歷經(jīng)三次評(píng)審，《個(gè)人信息保護(hù)法》于8月20日正式出臺(tái)，在期間進(jìn)行的所有改動(dòng)當(dāng)中，在第一章第一條中加入“依據(jù)憲法，制定本法”一項(xiàng)頗為惹眼，這是在各種網(wǎng)絡(luò)安全相關(guān)法律中不曾出現(xiàn)過(guò)的，在數(shù)字化改革如火如荼、國(guó)家級(jí)信息安全事件頻出，人權(quán)指控四起的特殊時(shí)期，本法的出臺(tái)可謂意義重大，預(yù)示著未來(lái)數(shù)據(jù)安全尤其是個(gè)人信息保護(hù)將進(jìn)入一個(gè)全新時(shí)代。

　　法律全文分為八大章節(jié)共計(jì)七十四條，從原則、個(gè)人信息處理規(guī)則、敏感個(gè)人信息處理規(guī)則、個(gè)人信息跨境處理規(guī)則、個(gè)人信息主體權(quán)益、個(gè)人信息處理者義務(wù)、主管部門及其責(zé)任和法律責(zé)任幾個(gè)方面對(duì)個(gè)人信息的處理過(guò)程做了法律約束。

　　法律說(shuō)了什么？

　　立法對(duì)象是誰(shuí)？

　　個(gè)人/自然人：

　　個(gè)人信息的主體

　　個(gè)人信息處理者：

　　一般個(gè)人信息處理者

　　境外個(gè)人信息處理者

　　重要互聯(lián)網(wǎng)平臺(tái)服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的個(gè)人信息處理者

　　需要處理個(gè)人信息的國(guó)家機(jī)關(guān)

　　監(jiān)管單位：

　　網(wǎng)信和相關(guān)監(jiān)管單位

　　世平說(shuō)：

　　相較于網(wǎng)絡(luò)安全其他法律法規(guī)，立法對(duì)象多了“你我”，涉及信息安全和人權(quán)，也是本法的相對(duì)特別之處。

　　立法目的是什么？

　　為了保護(hù)個(gè)人信息權(quán)益

　　規(guī)范個(gè)人信息處理活動(dòng)

　　促進(jìn)個(gè)人信息合理利用

　　——第一條

　　世平說(shuō)：

　　開(kāi)宗明義

　　什么是個(gè)人信息？

　　個(gè)人信息是以電子或者其他方式記錄的與已識(shí)別或者可識(shí)別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息。

　　——第四條

　　敏感個(gè)人信息是一旦泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財(cái)產(chǎn)安全受到危害的個(gè)人信息，包括生物識(shí)別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個(gè)人信息。

　　——第二十八條

　　世平說(shuō)：

　　與《個(gè)人信息安全規(guī)范》中定義一致，明確了技術(shù)層面所要保護(hù)的對(duì)象，保護(hù)個(gè)人信息安全的前提是能夠準(zhǔn)確的識(shí)別定位個(gè)人信息。

　　個(gè)人信息權(quán)益有哪些？

　　個(gè)人對(duì)其個(gè)人信息的處理享有知情權(quán)、決定權(quán)，有權(quán)限制或者拒絕他人對(duì)其個(gè)人信息進(jìn)行處理

　　——第四十四條

　　撤回同意

　　——第十五條

　　未滿十四周歲個(gè)人信息保護(hù)

