導(dǎo) 語(yǔ)

　　隨著個(gè)人信息價(jià)值的凸顯，個(gè)人信息安全風(fēng)險(xiǎn)與日俱增，個(gè)人信息保護(hù)意識(shí)也日漸增強(qiáng)。為了保護(hù)個(gè)人信息權(quán)益，規(guī)范個(gè)人信息處理活動(dòng)，促進(jìn)個(gè)人信息合理利用，我國(guó)首部保護(hù)個(gè)人信息安全的基礎(chǔ)性法律《中華人民共和國(guó)個(gè)人信息保護(hù)法》（以下簡(jiǎn)稱(chēng)“《個(gè)保法》”）于2021年8月20日正式表決通過(guò)，并將于11月1日起正式施行。

　　面對(duì)《個(gè)保法》的施行，“個(gè)人信息處理者”如何安全與合規(guī)地處理個(gè)人信息？世平信息基于《個(gè)保法》進(jìn)行深度解讀，為“個(gè)人信息處理者”的數(shù)據(jù)安全合規(guī)建設(shè)提供思路與支撐。

　　五大原則+四大要求

　　《個(gè)保法》中明確規(guī)定了“個(gè)人信息處理者”的義務(wù)，我們將其簡(jiǎn)要?dú)w納為五大原則和四大要求，在信息處理過(guò)程中，遵循五大原則并滿(mǎn)足四大要求是“個(gè)人信息處理者”安全合規(guī)的前提。

　　遵循五大原則

　　1.合法、正當(dāng)、必要、誠(chéng)信原則

　　處理個(gè)人信息應(yīng)當(dāng)遵循合法、正當(dāng)、必要和誠(chéng)信原則，不得通過(guò)誤導(dǎo)、欺詐、脅迫等方式處理個(gè)人信息。

　　2.目的限制原則

　　處理個(gè)人信息應(yīng)當(dāng)具有明確、合理的目的，并應(yīng)當(dāng)與處理目的直接相關(guān)，采取對(duì)個(gè)人權(quán)益影響最小的方式。

　　3.最小化原則

　　收集個(gè)人信息，應(yīng)當(dāng)限于實(shí)現(xiàn)處理目的的最小范圍，不得過(guò)度收集個(gè)人信息。

　　4.公開(kāi)、透明原則

　　處理個(gè)人信息應(yīng)當(dāng)遵循公開(kāi)、透明原則，公開(kāi)個(gè)人信息處理規(guī)則，明示處理的目的、方式和范圍。

　　5.完整性、準(zhǔn)確性原則

　　處理個(gè)人信息應(yīng)當(dāng)保證個(gè)人信息的質(zhì)量，避免因個(gè)人信息不準(zhǔn)確、不完整對(duì)個(gè)人權(quán)益造成不利影響。

　　滿(mǎn)足四大要求

　　1.對(duì)個(gè)人信息處理全過(guò)程進(jìn)行安全風(fēng)險(xiǎn)管理

　　采取措施確保個(gè)人信息處理活動(dòng)符合法律、行政法規(guī)的規(guī)定，并防止未經(jīng)授權(quán)的訪問(wèn)以及個(gè)人信息泄露、篡改、丟失。

　　2.建立安全保護(hù)制度，明確個(gè)人信息保護(hù)負(fù)責(zé)人

　　應(yīng)當(dāng)指定個(gè)人信息保護(hù)負(fù)責(zé)人，負(fù)責(zé)對(duì)個(gè)人信息處理活動(dòng)以及采取的保護(hù)措施等進(jìn)行監(jiān)督，并公開(kāi)個(gè)人信息保護(hù)負(fù)責(zé)人的聯(lián)系方式。

　　3.定期進(jìn)行合規(guī)審計(jì)

　　個(gè)人信息處理者應(yīng)當(dāng)定期對(duì)其處理個(gè)人信息遵守法律、行政法規(guī)的情況進(jìn)行合規(guī)審計(jì)。

　　4.事前風(fēng)險(xiǎn)評(píng)估，事后立即補(bǔ)救

　　應(yīng)當(dāng)事前進(jìn)行個(gè)人信息保護(hù)影響評(píng)估；發(fā)生或者可能發(fā)生個(gè)人信息泄露、篡改、丟失的，應(yīng)當(dāng)立即采取補(bǔ)救措施，并通知有關(guān)部門(mén)和個(gè)人。

　　六大應(yīng)對(duì)措施

　　《個(gè)保法》實(shí)施在即，面對(duì)以上要求，“個(gè)人信息處理者”要如何應(yīng)對(duì)安全合規(guī)？如何在信息處理過(guò)程中最大程度的保護(hù)個(gè)人信息安全？我們建議“個(gè)人信息處理者”采取以下六大措施：

　　明確個(gè)人信息保護(hù)責(zé)任制，落實(shí)全生命周期管控責(zé)任

　　建立個(gè)人信息保護(hù)組織架構(gòu)，明確崗位職責(zé)，制定對(duì)應(yīng)的全流程管理規(guī)范、制度、流程等，落實(shí)全生命周期的安全管控職責(zé)，確保個(gè)人信息處理過(guò)程的安全合規(guī)。

　　進(jìn)行個(gè)人信息分類(lèi)（分級(jí)）管理

　　建立個(gè)人信息管理機(jī)制，明確數(shù)據(jù)類(lèi)型及策略，對(duì)個(gè)人信息實(shí)行分類(lèi)分級(jí)管理，從而制定精細(xì)化的保護(hù)策略，高效、有目的性的保障個(gè)人信息安全并確保個(gè)人敏感信息處理履行告知義務(wù)。

