2021年11月1日，《中華人民共和國個人信息保護法》（簡稱《個人信息保護法》）正式實施。作為國內(nèi)首部個人信息保護方面的專門法律，它與《民法典》《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《電子商務(wù)法》《消費者權(quán)益保護法》等法律將共同編織成一張消費者個人信息“保護網(wǎng)”。

　　《個人信息保護法》對過度收集個人信息、大數(shù)據(jù)殺熟，人臉信息等敏感個人信息處理等作出明確規(guī)制。奇安信集團數(shù)據(jù)安全研究院劉川意教授表示，該法律為數(shù)據(jù)工作劃定紅線、明確原則、提供遵循，對過度收集濫用個人信息、違規(guī)處理用戶數(shù)據(jù)等頑疾下了一劑猛藥。

　　那么，《個人信息保護法》具體有哪些亮點？本文和您一起解讀。

　　解讀一：明確界限 清晰規(guī)則  破解個人信息侵權(quán)亂象

　　2021年央視3·15晚會爆料，多家知名商店安裝人臉識別攝像頭，海量人臉信息被收集，卻沒有一個商家明確告知消費者，并征得其同意。在日常生活中，人們對電腦、手機中推送的廣告不勝其擾，更對商家實現(xiàn)“精準推送”不寒而栗。在過去，這些往往處于灰色地帶，公眾往往對其束手無策。

　　圖：央視315晚會曝光人臉識別濫用

　　“不以規(guī)矩，不能成方圓”，“木受繩則直，金就礪則利”，《個人信息保護法》最大的價值，就是對概念、處理規(guī)則、面向范圍等進行了明確界定，具體包括：

　?。ㄒ唬┟鞔_“個人信息”界定

　　在《網(wǎng)絡(luò)安全法》基礎(chǔ)上，《個人信息保護法》對“個人信息”做出了更為嚴謹?shù)亩x及列舉。匿名化處理后的信息被明確不屬于個人信息，此界定的明確，將進一步推進個人信息匿名化處理技術(shù)在數(shù)據(jù)安全保護方面的研發(fā)、應(yīng)用及革新。

　?。ǘ┟鞔_適用范圍的界定

　　《個人信息保護法》指出，不僅“組織、個人在中華人民共和國境內(nèi)處理自然人個人信息的活動，適用本法?！蓖瑫r，在境外處理境內(nèi)自然人個人信息的活動，有下列情形之一的，也適用本法：包括以向境內(nèi)自然人提供產(chǎn)品或者服務(wù)為目的；分析、評估境內(nèi)自然人的行為；法律、行政法規(guī)規(guī)定的其他情形等。

　?。ㄈ┟鞔_“告知-同意-撤回同意/拒絕”的處理規(guī)則

　　《個人信息保護法》進一步明確了個人信息處理的前提條件及要求。個人信息處理者僅可在取得個人同意或法定例外情形下可處理個人信息。個人信息處理者在處理個人信息前應(yīng)履行充分告知義務(wù)，包括以顯著方式、清晰易懂的語言真實、準確、完整地向個人告知處理者的名稱或姓名和聯(lián)系方式、處理目的、處理方式、處理的個人信息種類、保存期限、個人行使法定權(quán)利的方式和程序及其他依法應(yīng)告知事項；另一方面，該法對個人同意的方式、撤回同意或拒絕權(quán)利進行了明確規(guī)定，形成了以“告知-同意-撤回同意/拒絕”為邏輯主線的處理規(guī)則。

　?。ㄋ模┐_立了自動化決策對數(shù)據(jù)處理的基本規(guī)則

　　針對用戶畫像、大數(shù)據(jù)“殺熟”等問題，《個人信息保護法》確定了算法自動化決策治理的基本框架，為自動化決策應(yīng)用于電商平臺經(jīng)濟、數(shù)字政府運行劃定了合法邊界。對于決策方法的透明度及結(jié)果公平、公正性、以自動決策方式進行信息推送、商業(yè)營銷的規(guī)范、個人知情權(quán)及拒絕權(quán)、事先個人信息保護影響評估等進行了明確規(guī)定。

　?。ㄎ澹┟鞔_個人多項權(quán)利且確立了個人信息可攜帶權(quán)

