歷經(jīng)三次評審，《個人信息保護法》于8月20日正式出臺，在期間進行的所有改動當中，在第一章第一條中加入“依據(jù)憲法，制定本法”一項頗為惹眼，這是在各種網(wǎng)絡(luò)安全相關(guān)法律中不曾出現(xiàn)過的，在數(shù)字化改革如火如荼、國家級信息安全事件頻出，人權(quán)指控四起的特殊時期，本法的出臺可謂意義重大，預示著未來數(shù)據(jù)安全尤其是個人信息保護將進入一個全新時代。

　　法律全文分為八大章節(jié)共計七十四條，從原則、個人信息處理規(guī)則、敏感個人信息處理規(guī)則、個人信息跨境處理規(guī)則、個人信息主體權(quán)益、個人信息處理者義務(wù)、主管部門及其責任和法律責任幾個方面對個人信息的處理過程做了法律約束。

　　法律說了什么？

　　立法對象是誰？

　　個人/自然人：

　　個人信息的主體

　　個人信息處理者：

　　一般個人信息處理者

　　境外個人信息處理者

　　重要互聯(lián)網(wǎng)平臺服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復雜的個人信息處理者

　　需要處理個人信息的國家機關(guān)

　　監(jiān)管單位：

　　網(wǎng)信和相關(guān)監(jiān)管單位

　　世平說：

　　相較于網(wǎng)絡(luò)安全其他法律法規(guī)，立法對象多了“你我”，涉及信息安全和人權(quán)，也是本法的相對特別之處。

　　立法目的是什么？

　　為了保護個人信息權(quán)益

　　規(guī)范個人信息處理活動

　　促進個人信息合理利用

　　——第一條

　　世平說：

　　開宗明義

　　什么是個人信息？

　　個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息。

　　——第四條

　　敏感個人信息是一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產(chǎn)安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息。

　　——第二十八條

　　世平說：

　　與《個人信息安全規(guī)范》中定義一致，明確了技術(shù)層面所要保護的對象，保護個人信息安全的前提是能夠準確的識別定位個人信息。

　　個人信息權(quán)益有哪些？

　　個人對其個人信息的處理享有知情權(quán)、決定權(quán)，有權(quán)限制或者拒絕他人對其個人信息進行處理

　　——第四十四條

　　撤回同意

　　——第十五條

　　未滿十四周歲個人信息保護

　　——第二十八條

　　查閱、復制本人個人信息

　　——第四十五條

　　更正、補充本人個人信息

　　——第四十六條

　　要求刪除本人個人信息

　　——第四十七條

　　要求對個人信息處理規(guī)則進行解釋說明

　　——第四十八條

　　近親對死者信息查閱、復制、更正、刪除

　　——第四十九條

　　訴訟

　　——第五十條

　　世平說：

　　數(shù)據(jù)也是資產(chǎn)，對于屬于個人的資產(chǎn)，我們有權(quán)決定其如何被使用。

　　什么是個人信息處理活動？

　　個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等。

　　——第四條

　　世平說：

　　也就是我們常說的數(shù)據(jù)安全生命周期。

　　合理利用如何體現(xiàn)？

　　個人在充分知情條件下自愿、明確同意

　　——第十三、十四條

　　不得以個人不同意為由拒絕提供服務(wù)

　　——第十六條

　　個人信息處理需告知信息主體

　　——第十七條

　　個人信息最短時間保存

　　——第十九條

　　委托處理規(guī)范

　　——第二十一條

　　變更需告知個人信息主體

　　——第二十二、二十三條

　　不得大數(shù)據(jù)殺熟

　　——第二十四條

　　社會探頭需顯著標識

　　——第二十六條

　　公開個人信息相對自由處理

　　——第二十七條

　　敏感個人信息處理規(guī)則

　　——第二章第二節(jié)

　　個人信息跨境規(guī)則

　　——第三章第二節(jié)

　　世平說：

　　規(guī)范了個人信息的收集和使用，未來可能作為個人信息合規(guī)評估的主要控制項，也是個人信息維權(quán)訴訟的比較集中的方面，個人信息處理者應(yīng)基于此積極開展合規(guī)自評估。

　　監(jiān)管單位做什么？

　　網(wǎng)信負責個人信息保護和監(jiān)督管理工作

　　——第六十條

　　職責：

　　宣傳教育、指導監(jiān)督

　　接受處理投訴和舉報

　　組織測評

　　調(diào)查、處理違法活動

　　——第六十一條

　　統(tǒng)籌推進：

　　制定具體規(guī)則、標準

　　支持新技術(shù)開發(fā)、推廣

　　支持有關(guān)機構(gòu)開展個人信息保護評估、認證服務(wù)