　　——第二十八條

　　查閱、復(fù)制本人個(gè)人信息

　　——第四十五條

　　更正、補(bǔ)充本人個(gè)人信息

　　——第四十六條

　　要求刪除本人個(gè)人信息

　　——第四十七條

　　要求對(duì)個(gè)人信息處理規(guī)則進(jìn)行解釋說(shuō)明

　　——第四十八條

　　近親對(duì)死者信息查閱、復(fù)制、更正、刪除

　　——第四十九條

　　訴訟

　　——第五十條

　　世平說(shuō)：

　　數(shù)據(jù)也是資產(chǎn)，對(duì)于屬于個(gè)人的資產(chǎn)，我們有權(quán)決定其如何被使用。

　　什么是個(gè)人信息處理活動(dòng)？

　　個(gè)人信息的處理包括個(gè)人信息的收集、存儲(chǔ)、使用、加工、傳輸、提供、公開(kāi)、刪除等。

　　——第四條

　　世平說(shuō)：

　　也就是我們常說(shuō)的數(shù)據(jù)安全生命周期。

　　合理利用如何體現(xiàn)？

　　個(gè)人在充分知情條件下自愿、明確同意

　　——第十三、十四條

　　不得以個(gè)人不同意為由拒絕提供服務(wù)

　　——第十六條

　　個(gè)人信息處理需告知信息主體

　　——第十七條

　　個(gè)人信息最短時(shí)間保存

　　——第十九條

　　委托處理規(guī)范

　　——第二十一條

　　變更需告知個(gè)人信息主體

　　——第二十二、二十三條

　　不得大數(shù)據(jù)殺熟

　　——第二十四條

　　社會(huì)探頭需顯著標(biāo)識(shí)

　　——第二十六條

　　公開(kāi)個(gè)人信息相對(duì)自由處理

　　——第二十七條

　　敏感個(gè)人信息處理規(guī)則

　　——第二章第二節(jié)

　　個(gè)人信息跨境規(guī)則

　　——第三章第二節(jié)

　　世平說(shuō)：

　　規(guī)范了個(gè)人信息的收集和使用，未來(lái)可能作為個(gè)人信息合規(guī)評(píng)估的主要控制項(xiàng)，也是個(gè)人信息維權(quán)訴訟的比較集中的方面，個(gè)人信息處理者應(yīng)基于此積極開(kāi)展合規(guī)自評(píng)估。

　　監(jiān)管單位做什么？

　　網(wǎng)信負(fù)責(zé)個(gè)人信息保護(hù)和監(jiān)督管理工作

　　——第六十條

　　職責(zé)：

　　宣傳教育、指導(dǎo)監(jiān)督

　　接受處理投訴和舉報(bào)

　　組織測(cè)評(píng)

　　調(diào)查、處理違法活動(dòng)

　　——第六十一條

　　統(tǒng)籌推進(jìn)：

　　制定具體規(guī)則、標(biāo)準(zhǔn)

　　支持新技術(shù)開(kāi)發(fā)、推廣

　　支持有關(guān)機(jī)構(gòu)開(kāi)展個(gè)人信息保護(hù)評(píng)估、認(rèn)證服務(wù)

　　完善投訴、舉報(bào)機(jī)制

　　——第六十二條

　　約談、要求整改、移送公安

　　——第六十四條

　　世平說(shuō)：

　　不同于公安主導(dǎo)的等級(jí)保護(hù)，個(gè)人信息保護(hù)由網(wǎng)信牽頭，應(yīng)該會(huì)建立一套獨(dú)立的要求規(guī)范、檢查、測(cè)評(píng)標(biāo)準(zhǔn)。

　　個(gè)人信息處理者做什么？

　　組織、開(kāi)展個(gè)人信息保護(hù)工作：

　　指定內(nèi)部管理制度和操作規(guī)程

　　個(gè)人信息分類管理

　　采用加密、去標(biāo)識(shí)化等安全技術(shù)措施

　　權(quán)限分配和教育培訓(xùn)

　　指定應(yīng)急預(yù)案

　　——第五十一條

　　專職專崗并備案

　　——第五十二條

　　境外個(gè)人信息處理者在境內(nèi)職責(zé)

　　——第五十三條

　　個(gè)人信息合規(guī)審計(jì)

　　——第五十四條

　　個(gè)人信息保護(hù)影響評(píng)估

　　——第五十五、五十六條

　　事件響應(yīng)

　　——第五十七條

　　重要互聯(lián)網(wǎng)平臺(tái)服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的個(gè)人信息處理者：

　　形成第三方個(gè)人信息合規(guī)審計(jì)機(jī)制

　　明確規(guī)范和義務(wù)

