2021年11月1日，《中華人民共和國(guó)個(gè)人信息保護(hù)法》（簡(jiǎn)稱《個(gè)人信息保護(hù)法》）正式實(shí)施。作為國(guó)內(nèi)首部個(gè)人信息保護(hù)方面的專門(mén)法律，它與《民法典》《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《電子商務(wù)法》《消費(fèi)者權(quán)益保護(hù)法》等法律將共同編織成一張消費(fèi)者個(gè)人信息“保護(hù)網(wǎng)”。

　　《個(gè)人信息保護(hù)法》對(duì)過(guò)度收集個(gè)人信息、大數(shù)據(jù)殺熟，人臉信息等敏感個(gè)人信息處理等作出明確規(guī)制。奇安信集團(tuán)數(shù)據(jù)安全研究院劉川意教授表示，該法律為數(shù)據(jù)工作劃定紅線、明確原則、提供遵循，對(duì)過(guò)度收集濫用個(gè)人信息、違規(guī)處理用戶數(shù)據(jù)等頑疾下了一劑猛藥。

　　那么，《個(gè)人信息保護(hù)法》具體有哪些亮點(diǎn)？本文和您一起解讀。

　　解讀一：明確界限 清晰規(guī)則  破解個(gè)人信息侵權(quán)亂象

　　2021年央視3·15晚會(huì)爆料，多家知名商店安裝人臉識(shí)別攝像頭，海量人臉信息被收集，卻沒(méi)有一個(gè)商家明確告知消費(fèi)者，并征得其同意。在日常生活中，人們對(duì)電腦、手機(jī)中推送的廣告不勝其擾，更對(duì)商家實(shí)現(xiàn)“精準(zhǔn)推送”不寒而栗。在過(guò)去，這些往往處于灰色地帶，公眾往往對(duì)其束手無(wú)策。

　　圖：央視315晚會(huì)曝光人臉識(shí)別濫用

　　“不以規(guī)矩，不能成方圓”，“木受繩則直，金就礪則利”，《個(gè)人信息保護(hù)法》最大的價(jià)值，就是對(duì)概念、處理規(guī)則、面向范圍等進(jìn)行了明確界定，具體包括：

　?。ㄒ唬┟鞔_“個(gè)人信息”界定

　　在《網(wǎng)絡(luò)安全法》基礎(chǔ)上，《個(gè)人信息保護(hù)法》對(duì)“個(gè)人信息”做出了更為嚴(yán)謹(jǐn)?shù)亩x及列舉。匿名化處理后的信息被明確不屬于個(gè)人信息，此界定的明確，將進(jìn)一步推進(jìn)個(gè)人信息匿名化處理技術(shù)在數(shù)據(jù)安全保護(hù)方面的研發(fā)、應(yīng)用及革新。

　?。ǘ┟鞔_適用范圍的界定

　　《個(gè)人信息保護(hù)法》指出，不僅“組織、個(gè)人在中華人民共和國(guó)境內(nèi)處理自然人個(gè)人信息的活動(dòng)，適用本法。”同時(shí)，在境外處理境內(nèi)自然人個(gè)人信息的活動(dòng)，有下列情形之一的，也適用本法：包括以向境內(nèi)自然人提供產(chǎn)品或者服務(wù)為目的；分析、評(píng)估境內(nèi)自然人的行為；法律、行政法規(guī)規(guī)定的其他情形等。

　　（三）明確“告知-同意-撤回同意/拒絕”的處理規(guī)則

　　《個(gè)人信息保護(hù)法》進(jìn)一步明確了個(gè)人信息處理的前提條件及要求。個(gè)人信息處理者僅可在取得個(gè)人同意或法定例外情形下可處理個(gè)人信息。個(gè)人信息處理者在處理個(gè)人信息前應(yīng)履行充分告知義務(wù)，包括以顯著方式、清晰易懂的語(yǔ)言真實(shí)、準(zhǔn)確、完整地向個(gè)人告知處理者的名稱或姓名和聯(lián)系方式、處理目的、處理方式、處理的個(gè)人信息種類、保存期限、個(gè)人行使法定權(quán)利的方式和程序及其他依法應(yīng)告知事項(xiàng)；另一方面，該法對(duì)個(gè)人同意的方式、撤回同意或拒絕權(quán)利進(jìn)行了明確規(guī)定，形成了以“告知-同意-撤回同意/拒絕”為邏輯主線的處理規(guī)則。

