料:
一、使用者直接提供的資料。即使用者主動輸入的賬號或者身份證號。
二、企業服務過程中生成的資料。例如使用者的網頁瀏覽記錄、音樂APP聽歌記錄等。
三、 企業成果。比如企業的使用者畫像,非企業提供和生成,而是基於企業的演算法或者本身技術得出的一些新資料。
而《個人資訊保護法》中,對於合法取得和授權範圍內的資料,企業有一定的智慧財產權。而從資料歸屬問題看來,資料究竟屬於企業還是個人?答案比較複雜。根據目前個保法的要求來看,該類個人資料在充分告知和使用者同意的情況下是可以使用的。
劉海洋:《個人資訊保護法》中有相關規定。首先,是否需要授權、以及歸誰所有,前提需要確定該資料是否為個人資訊。如果企業生成出來的資料,無法標示出個人的身份或行為,則歸個人資訊處理者所有,如果可以標識出來且屬於個人資訊,歸個人所有。 從技術處理上來講,如果已經進行匿名化處理的資訊則不屬於個人資訊,歸個人資訊處理者所有。
寫在後面
其實,《個人資訊保護法》的出臺,只是一個新里程的開端。對於企業來說,更重要的是對於使用者資訊保護的落實和實踐。而對於所有網路安全從業者來講,《個人資訊保護法》無論代表著利好還是壓力,我們都將認真面對,共同努力,從0到1、從1到2,在發現問題、解決問題的過程中不斷精益求精,幫助更多企業的安全工作體系化、規範化。