　　《個人信息保護法》確立了個人對個人信息的多方面權(quán)利，包括對個人信息處理的知情權(quán)、決定權(quán)、要求解釋說明權(quán)、拒絕權(quán)等；在個人信息處理過程中享有要求更正、補充權(quán)、刪除權(quán)等；對處理者所掌握的個人信息享有查閱、復(fù)制權(quán)、承繼行使權(quán)、可攜帶權(quán)等。特別是，可攜帶權(quán)體現(xiàn)了將個人信息權(quán)利還歸個人的立法思路，賦予個人主動在企業(yè)間流轉(zhuǎn)個人信息的權(quán)利，如何運用創(chuàng)新技術(shù)探索個人信息可攜帶權(quán)的新模式，是關(guān)鍵的下一步。

　　解讀二：壓實責(zé)任與義務(wù)  多環(huán)節(jié)推動合規(guī)治理

　　《個人信息保護法》對信息處理機構(gòu)的合規(guī)責(zé)任進行了明確，進一步規(guī)范企業(yè)經(jīng)營者在收集使用個人信息時，需要投入技術(shù)資源對個人信息收集使用進行合規(guī)治理。治理范圍包含了收集前端合規(guī)、處理過程合規(guī)、對外提供合規(guī)、安全保障措施等內(nèi)容。其中包括：

　?。ㄒ唬┙€人信息分類分級管理制度

　　《個人信息保護法》51條規(guī)定，個人信息處理者需要“對個人信息實行分類管理”。

　?。ǘ┏袚?dān)泄露事件報告義務(wù)

　　《個人信息保護法》規(guī)定，如果由于個人信息的任何泄露、篡改或丟失而導(dǎo)致數(shù)據(jù)泄露，數(shù)據(jù)處理者必須及時通知主管部門和受影響的數(shù)據(jù)主體，而不僅僅是如果它“可能對自然人的權(quán)利和自由造成高風(fēng)險”。

　?。ㄈ┙€人信息安全影響評估體系的義務(wù)

　　《個人信息保護法》將個人信息保護影響評估（DPIA）要求提升至法律強制性要求，對于企業(yè)內(nèi)部合規(guī)制度建設(shè)提出更嚴格要求。同時特別指出，個人信息保護影響評估報告和處理情況記錄應(yīng)當(dāng)至少保存三年。

　?。ㄋ模┰O(shè)立個人信息保護負責(zé)人的義務(wù)

　　《個人信息保護法》第52條要求，“處理個人信息達到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者應(yīng)當(dāng)指定個人信息保護負責(zé)人，負責(zé)對個人信息處理活動以及采取的保護措施等進行監(jiān)督。”

　?。ㄎ澹┙€人信息保護合規(guī)審計制度

　　《個人信息保護法》第54條要求“個人信息處理者應(yīng)當(dāng)定期對其處理個人信息遵守法律、行政法規(guī)的情況進行合規(guī)審計”，第64條賦予相關(guān)部門可以要求“個人信息處理者委托專業(yè)機構(gòu)對其個人信息處理活動進行合規(guī)審計”。第58條對于“重要互聯(lián)網(wǎng)平臺服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的個人信息處理者”，要求“成立主要由外部成員組成的獨立機構(gòu)對個人信息保護情況進行監(jiān)督”并“定期發(fā)布個人信息保護社會責(zé)任報告，接受社會監(jiān)督”。

　?。┙㈦[私設(shè)計體系的義務(wù)

　　《個人信息保護法》第51條要求個人信息處理者“采取相應(yīng)的加密、去標(biāo)識化等安全技術(shù)措施”，進行個人信息處理。

　?。ㄆ撸﹤€人信息出境審批義務(wù)

　　《個人信息保護法》與《數(shù)據(jù)安全法》保持一致的執(zhí)法協(xié)助限制，即“非經(jīng)中華人民共和國主管機關(guān)批準，個人信息處理者不得向外國司法或者執(zhí)法機構(gòu)提供存儲于中華人民共和國境內(nèi)的個人信息”。

　?。ò耍┙€人信息安全教育和培訓(xùn)制度

　　《個人信息保護法》第51條要求“合理確定個人信息處理的操作權(quán)限，定期對從業(yè)人員進行安全教育和培訓(xùn)”。

　　解讀三：處罰措施嚴厲且具體  最高或達營業(yè)額5%

　　《個人信息保護法》對企業(yè)方在發(fā)生個人信息保護安全事件時，提出了嚴厲的處罰措施。其中包括約談、整改、罰款，甚至停業(yè)整頓或者吊銷營業(yè)執(zhí)照等。