　　（四）確立了自動(dòng)化決策對(duì)數(shù)據(jù)處理的基本規(guī)則

　　針對(duì)用戶畫(huà)像、大數(shù)據(jù)“殺熟”等問(wèn)題，《個(gè)人信息保護(hù)法》確定了算法自動(dòng)化決策治理的基本框架，為自動(dòng)化決策應(yīng)用于電商平臺(tái)經(jīng)濟(jì)、數(shù)字政府運(yùn)行劃定了合法邊界。對(duì)于決策方法的透明度及結(jié)果公平、公正性、以自動(dòng)決策方式進(jìn)行信息推送、商業(yè)營(yíng)銷(xiāo)的規(guī)范、個(gè)人知情權(quán)及拒絕權(quán)、事先個(gè)人信息保護(hù)影響評(píng)估等進(jìn)行了明確規(guī)定。

　?。ㄎ澹┟鞔_個(gè)人多項(xiàng)權(quán)利且確立了個(gè)人信息可攜帶權(quán)

　　《個(gè)人信息保護(hù)法》確立了個(gè)人對(duì)個(gè)人信息的多方面權(quán)利，包括對(duì)個(gè)人信息處理的知情權(quán)、決定權(quán)、要求解釋說(shuō)明權(quán)、拒絕權(quán)等；在個(gè)人信息處理過(guò)程中享有要求更正、補(bǔ)充權(quán)、刪除權(quán)等；對(duì)處理者所掌握的個(gè)人信息享有查閱、復(fù)制權(quán)、承繼行使權(quán)、可攜帶權(quán)等。特別是，可攜帶權(quán)體現(xiàn)了將個(gè)人信息權(quán)利還歸個(gè)人的立法思路，賦予個(gè)人主動(dòng)在企業(yè)間流轉(zhuǎn)個(gè)人信息的權(quán)利，如何運(yùn)用創(chuàng)新技術(shù)探索個(gè)人信息可攜帶權(quán)的新模式，是關(guān)鍵的下一步。

　　解讀二：壓實(shí)責(zé)任與義務(wù)  多環(huán)節(jié)推動(dòng)合規(guī)治理

　　《個(gè)人信息保護(hù)法》對(duì)信息處理機(jī)構(gòu)的合規(guī)責(zé)任進(jìn)行了明確，進(jìn)一步規(guī)范企業(yè)經(jīng)營(yíng)者在收集使用個(gè)人信息時(shí)，需要投入技術(shù)資源對(duì)個(gè)人信息收集使用進(jìn)行合規(guī)治理。治理范圍包含了收集前端合規(guī)、處理過(guò)程合規(guī)、對(duì)外提供合規(guī)、安全保障措施等內(nèi)容。其中包括：

　?。ㄒ唬┙€(gè)人信息分類分級(jí)管理制度

　　《個(gè)人信息保護(hù)法》51條規(guī)定，個(gè)人信息處理者需要“對(duì)個(gè)人信息實(shí)行分類管理”。

　　（二）承擔(dān)泄露事件報(bào)告義務(wù)

　　《個(gè)人信息保護(hù)法》規(guī)定，如果由于個(gè)人信息的任何泄露、篡改或丟失而導(dǎo)致數(shù)據(jù)泄露，數(shù)據(jù)處理者必須及時(shí)通知主管部門(mén)和受影響的數(shù)據(jù)主體，而不僅僅是如果它“可能對(duì)自然人的權(quán)利和自由造成高風(fēng)險(xiǎn)”。

　　（三）建立個(gè)人信息安全影響評(píng)估體系的義務(wù)

　　《個(gè)人信息保護(hù)法》將個(gè)人信息保護(hù)影響評(píng)估（DPIA）要求提升至法律強(qiáng)制性要求，對(duì)于企業(yè)內(nèi)部合規(guī)制度建設(shè)提出更嚴(yán)格要求。同時(shí)特別指出，個(gè)人信息保護(hù)影響評(píng)估報(bào)告和處理情況記錄應(yīng)當(dāng)至少保存三年。

　?。ㄋ模┰O(shè)立個(gè)人信息保護(hù)負(fù)責(zé)人的義務(wù)

　　《個(gè)人信息保護(hù)法》第52條要求，“處理個(gè)人信息達(dá)到國(guó)家網(wǎng)信部門(mén)規(guī)定數(shù)量的個(gè)人信息處理者應(yīng)當(dāng)指定個(gè)人信息保護(hù)負(fù)責(zé)人，負(fù)責(zé)對(duì)個(gè)人信息處理活動(dòng)以及采取的保護(hù)措施等進(jìn)行監(jiān)督?！?/p>