　　完善投訴、舉報機制

　　——第六十二條

　　約談、要求整改、移送公安

　　——第六十四條

　　世平說：

　　不同于公安主導的等級保護，個人信息保護由網(wǎng)信牽頭，應(yīng)該會建立一套獨立的要求規(guī)范、檢查、測評標準。

　　個人信息處理者做什么？

　　組織、開展個人信息保護工作：

　　指定內(nèi)部管理制度和操作規(guī)程

　　個人信息分類管理

　　采用加密、去標識化等安全技術(shù)措施

　　權(quán)限分配和教育培訓

　　指定應(yīng)急預案

　　——第五十一條

　　專職專崗并備案

　　——第五十二條

　　境外個人信息處理者在境內(nèi)職責

　　——第五十三條

　　個人信息合規(guī)審計

　　——第五十四條

　　個人信息保護影響評估

　　——第五十五、五十六條

　　事件響應(yīng)

　　——第五十七條

　　重要互聯(lián)網(wǎng)平臺服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復雜的個人信息處理者：

　　形成第三方個人信息合規(guī)審計機制

　　明確規(guī)范和義務(wù)

　　定期發(fā)布個人信息保護社會責任報告

　　——第五十八條

　　世平說：

　　對個人信息處理者提出的個人信息保護的內(nèi)控要求，除了技術(shù)措施層面，著重提出了個人信息安全自審自評估要求，針對大型互聯(lián)網(wǎng)服務(wù)平臺，更要形成第三方的外審機制。

　　如何懲戒？

　　世平說：

　　情節(jié)嚴重的處罰金額百分比甚至超過號稱史上最嚴的GDPR，各單位注意，這不是演習。

　　法律沒說什么？

　　如何落地？

　　法律的落地往往通過案件訴訟、執(zhí)法檢查等方面得以體現(xiàn)，執(zhí)法檢查過程中的檢查方和被查方都要遵從統(tǒng)一的技術(shù)標準，針對本法，從措辭和立意來看，對應(yīng)的技術(shù)規(guī)范應(yīng)該是《GBT 35273-2020 信息安全技術(shù) 個人信息安全規(guī)范》，其中對個人信息的具體定義以及應(yīng)采用的保護措施如匿名化、去標識化等，對信息主體和信息處理者的義務(wù)和責任都有細致描述，可作為個人信息安全機制落地的參考。

　　除此之外，法律中所提到的多項評估和審計要求，除了“個人信息保護影響評估”、 “個人信息和重要數(shù)據(jù)出境安全評估”有相關(guān)規(guī)范外，相關(guān)的測評、評估標準尚不完善，相信這將是未來網(wǎng)信部門在制度、標準建立職責中的重要工作之一。

　　未來趨勢？

　　隨著法規(guī)標準的不斷完善、安全事件的發(fā)酵推動，數(shù)據(jù)安全原本作為網(wǎng)絡(luò)安全的其中一環(huán)，由于其涉及公民權(quán)益、國家安全，在可見的將來很有可能形成獨立于傳統(tǒng)網(wǎng)絡(luò)安全的法規(guī)、監(jiān)管、建設(shè)體系，在原有的對于安全性要求的基礎(chǔ)上，更多的涉及業(yè)務(wù)合規(guī)的檢查和測評要求。

　　同時，由于適用對象從原本只有網(wǎng)絡(luò)安全的網(wǎng)絡(luò)運營者和監(jiān)管機構(gòu)，到加入個人信息主體，也就是公民大眾，在個人信息維權(quán)領(lǐng)域應(yīng)該會引來一波訴訟熱潮，使得數(shù)據(jù)安全至少在合規(guī)層面，短時間內(nèi)會有較大的市場需求。

　　個人做什么？

　　抱怨無盡的推送廣告？

　　懷疑有人泄露自己的信息？

　　被悄無聲息的大宰一刀才后知后覺？

　　……

　　如果說在這之前這滿頭的問號還無處安放，這滿腔的怨惱還無處宣泄，那么從此刻起，請拿起法律的武器像捍衛(wèi)“毛主席”一樣捍衛(wèi)自己的個人信息權(quán)益吧，當然，與便利相比可能這微不足道，但作為個人來說，一部特別標明“基于憲法制定”的法律所賦予我們的權(quán)利，即便不行使，也請熟讀一百遍啊，一百遍。

　　世平信息怎么說？

　　杭州世平信息科技有限公司借助多年數(shù)據(jù)安全領(lǐng)域的技術(shù)和服務(wù)能力，以數(shù)據(jù)內(nèi)容識別技術(shù)為核心，結(jié)合多行業(yè)數(shù)據(jù)安全項目建設(shè)經(jīng)驗，提供從敏感信息的分布發(fā)現(xiàn)、加密脫敏、泄露防護到數(shù)據(jù)安全合規(guī)評估在內(nèi)十余種數(shù)據(jù)安全保障措施，緊密貼合《個人信息保護法》所提出的技術(shù)和服務(wù)要求，為用戶提供數(shù)據(jù)安全合規(guī)性檢測與監(jiān)管、數(shù)據(jù)資產(chǎn)分類分級發(fā)現(xiàn)與管理、以數(shù)據(jù)為中心的數(shù)據(jù)安全防護和業(yè)務(wù)驅(qū)動的精細化數(shù)據(jù)安全管控等業(yè)界前沿能力，滿足合規(guī)性管控和內(nèi)生性防護需求，實現(xiàn)針對個人信息安全的全面、有效監(jiān)控與防護。