2021年8月20日,十三届全国人大常委会第三十次会议表决通过了《中华人民共和国《个人信息保护法》》,自2021年11月1日起正式实施。《个人信息保护法》对个人信息处理规则、个人信息跨境传输、个人信息处理活动的权利、信息处理者的义务、监管部门职责以及罚则等作出了全面的规定。
过去一年,该法作为我国首部规范和加强个人信息保护的专门性法律,为破解个人信息保护中的热点难点问题提供了强有力的法律保障。2022年11月1日,《个人信息保护法》即将迎来正式实施一周年。安全419长期关注个人信息保护相关议题,值此《个人信息保护法》实施一周年之际,抛出备受关注的关键话题,以期能引来更多的探讨。
实施一年后,《个人信息保护法》给企业运营、社会公众带来了哪些影响?当前哪些行业还面临着比较突出的个人信息保护问题?围绕一系列相关问题,我们邀请了四位业内专家来分享自己的观察。
本期嘉宾
李莅 山石网科技术专家
博文 安天移动安全资深安全专家
方伟 熠数信息CTO
丁杨 极盾科技CEO
实施一年后,《个人信息保护法》
给企业运营和社会公众带来了哪些影响?
山石网科数据安全技术专家李莅指出,《个人信息保护法》明确规定了企业组织在个人信息使用处理和流转过程当中所应遵循的原则以及相关的义务,它使得广大人民群众在数字经济发展过程当中享受到更多的幸福感和安全感,一方面对相关违法犯罪人员起到震慑和惩戒的作用,另一方面也提升了大众关于个人信息的保护意识。
安天移动安全资深安全专家博文表示,从安天移动安全的监测来看,近年来应用的超范围收集和违规收集个人信息行为已经出现逐年的下降和递减的趋势。在这一点上,公众个人信息的认知和意识得到了很大程度的提升,可以看到在过去的这种隐私换取便利的方式下,公众的意愿明显下降,并且对自身的个人信息被非法使用和获取的问题明显有了更多关注。
在给企业运营带来的影响方面,熠数信息CTO方伟认为,《个人信息保护法》对企业而言最重要还是做好合规工作。其中主要包含了两个层面,首先是企业在采集公民个人信息的时候要注意合规,杜绝出现信息的过度收集,以及需要得到用户的授权许可。另外一点是在使用、加工跟运维这些数据的时候,要加强企业自身的安全的措施,防止内部的外部的以及数据被破坏等事件的发生,提高企业自身的安全能力。
他谈到,“行业其实是自顶向下的,对于公众而言,他们会认为网络安全、数据安全距离大众非常的遥远,但其实《个人信息保护法》的发布拉近了公民与安全行业之间的距离,每一个人的生活都与之息息相关,《个人信息保护法》的实施让所有的人都提高了个人信息安全意识,对整个安全行业的发展来说也具有很重要的积极意义。”
极盾科技CEO丁杨也就这一问题分享了自己的观点,在他看来,《个人信息保护法》颁布以来从个人的角度,能够明显感受到过往对个人信息的非法获取、过度的采集滥用等现象非常大的改善,比如说各类的骚扰电话,信息的轰炸,精准诈骗,以及在一些场景下强制采集个人信息的现象都得到了很好的遏制。
从生活中经常使用到的一些数字软件平台中,普通的消费者也能够享有决定自己的哪些数据可以被采集以及可以被使用的权力。作为企业来说,不管是数据的拥有者还是数据的使用者,都在个人信息保护和数据安全的投入层面做了大量的改进和提升。无论是在制度流程保障、工具平台的数据安全建设还是相关能力人才的培养层面,整个行业做出了很大的进步。
企业在《个人信息保护法》的落实方面,
做出了哪些的明显改变?
丁杨表示,《个人信息保护法》事实上直接给普通民众带来了很大的便利性。“从数据安全保护的角度,我们可以看到像以告知和同意为核心的处理规则,已经几乎覆盖了所有常见的数字化APP、网站和平台。事实上,其实现在很多的APP已经更进一步,不仅提供了告知同意的知情权、决定权,甚至还赋予了用户异议删除权,从功能层面提供了非常细粒度的安全管控和偏好的选择,能够让用户更好的去做好对个人隐私数据的保护,决定哪些数据在什么场景,提供给什么样的平台去使用。”
博文补充道,《个人信息保护法》当中对应用对个人信息的收集范围、使用目的、收集的频度,以及后续的数据分享、销毁相关的一些要点进行了详细的规定,并且已经将相关的行为规范上升到立法程度。在当前的大数据时代,这也对应用的开发者如何保障用户的个人信息不受侵害提出了更高标准的要求。
他表示,在未来的移动互联网的应用的开发乃至运营过程中,开发者都应该从产品的最开始的立项设计到开发上线,在到后续的整个的一个运营规范中时刻牢记有关个人信息的规范和要求,这样才能够保障自身产品的合规性,以及保障对用户的个人信息相关的权益。
当前哪些行业还面临着比较突出的
个人信息保护问题?主要存在哪些方面?