　　（五）建立個(gè)人信息保護(hù)合規(guī)審計(jì)制度

　　《個(gè)人信息保護(hù)法》第54條要求“個(gè)人信息處理者應(yīng)當(dāng)定期對(duì)其處理個(gè)人信息遵守法律、行政法規(guī)的情況進(jìn)行合規(guī)審計(jì)”，第64條賦予相關(guān)部門(mén)可以要求“個(gè)人信息處理者委托專業(yè)機(jī)構(gòu)對(duì)其個(gè)人信息處理活動(dòng)進(jìn)行合規(guī)審計(jì)”。第58條對(duì)于“重要互聯(lián)網(wǎng)平臺(tái)服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的個(gè)人信息處理者”，要求“成立主要由外部成員組成的獨(dú)立機(jī)構(gòu)對(duì)個(gè)人信息保護(hù)情況進(jìn)行監(jiān)督”并“定期發(fā)布個(gè)人信息保護(hù)社會(huì)責(zé)任報(bào)告，接受社會(huì)監(jiān)督”。

　　（六）建立隱私設(shè)計(jì)體系的義務(wù)

　　《個(gè)人信息保護(hù)法》第51條要求個(gè)人信息處理者“采取相應(yīng)的加密、去標(biāo)識(shí)化等安全技術(shù)措施”，進(jìn)行個(gè)人信息處理。

　　（七）個(gè)人信息出境審批義務(wù)

　　《個(gè)人信息保護(hù)法》與《數(shù)據(jù)安全法》保持一致的執(zhí)法協(xié)助限制，即“非經(jīng)中華人民共和國(guó)主管機(jī)關(guān)批準(zhǔn)，個(gè)人信息處理者不得向外國(guó)司法或者執(zhí)法機(jī)構(gòu)提供存儲(chǔ)于中華人民共和國(guó)境內(nèi)的個(gè)人信息”。

　　（八）建立個(gè)人信息安全教育和培訓(xùn)制度

　　《個(gè)人信息保護(hù)法》第51條要求“合理確定個(gè)人信息處理的操作權(quán)限，定期對(duì)從業(yè)人員進(jìn)行安全教育和培訓(xùn)”。

　　解讀三：處罰措施嚴(yán)厲且具體  最高或達(dá)營(yíng)業(yè)額5%

　　《個(gè)人信息保護(hù)法》對(duì)企業(yè)方在發(fā)生個(gè)人信息保護(hù)安全事件時(shí)，提出了嚴(yán)厲的處罰措施。其中包括約談、整改、罰款，甚至停業(yè)整頓或者吊銷(xiāo)營(yíng)業(yè)執(zhí)照等。

　　其中，第66條指出，“違反本法規(guī)定處理個(gè)人信息，或者處理個(gè)人信息未履行本法規(guī)定的個(gè)人信息保護(hù)義務(wù)的，由履行個(gè)人信息保護(hù)職責(zé)的部門(mén)責(zé)令改正，給予警告，沒(méi)收違法所得，對(duì)違法處理個(gè)人信息的應(yīng)用程序，責(zé)令暫停或者終止提供服務(wù)；拒不改正的，并處一百萬(wàn)元以下罰款；對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處一萬(wàn)元以上十萬(wàn)元以下罰款。”

　　有前款規(guī)定的違法行為，情節(jié)嚴(yán)重的，由省級(jí)以上履行個(gè)人信息保護(hù)職責(zé)的部門(mén)責(zé)令改正，沒(méi)收違法所得，并處五千萬(wàn)元以下或者上一年度營(yíng)業(yè)額百分之五以下罰款，并可以責(zé)令暫停相關(guān)業(yè)務(wù)或者停業(yè)整頓、通報(bào)有關(guān)主管部門(mén)吊銷(xiāo)相關(guān)業(yè)務(wù)許可或者吊銷(xiāo)營(yíng)業(yè)執(zhí)照。

　　該法律還對(duì)國(guó)家機(jī)關(guān)和主管人員明確了處分措施。第68條指出，“國(guó)家機(jī)關(guān)不履行本法規(guī)定的個(gè)人信息保護(hù)義務(wù)的，由其上級(jí)機(jī)關(guān)或者履行個(gè)人信息保護(hù)職責(zé)的部門(mén)責(zé)令改正；對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員依法給予處分。”

