2020-07-28
“欧盟数据宪章”-通用数据保护条例 2018 年 5 月 25 日,欧盟通用数据保护条例(Generall Data Protection Regulation, GDPR)正式实施,在全球范围内产生广泛影响。GDPR提出了个人数据保护六大原则:合法合理透明性原则、目的限制原则、最小化数据处理原则、数据准确性原则、限制存储期限原则、数据的完整性和保密性原则,在六大原则的指导下,通过一系列严格的问责机制,从系统设计和默认设置着手的隐私保护(Data protection by design and by default)、保留处理活动记录、实施安全保障措施、数据泄露报告与通知、数据保护影响评估、事先协商、设置数据保护官等措施,对数据主体的知情权、访问权、纠正券、删除权(被遗忘权)、限制处理权、可移植权(可携带权)、拒绝权和与自动化个人决策相关权利进行保护。
GDPR要求数据控制者和处理者实施适当的技术和管理措施,并在必要时进行审查和更新,尽管全文并未给出详细的控制措施实施要求,但仍指出需对以下因素进行着重考虑:
需特别注意的是,GDPR关于“同意”的认定标准较以往更为严格,且对儿童个人信息的保护更为注重。
国内数据安全法律法规、政策标准
我国在多项法律中关注和强化对个人信息的保护。如2012年全国人大常委会通过了《关于加强网络信息保护的决定》;2015年《中华人民共和国刑法修正案(九)》中明确了对个人信息保护的规定;2016年《中华人民共和国网络安全法》确定了个人信息保护的基本规则。2017年《中华人民共和国民法总则》中也明确规定了自然人的个人信息受法律保护。2019年《中华人民共和国电子商务法》中也纳入了保护消费者个人信息等规定。除此以外《网络安全等级保护条例(征求意见稿)》和《关键信息基础设施安全保护条例(征求意见稿)》中也对个人信息保护进行了相关规定,要求网络运营者落实重要数据和个人信息安全保护制度,采取保护措施,保障数据和信息在收集、存储、传输、使用、提供、销毁过程中的安全。
其中《中华人民共和国网络安全法》在第四章 网络信息安全部分,较大篇幅的对个人信息安全进行了规定,并且明确规定了“任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息”。为了落实《中华人民共和国网络安全法》《消费者权益保障法》,2019年1月25日,中央网信办、工业和信息化部、公安部、市场监管总局正式对外发布《关于开展App违法违规收集使用个人信息专项治理的公告》。从中我们也看出政府治理违规收集使用个人数据方面的决心,专项治理公告中明确要求:
在个人信息安全标准方面,2018年5月1日,信安标委组织制定的《信息安全技术 个人信息安全规范》正式实施,并于2019年1月30号公布二次修订草案。这是国内在个人信息安全保障方面的提升,在这部重磅的个人信息安全标准中明确了个人信息安全的基本原则,个人信息的收集、保存、使用、委托处理、共享、转让、公开披露的要求,个人信息安全事件处置和对组织的管理要求。同时相关的配套法规、标准也在陆续制定当中,相信推出时间指日可待。
虽然国内针对个人信息安全保护有一系列的法律法规、政策标准。但是总体而言法规、标准依然不完善,缺少总体规划,碎片化明显,同时存在落地执行不到位等情况。需要我们在立法层面加强顶层设计,统一规划,紧密衔接,加强监管和处罚措施,不断完善现有管理机制,从国家层面为个人信息安全提供法律保障。
对个人信息安全的几点建议
个人信息安全不单纯是技术问题或者法律问题,需要统筹结合,上下联动,综合防御。各组织单位、行业客户需要梳理清楚自身数据资产,识别个人敏感信息,加强内部安全管理措施,数据在哪里,安全保障就要覆盖到哪里。
在个人信息安全防护方面,行业单位需要落实国家网络安全等级保护制度。在安全合规建设中及时整改、落实管理,构建动态防御体系。加强数据安全动态监测预警机制,加强信息收集、分析研判,个人信息安全事件发生时及时预警、迅速处置。对接触到个人敏感信息的人员,进行鉴权控制、行为审计,并定期组织安全培训,强化素质教育、安全意识教育、安全技能教育,减少敏感数据从内部泄露的风险。敏感数据定期备份,备份信息定期离线保存,避免数据勒索事件发生。加强普法教育,个人信息安全从身边的小事做起,不随意丢弃快递单、不随便参加扫描抽奖活动、使用App谨慎放权。