李莅认为,个人信息安全保护事实上并不存在行业的区别,各个行业的个人信息保护问题都不容小觑,尤其是涉及到比如说金融、运营商、教育、能源等等国计民生相关领域。当下最严峻的风险和挑战便是落地难和执行难,主要的问题在于企业和组织在理解《个人信息保护法》相关条文的过程当中存在一定的分歧,大家目前都是处于一个观望的态度,这就要求政府相关的机构要尽快的出台最佳实践,并加以引导和推广。
丁杨谈到,从重视程度上来看,可以看到现在包括金融行业以及大型的国央企和互联网企业等,他们对个人信息的保护还是比较专注和谨慎。但是另外一方面,一些规模相对较小,在数字化能力以及数据保护意识上稍弱,但业务上却涉及到个人敏感信息的一类行业客户,比如行为轨迹类、个人住址类、交易信息类的等等相关的供应商,他们仍然面临更多的一些个人信息保护相关问题。虽然目前已经有了一个比较大的个人信息保护的法律框架,但是仍然缺少比较细粒度的操作合规的指引,企业想合法合规的使用数据产生最大的业务价值,可能边界和定位还是存在一些难点。
“同时,数据安全内忧外患,对外企业需要构筑好防御体系,阻断黑客的一些针对性的攻击,病毒勒索等等恶意破坏行为;对内也要去阻止违规的操作,非授权的访问、离职泄密等类似事件的发生,这需要有比较成熟的产品技术方案支撑,这也是像我们极盾科技这样的数据安全服务商存在的价值。”
博文从应用开发者的角度谈到了自己的看法,他认为当前应用开发者在个人信息保护方面面临两大问题:首先是缺乏专业的安全合规方面的技术人才,其次是应用开发者对于国家监管单位对于个人信息保护和隐私保护相关条款具体落实要求,存在理解不太到位的情况。最终导致应用可能被监管单位通报,甚至是要被应用商店下架,造成了后续的经济损失和用户的流失问题。因此他认为,未来通过第三方服务机构向应用开发者提供个人信息保护相关的合规检测服务会是一个必然的趋势。
从企业数据安全建设的角度,方伟谈到了自己的观点。他表示,网络安全行业最早是伴随着攻防对抗而产生的,目前数据安全、信息个人信息保护已经成为了网络安全行业中的一个细分领域。对于企业而言,外部的攻击威胁只是其中的一小部分,更多的数据安全问题还是来自于企业内部自身发生的数据泄露方面。
其中包括员工的误操作,内部人员跟外部人员勾结恶意操作,离职前数据的下载等多种方式,这些都是目前企业在个人信息保护过程当中付出代价最高,也是最难以检测到的数据泄露行为。除此之外,还有一些隐藏在企业内部,已经被外部攻击者获取到相应权限的设备也会被用于进行数据窃取、数据破坏这类的行为,这是同样也是当前企业面临的重要的问题,所以说识别异常的用户以及识别出用户的异常是当前企业普遍面临的挑战。
在当前《个人信息保护法》
的落地和完善改进方面有哪些建议?
李莅表示,《个人信息保护法》第五十八条第一款当中提到了对于承接重要的互联网服务,且用户体量巨大,业务复杂的相关平台,应当建立由外部人员组成的独立机构,对个人信息保护的情况进行有效监管。但所谓的“独立机构”它是如何被建立起来的,包括整个监管的流程是否是科学合理有效的,在《个人信息保护法》的原文当中是没有被进一步的阐释和说明的,这就要求在下一步工作当中要来对相关的内容做完善和补充。
博文谈到,安天移动安全注意到,由于开发者企业自身的业务场景的不同,以及其核心产品应用的业务场景的差异性,导致收集、处理、使用甚至分享用户个人信息过程中的标准,事实上也存在差异性。
因此,他建议,在进一步的《个人信息保护法》相关的政策实施过程中,应该针对特定的行业、特定的业务场景区分化和差异化的建立数据标准和监管边界,针对频繁出现跟信息保护问题的行业甚至企业,也要加强监管的巡查力度,守牢我们的用户安全底线。
丁杨从《个人信息保护法》的完善角度提出了三点建议:
01 在可操作性方面可以再进一步提升,在《个人信息保护法》大的框架下如何去更好的落地,其实这需要有相应的行业条例或者更细粒度的规章制度,去帮助企业和平台来具体的落地执行;
02 在民众的意识层面还应进一步去做提升,开设更多的渠道和平台去做好宣传教育工作,尤其是针对一些如老年人和未成年人的弱势群体的宣传教育方面,避免他们受到非法的个人信息相关的侵犯;
03 建议打通更便捷的投诉渠道,及时回应民众对个人合法权益遭到侵犯时进行投诉的需求。
方伟表示,当前《个人信息保护法》里面很多条款比较具有原则性的,它在落地跟实施的过程当中,需要通过一些案例来进行推进。应该结合不同的应用场景,增加一些适当的司法解释,部门规章以及地方性的法规等等,这样才能够不断的推进《个人信息保护法》的落地实施。
此外,当前数据已经成为了数字经济时代新的生产要素,是数字经济发展的主要动力。那么经过处理的模糊化的公民的个人信息,其实也是其中的重要的组成部分之一,企业实际上是可以对这部分数据进行处理和使用。
“《个人信息保护法》的实施是为了让企业抛弃掉过去错误的以及滥用的利用方式,走向正确的信息的使用方式。要做到这一步,就要进一步的明确合规以及免责的边界,推动企业用公民的个人信息做好事,而不是用来做坏事。我们也可以考虑借鉴一些国外的相关立法,探索在保护公民个人信息的同时,也能够增加促进数字经济发展以及创新应用的相应的规则”,方伟最后谈到。