　　解讀四：數(shù)據(jù)安全應(yīng)用范圍更加廣泛  釋放需求加速創(chuàng)新

　　奇安信專家指出，《個(gè)人信息保護(hù)法》的實(shí)施正式將普通大眾跟數(shù)據(jù)安全緊密地聯(lián)系了在一起，將會(huì)喚醒更多的人去關(guān)注個(gè)人隱私保護(hù)和數(shù)據(jù)安全，這對(duì)一些濫用個(gè)人隱私和不注重?cái)?shù)據(jù)安全的產(chǎn)品將會(huì)形成巨大的合規(guī)挑戰(zhàn)甚至是輿論壓力，而對(duì)隱私保護(hù)和數(shù)據(jù)安全有正向作用的產(chǎn)品將會(huì)得到更大的助推力。

　?。ㄒ唬﹤€(gè)人信息保護(hù)有法可依 合規(guī)檢測(cè)產(chǎn)品或?qū)⒕畤?/p>

　　過(guò)去，數(shù)據(jù)安全產(chǎn)品大多數(shù)是To B的，To C的安全產(chǎn)品一直沒(méi)有什么殺手級(jí)的應(yīng)用。隨著《個(gè)人信息保護(hù)法》將C端用戶和數(shù)據(jù)安全強(qiáng)聯(lián)系了在一起，也許未來(lái)會(huì)出現(xiàn)針對(duì)C端用戶的個(gè)人信息保護(hù)應(yīng)用，比如在個(gè)人終端上安裝的可以檢測(cè)、審計(jì)、銷(xiāo)毀個(gè)人信息的app，也許會(huì)成為必備應(yīng)用；而對(duì)于服務(wù)提供商（企業(yè)），他們更希望有相應(yīng)的產(chǎn)品來(lái)幫助其針對(duì)《個(gè)人信息保護(hù)法》的合規(guī)，因此一些諸如個(gè)人信息發(fā)現(xiàn)、掃描、使用、撤銷(xiāo)等功能的安全產(chǎn)品/服務(wù)，將會(huì)如雨后春筍一樣出現(xiàn)。

　　圖：隱私衛(wèi)士產(chǎn)品形態(tài)

　　針對(duì)企業(yè)的需求，奇安信推出了網(wǎng)神隱私衛(wèi)士系統(tǒng)（以下簡(jiǎn)稱：隱私衛(wèi)士），是一款隱私安全合規(guī)檢測(cè)產(chǎn)品，可以幫助企業(yè)對(duì)移動(dòng)應(yīng)用進(jìn)行全方位的隱私安全合規(guī)檢測(cè)，提前發(fā)現(xiàn)合規(guī)隱患，避免由此帶來(lái)的數(shù)據(jù)泄漏、資產(chǎn)損失、監(jiān)管處罰等風(fēng)險(xiǎn)，幫助企業(yè)APP合規(guī)經(jīng)營(yíng)、健康發(fā)展。

　　針對(duì)個(gè)人對(duì)隱私的關(guān)注，奇安信推出的第三代安全軟件安全防護(hù)軟件冬奧版，核心就是主打隱私保護(hù)，對(duì)辦公、學(xué)習(xí)等重要文件，以及上網(wǎng)歷史記錄、聊天軟件記錄、電子郵件等個(gè)人重要信息提供了保護(hù)措施。

　?。ǘ氖潞笱a(bǔ)救走向事先預(yù)警  態(tài)勢(shì)感知將成標(biāo)配

　　《個(gè)人信息保護(hù)法》的出臺(tái)，給個(gè)人信息保護(hù)風(fēng)險(xiǎn)評(píng)估帶來(lái)了機(jī)會(huì)。企業(yè)在持續(xù)開(kāi)展的數(shù)據(jù)業(yè)務(wù)活動(dòng)過(guò)程中需要有可靠的個(gè)人信息保護(hù)風(fēng)險(xiǎn)評(píng)估作為保證。然而在大數(shù)據(jù)時(shí)代，業(yè)務(wù)是快速迭代的，數(shù)據(jù)是不斷流動(dòng)與更新的，依賴人工去做數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估是不可靠且不可控的，因此需要專業(yè)的數(shù)據(jù)安全風(fēng)險(xiǎn)感知產(chǎn)品來(lái)為業(yè)務(wù)活動(dòng)開(kāi)展保駕護(hù)航。

