2020-07-28
“歐盟數據憲章”-通用數據保護條例 2018 年 5 月 25 日,歐盟通用數據保護條例(Generall Data Protection Regulation, GDPR)正式實施,在全球范圍內產生廣泛影響。GDPR提出了個人數據保護六大原則:合法合理透明性原則、目的限制原則、最小化數據處理原則、數據準確性原則、限制存儲期限原則、數據的完整性和保密性原則,在六大原則的指導下,通過一系列嚴格的問責機制,從系統設計和默認設置著手的隱私保護(Data protection by design and by default)、保留處理活動記錄、實施安全保障措施、數據泄露報告與通知、數據保護影響評估、事先協商、設置數據保護官等措施,對數據主體的知情權、訪問權、糾正券、刪除權(被遺忘權)、限制處理權、可移植權(可攜帶權)、拒絕權和與自動化個人決策相關權利進行保護。
GDPR要求數據控制者和處理者實施適當的技術和管理措施,并在必要時進行審查和更新,盡管全文并未給出詳細的控制措施實施要求,但仍指出需對以下因素進行著重考慮:
需特別注意的是,GDPR關于“同意”的認定標準較以往更為嚴格,且對兒童個人信息的保護更為注重。
國內數據安全法律法規、政策標準
我國在多項法律中關注和強化對個人信息的保護。如2012年全國人大常委會通過了《關于加強網絡信息保護的決定》;2015年《中華人民共和國刑法修正案(九)》中明確了對個人信息保護的規定;2016年《中華人民共和國網絡安全法》確定了個人信息保護的基本規則。2017年《中華人民共和國民法總則》中也明確規定了自然人的個人信息受法律保護。2019年《中華人民共和國電子商務法》中也納入了保護消費者個人信息等規定。除此以外《網絡安全等級保護條例(征求意見稿)》和《關鍵信息基礎設施安全保護條例(征求意見稿)》中也對個人信息保護進行了相關規定,要求網絡運營者落實重要數據和個人信息安全保護制度,采取保護措施,保障數據和信息在收集、存儲、傳輸、使用、提供、銷毀過程中的安全。
其中《中華人民共和國網絡安全法》在第四章 網絡信息安全部分,較大篇幅的對個人信息安全進行了規定,并且明確規定了“任何個人和組織不得竊取或者以其他非法方式獲取個人信息,不得非法出售或者非法向他人提供個人信息”。為了落實《中華人民共和國網絡安全法》《消費者權益保障法》,2019年1月25日,中央網信辦、工業和信息化部、公安部、市場監管總局正式對外發布《關于開展App違法違規收集使用個人信息專項治理的公告》。從中我們也看出政府治理違規收集使用個人數據方面的決心,專項治理公告中明確要求:
在個人信息安全標準方面,2018年5月1日,信安標委組織制定的《信息安全技術 個人信息安全規范》正式實施,并于2019年1月30號公布二次修訂草案。這是國內在個人信息安全保障方面的提升,在這部重磅的個人信息安全標準中明確了個人信息安全的基本原則,個人信息的收集、保存、使用、委托處理、共享、轉讓、公開披露的要求,個人信息安全事件處置和對組織的管理要求。同時相關的配套法規、標準也在陸續制定當中,相信推出時間指日可待。
雖然國內針對個人信息安全保護有一系列的法律法規、政策標準。但是總體而言法規、標準依然不完善,缺少總體規劃,碎片化明顯,同時存在落地執行不到位等情況。需要我們在立法層面加強頂層設計,統一規劃,緊密銜接,加強監管和處罰措施,不斷完善現有管理機制,從國家層面為個人信息安全提供法律保障。
對個人信息安全的幾點建議
個人信息安全不單純是技術問題或者法律問題,需要統籌結合,上下聯動,綜合防御。各組織單位、行業客戶需要梳理清楚自身數據資產,識別個人敏感信息,加強內部安全管理措施,數據在哪里,安全保障就要覆蓋到哪里。
在個人信息安全防護方面,行業單位需要落實國家網絡安全等級保護制度。在安全合規建設中及時整改、落實管理,構建動態防御體系。加強數據安全動態監測預警機制,加強信息收集、分析研判,個人信息安全事件發生時及時預警、迅速處置。對接觸到個人敏感信息的人員,進行鑒權控制、行為審計,并定期組織安全培訓,強化素質教育、安全意識教育、安全技能教育,減少敏感數據從內部泄露的風險。敏感數據定期備份,備份信息定期離線保存,避免數據勒索事件發生。加強普法教育,個人信息安全從身邊的小事做起,不隨意丟棄快遞單、不隨便參加掃描抽獎活動、使用App謹慎放權。