　　其中，第66條指出，“違反本法規(guī)定處理個人信息，或者處理個人信息未履行本法規(guī)定的個人信息保護義務(wù)的，由履行個人信息保護職責(zé)的部門責(zé)令改正，給予警告，沒收違法所得，對違法處理個人信息的應(yīng)用程序，責(zé)令暫?；蛘呓K止提供服務(wù)；拒不改正的，并處一百萬元以下罰款；對直接負責(zé)的主管人員和其他直接責(zé)任人員處一萬元以上十萬元以下罰款?！?/p>

　　有前款規(guī)定的違法行為，情節(jié)嚴重的，由省級以上履行個人信息保護職責(zé)的部門責(zé)令改正，沒收違法所得，并處五千萬元以下或者上一年度營業(yè)額百分之五以下罰款，并可以責(zé)令暫停相關(guān)業(yè)務(wù)或者停業(yè)整頓、通報有關(guān)主管部門吊銷相關(guān)業(yè)務(wù)許可或者吊銷營業(yè)執(zhí)照。

　　該法律還對國家機關(guān)和主管人員明確了處分措施。第68條指出，“國家機關(guān)不履行本法規(guī)定的個人信息保護義務(wù)的，由其上級機關(guān)或者履行個人信息保護職責(zé)的部門責(zé)令改正；對直接負責(zé)的主管人員和其他直接責(zé)任人員依法給予處分?！?/p>

　　解讀四：數(shù)據(jù)安全應(yīng)用范圍更加廣泛  釋放需求加速創(chuàng)新

　　奇安信專家指出，《個人信息保護法》的實施正式將普通大眾跟數(shù)據(jù)安全緊密地聯(lián)系了在一起，將會喚醒更多的人去關(guān)注個人隱私保護和數(shù)據(jù)安全，這對一些濫用個人隱私和不注重數(shù)據(jù)安全的產(chǎn)品將會形成巨大的合規(guī)挑戰(zhàn)甚至是輿論壓力，而對隱私保護和數(shù)據(jù)安全有正向作用的產(chǎn)品將會得到更大的助推力。

　?。ㄒ唬﹤€人信息保護有法可依 合規(guī)檢測產(chǎn)品或?qū)⒕畤?/p>

　　過去，數(shù)據(jù)安全產(chǎn)品大多數(shù)是To B的，To C的安全產(chǎn)品一直沒有什么殺手級的應(yīng)用。隨著《個人信息保護法》將C端用戶和數(shù)據(jù)安全強聯(lián)系了在一起，也許未來會出現(xiàn)針對C端用戶的個人信息保護應(yīng)用，比如在個人終端上安裝的可以檢測、審計、銷毀個人信息的app，也許會成為必備應(yīng)用；而對于服務(wù)提供商（企業(yè)），他們更希望有相應(yīng)的產(chǎn)品來幫助其針對《個人信息保護法》的合規(guī)，因此一些諸如個人信息發(fā)現(xiàn)、掃描、使用、撤銷等功能的安全產(chǎn)品/服務(wù)，將會如雨后春筍一樣出現(xiàn)。

　　圖：隱私衛(wèi)士產(chǎn)品形態(tài)

　　針對企業(yè)的需求，奇安信推出了網(wǎng)神隱私衛(wèi)士系統(tǒng)（以下簡稱：隱私衛(wèi)士），是一款隱私安全合規(guī)檢測產(chǎn)品，可以幫助企業(yè)對移動應(yīng)用進行全方位的隱私安全合規(guī)檢測，提前發(fā)現(xiàn)合規(guī)隱患，避免由此帶來的數(shù)據(jù)泄漏、資產(chǎn)損失、監(jiān)管處罰等風(fēng)險，幫助企業(yè)APP合規(guī)經(jīng)營、健康發(fā)展。

　　針對個人對隱私的關(guān)注，奇安信推出的第三代安全軟件安全防護軟件冬奧版，核心就是主打隱私保護，對辦公、學(xué)習(xí)等重要文件，以及上網(wǎng)歷史記錄、聊天軟件記錄、電子郵件等個人重要信息提供了保護措施。