　　開(kāi)展個(gè)人信息風(fēng)險(xiǎn)評(píng)估，及時(shí)發(fā)現(xiàn)企業(yè)個(gè)人信息安全隱患

　　定期進(jìn)行個(gè)人信息保護(hù)影響評(píng)估，采取風(fēng)險(xiǎn)評(píng)估手段識(shí)別發(fā)現(xiàn)企業(yè)的個(gè)人信息安全風(fēng)險(xiǎn)，及時(shí)整改，規(guī)避個(gè)人信息泄露、篡改、丟失等安全隱患，提升企業(yè)個(gè)人信息保護(hù)建設(shè)水平。

　　識(shí)別個(gè)人信息處理活動(dòng)，落實(shí)安全技術(shù)措施

　　梳理個(gè)人信息全生命周期處理活動(dòng)，制定相對(duì)應(yīng)的安全要求，對(duì)各風(fēng)險(xiǎn)點(diǎn)進(jìn)行提示，在風(fēng)險(xiǎn)點(diǎn)落實(shí)匿名化和去標(biāo)識(shí)化；確?？缇硞€(gè)人信息處理處于合規(guī)狀態(tài)；對(duì)個(gè)人信息主體各項(xiàng)權(quán)利確保落實(shí)到位。

　　建立個(gè)人信息安全事件應(yīng)急響應(yīng)機(jī)制

　　建立個(gè)人信息安全應(yīng)急預(yù)案，明確個(gè)人信息事件的應(yīng)急方針、政策，應(yīng)急組織結(jié)構(gòu)及相關(guān)應(yīng)急職責(zé)。在安全事件發(fā)生后，能夠及時(shí)采取應(yīng)急措施，最大程度保護(hù)個(gè)人信息安全。

　　開(kāi)展個(gè)人信息安全意識(shí)教育培訓(xùn)

　　定期開(kāi)展個(gè)人信息安全意識(shí)教育培訓(xùn)，加強(qiáng)集體的信息安全保護(hù)意識(shí)，確保履行個(gè)人信息保護(hù)義務(wù)的部門(mén)及個(gè)人都能夠牢筑安全的基石，促進(jìn)個(gè)人信息的合理利用。

　　立足需求，為“個(gè)人信息處理者”賦能

　　世平信息從法律法規(guī)出發(fā)，基于豐富的應(yīng)用實(shí)踐和長(zhǎng)期技術(shù)積累，形成了一系列數(shù)據(jù)安全產(chǎn)品、平臺(tái)和安全服務(wù)體系，為用戶(hù)提供數(shù)據(jù)安全合規(guī)性檢測(cè)與監(jiān)管、數(shù)據(jù)資產(chǎn)分類(lèi)分級(jí)發(fā)現(xiàn)與管理等產(chǎn)品和與服務(wù)能力幫助個(gè)人信息處理者實(shí)現(xiàn)安全合規(guī)。下面，我們針對(duì)“個(gè)人信息處理者”的需求場(chǎng)景，總結(jié)了以下應(yīng)對(duì)方案：

　　需求一：個(gè)人信息匿名化和去標(biāo)識(shí)化

　　個(gè)人信息處理者通過(guò)世平數(shù)據(jù)脫敏系統(tǒng)可以自動(dòng)掃描發(fā)現(xiàn)并定位敏感信息數(shù)據(jù)，通過(guò)遮擋、替換個(gè)人標(biāo)識(shí)信息實(shí)現(xiàn)個(gè)人信息匿名化和去標(biāo)識(shí)化的目的。保障數(shù)據(jù)關(guān)聯(lián)性的同時(shí)，提供多種數(shù)據(jù)脫敏算法，確保個(gè)人信息安全。

　　需求二：個(gè)人信息合規(guī)采集

　　在個(gè)人信息采集環(huán)節(jié)，通過(guò)世平數(shù)據(jù)安全合規(guī)檢測(cè)系統(tǒng)的深度識(shí)別功能，結(jié)合對(duì)需要采集的數(shù)據(jù)類(lèi)型和數(shù)據(jù)環(huán)境的調(diào)研，能夠輔助判斷是否過(guò)度采集。

　　需求三：非法傳輸/合法公開(kāi)檢測(cè)

　　通過(guò)世平數(shù)據(jù)安全合規(guī)檢測(cè)系統(tǒng)在數(shù)據(jù)傳輸和公開(kāi)的過(guò)程中，實(shí)時(shí)監(jiān)測(cè)個(gè)人信息的傳輸和發(fā)布情況，及時(shí)發(fā)現(xiàn)其中的合規(guī)隱患，確保個(gè)人信息處理者在處理個(gè)人信息過(guò)程的安全合規(guī)。

　　需求四：個(gè)人信息外發(fā)監(jiān)測(cè)與管控

　　利用世平數(shù)據(jù)防泄漏系統(tǒng)配置和下發(fā)個(gè)人信息外發(fā)管控策略，對(duì)移動(dòng)存儲(chǔ)外設(shè)拷貝、郵件，及時(shí)通訊等外發(fā)行為進(jìn)行監(jiān)測(cè)與控制。針對(duì)確定不能外發(fā)的個(gè)人信息文件，設(shè)置智能加密策略，從根源上防止外泄，有效幫助個(gè)人信息處理者實(shí)現(xiàn)個(gè)人信息外發(fā)控制。

　　《個(gè)保法》實(shí)施在即，但如何實(shí)現(xiàn)安全合規(guī)仍存在很多疑問(wèn)和難點(diǎn)，對(duì)許多用戶(hù)造成困擾。世平信息專(zhuān)家團(tuán)隊(duì)基于對(duì)法規(guī)的深度解讀，面向各個(gè)行業(yè)，幫助用戶(hù)解決在落實(shí)《個(gè)保法》中遇到的難點(diǎn)和挑戰(zhàn)。歡迎來(lái)電咨詢(xún)或官網(wǎng)留言。