　　奇安信推出的數(shù)據(jù)安全態(tài)勢(shì)感知平臺(tái)，是基于大數(shù)據(jù)技術(shù)框架以數(shù)據(jù)安全為核心的智能化數(shù)據(jù)安全管理與運(yùn)營(yíng)平臺(tái)，圍繞數(shù)據(jù)梳理與風(fēng)險(xiǎn)檢測(cè)構(gòu)建敏感數(shù)據(jù)分布態(tài)勢(shì)、敏感數(shù)據(jù)流動(dòng)態(tài)勢(shì)、數(shù)據(jù)安全風(fēng)險(xiǎn)態(tài)勢(shì)，并對(duì)數(shù)據(jù)安全風(fēng)險(xiǎn)提供預(yù)警、研判和處置手段，實(shí)現(xiàn)數(shù)據(jù)安全的全方位風(fēng)險(xiǎn)感知與動(dòng)態(tài)防護(hù)，為數(shù)據(jù)業(yè)務(wù)活動(dòng)順利開(kāi)展提供安全保障。

　　（三）隱私計(jì)算將迎來(lái)新一輪技術(shù)發(fā)展和市場(chǎng)爆發(fā)

　　在新法規(guī)落地的情況下，數(shù)據(jù)隱私保護(hù)與數(shù)據(jù)價(jià)值挖掘間的矛盾成為了各行各業(yè)開(kāi)展數(shù)據(jù)業(yè)務(wù)的難題，在一定程度上加速了解決上述矛盾問(wèn)題的隱私計(jì)算一類隱私保護(hù)新技術(shù)的發(fā)展。

　　目前，哈工大（深圳）-奇安信數(shù)據(jù)安全研究院在方濱興院士的指導(dǎo)下，基于數(shù)據(jù)不動(dòng)程序動(dòng)，數(shù)據(jù)可用不可見(jiàn)的隱私保護(hù)新理念，創(chuàng)新性地提出了調(diào)試環(huán)境與運(yùn)行環(huán)境分離的體系結(jié)構(gòu)，研發(fā)了數(shù)據(jù)交易沙箱這一核心產(chǎn)品，實(shí)現(xiàn)了在保護(hù)數(shù)據(jù)隱私的前提下，最大限度地挖掘大數(shù)據(jù)價(jià)值。數(shù)據(jù)交易沙箱目前已應(yīng)用在政務(wù)、醫(yī)療、公安等重點(diǎn)領(lǐng)域。近期，“基于數(shù)據(jù)沙箱技術(shù)的數(shù)據(jù)服務(wù)平臺(tái)在醫(yī)療領(lǐng)域的應(yīng)用”在世界互聯(lián)網(wǎng)大會(huì)上榮獲2021數(shù)據(jù)安全典型實(shí)踐案例。

　　結(jié)束語(yǔ)

　　國(guó)泰君安研究所計(jì)算機(jī)首席分析師李沐華認(rèn)為，《個(gè)人信息保護(hù)法》落地后，大大小小的互聯(lián)網(wǎng)公司都會(huì)加大數(shù)據(jù)安全投入。假設(shè)單個(gè)網(wǎng)站或者APP投入金額超過(guò)五萬(wàn)元，潛在市場(chǎng)空間即達(dá)到千億元，因此《個(gè)人信息保護(hù)法》的落地，標(biāo)志著網(wǎng)安行業(yè)一個(gè)新時(shí)代的開(kāi)始。

　　奇安信專家建議，對(duì)于企業(yè)來(lái)講，尤其是互聯(lián)網(wǎng)企業(yè)，應(yīng)主動(dòng)開(kāi)展個(gè)人信息相關(guān)的強(qiáng)化保護(hù)工作。具體包括開(kāi)展個(gè)人信息相關(guān)的數(shù)據(jù)梳理工作，落實(shí)訪問(wèn)人員身份鑒別、數(shù)據(jù)權(quán)限訪問(wèn)控制、數(shù)據(jù)行為審計(jì)分析、個(gè)人數(shù)據(jù)匿名化處理等防護(hù)措施，以及強(qiáng)化特權(quán)訪問(wèn)人員，如運(yùn)維人員、開(kāi)發(fā)測(cè)試人員對(duì)個(gè)人信息的技術(shù)管控，制定相關(guān)制度規(guī)范，落實(shí)管理工作等。

　　可以說(shuō)，《個(gè)人信息保護(hù)法》實(shí)施，是《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》之后，我國(guó)信息安全保護(hù)在法制道路上的又一個(gè)里程碑，它將微觀個(gè)人的信息安全，和宏觀社會(huì)和行業(yè)的數(shù)據(jù)安全、網(wǎng)絡(luò)安全等緊密聯(lián)系到一起，共同成為國(guó)家安全戰(zhàn)略的重要組成部分。