　　（二）從事后補救走向事先預(yù)警  態(tài)勢感知將成標(biāo)配

　　《個人信息保護法》的出臺，給個人信息保護風(fēng)險評估帶來了機會。企業(yè)在持續(xù)開展的數(shù)據(jù)業(yè)務(wù)活動過程中需要有可靠的個人信息保護風(fēng)險評估作為保證。然而在大數(shù)據(jù)時代，業(yè)務(wù)是快速迭代的，數(shù)據(jù)是不斷流動與更新的，依賴人工去做數(shù)據(jù)安全風(fēng)險評估是不可靠且不可控的，因此需要專業(yè)的數(shù)據(jù)安全風(fēng)險感知產(chǎn)品來為業(yè)務(wù)活動開展保駕護航。

　　奇安信推出的數(shù)據(jù)安全態(tài)勢感知平臺，是基于大數(shù)據(jù)技術(shù)框架以數(shù)據(jù)安全為核心的智能化數(shù)據(jù)安全管理與運營平臺，圍繞數(shù)據(jù)梳理與風(fēng)險檢測構(gòu)建敏感數(shù)據(jù)分布態(tài)勢、敏感數(shù)據(jù)流動態(tài)勢、數(shù)據(jù)安全風(fēng)險態(tài)勢，并對數(shù)據(jù)安全風(fēng)險提供預(yù)警、研判和處置手段，實現(xiàn)數(shù)據(jù)安全的全方位風(fēng)險感知與動態(tài)防護，為數(shù)據(jù)業(yè)務(wù)活動順利開展提供安全保障。

　?。ㄈ╇[私計算將迎來新一輪技術(shù)發(fā)展和市場爆發(fā)

　　在新法規(guī)落地的情況下，數(shù)據(jù)隱私保護與數(shù)據(jù)價值挖掘間的矛盾成為了各行各業(yè)開展數(shù)據(jù)業(yè)務(wù)的難題，在一定程度上加速了解決上述矛盾問題的隱私計算一類隱私保護新技術(shù)的發(fā)展。

　　目前，哈工大（深圳）-奇安信數(shù)據(jù)安全研究院在方濱興院士的指導(dǎo)下，基于數(shù)據(jù)不動程序動，數(shù)據(jù)可用不可見的隱私保護新理念，創(chuàng)新性地提出了調(diào)試環(huán)境與運行環(huán)境分離的體系結(jié)構(gòu)，研發(fā)了數(shù)據(jù)交易沙箱這一核心產(chǎn)品，實現(xiàn)了在保護數(shù)據(jù)隱私的前提下，最大限度地挖掘大數(shù)據(jù)價值。數(shù)據(jù)交易沙箱目前已應(yīng)用在政務(wù)、醫(yī)療、公安等重點領(lǐng)域。近期，“基于數(shù)據(jù)沙箱技術(shù)的數(shù)據(jù)服務(wù)平臺在醫(yī)療領(lǐng)域的應(yīng)用”在世界互聯(lián)網(wǎng)大會上榮獲2021數(shù)據(jù)安全典型實踐案例。

　　結(jié)束語

　　國泰君安研究所計算機首席分析師李沐華認為，《個人信息保護法》落地后，大大小小的互聯(lián)網(wǎng)公司都會加大數(shù)據(jù)安全投入。假設(shè)單個網(wǎng)站或者APP投入金額超過五萬元，潛在市場空間即達到千億元，因此《個人信息保護法》的落地，標(biāo)志著網(wǎng)安行業(yè)一個新時代的開始。

　　奇安信專家建議，對于企業(yè)來講，尤其是互聯(lián)網(wǎng)企業(yè)，應(yīng)主動開展個人信息相關(guān)的強化保護工作。具體包括開展個人信息相關(guān)的數(shù)據(jù)梳理工作，落實訪問人員身份鑒別、數(shù)據(jù)權(quán)限訪問控制、數(shù)據(jù)行為審計分析、個人數(shù)據(jù)匿名化處理等防護措施，以及強化特權(quán)訪問人員，如運維人員、開發(fā)測試人員對個人信息的技術(shù)管控，制定相關(guān)制度規(guī)范，落實管理工作等。

　　可以說，《個人信息保護法》實施，是《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》之后，我國信息安全保護在法制道路上的又一個里程碑，它將微觀個人的信息安全，和宏觀社會和行業(yè)的數(shù)據(jù)安全、網(wǎng)絡(luò)安全等緊密聯(lián)系到一起，共同成為國家安全戰(zhàn)略的重要組成部分。