　　定期發(fā)布個(gè)人信息保護(hù)社會(huì)責(zé)任報(bào)告

　　——第五十八條

　　世平說(shuō)：

　　對(duì)個(gè)人信息處理者提出的個(gè)人信息保護(hù)的內(nèi)控要求，除了技術(shù)措施層面，著重提出了個(gè)人信息安全自審自評(píng)估要求，針對(duì)大型互聯(lián)網(wǎng)服務(wù)平臺(tái)，更要形成第三方的外審機(jī)制。

　　如何懲戒？

　　世平說(shuō)：

　　情節(jié)嚴(yán)重的處罰金額百分比甚至超過(guò)號(hào)稱史上最嚴(yán)的GDPR，各單位注意，這不是演習(xí)。

　　法律沒(méi)說(shuō)什么？

　　如何落地？

　　法律的落地往往通過(guò)案件訴訟、執(zhí)法檢查等方面得以體現(xiàn)，執(zhí)法檢查過(guò)程中的檢查方和被查方都要遵從統(tǒng)一的技術(shù)標(biāo)準(zhǔn)，針對(duì)本法，從措辭和立意來(lái)看，對(duì)應(yīng)的技術(shù)規(guī)范應(yīng)該是《GBT 35273-2020 信息安全技術(shù) 個(gè)人信息安全規(guī)范》，其中對(duì)個(gè)人信息的具體定義以及應(yīng)采用的保護(hù)措施如匿名化、去標(biāo)識(shí)化等，對(duì)信息主體和信息處理者的義務(wù)和責(zé)任都有細(xì)致描述，可作為個(gè)人信息安全機(jī)制落地的參考。

　　除此之外，法律中所提到的多項(xiàng)評(píng)估和審計(jì)要求，除了“個(gè)人信息保護(hù)影響評(píng)估”、 “個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估”有相關(guān)規(guī)范外，相關(guān)的測(cè)評(píng)、評(píng)估標(biāo)準(zhǔn)尚不完善，相信這將是未來(lái)網(wǎng)信部門在制度、標(biāo)準(zhǔn)建立職責(zé)中的重要工作之一。

　　未來(lái)趨勢(shì)？

　　隨著法規(guī)標(biāo)準(zhǔn)的不斷完善、安全事件的發(fā)酵推動(dòng)，數(shù)據(jù)安全原本作為網(wǎng)絡(luò)安全的其中一環(huán)，由于其涉及公民權(quán)益、國(guó)家安全，在可見(jiàn)的將來(lái)很有可能形成獨(dú)立于傳統(tǒng)網(wǎng)絡(luò)安全的法規(guī)、監(jiān)管、建設(shè)體系，在原有的對(duì)于安全性要求的基礎(chǔ)上，更多的涉及業(yè)務(wù)合規(guī)的檢查和測(cè)評(píng)要求。

　　同時(shí)，由于適用對(duì)象從原本只有網(wǎng)絡(luò)安全的網(wǎng)絡(luò)運(yùn)營(yíng)者和監(jiān)管機(jī)構(gòu)，到加入個(gè)人信息主體，也就是公民大眾，在個(gè)人信息維權(quán)領(lǐng)域應(yīng)該會(huì)引來(lái)一波訴訟熱潮，使得數(shù)據(jù)安全至少在合規(guī)層面，短時(shí)間內(nèi)會(huì)有較大的市場(chǎng)需求。

　　個(gè)人做什么？

　　抱怨無(wú)盡的推送廣告？

　　懷疑有人泄露自己的信息？

　　被悄無(wú)聲息的大宰一刀才后知后覺(jué)？

　　……

　　如果說(shuō)在這之前這滿頭的問(wèn)號(hào)還無(wú)處安放，這滿腔的怨惱還無(wú)處宣泄，那么從此刻起，請(qǐng)拿起法律的武器像捍衛(wèi)“毛主席”一樣捍衛(wèi)自己的個(gè)人信息權(quán)益吧，當(dāng)然，與便利相比可能這微不足道，但作為個(gè)人來(lái)說(shuō)，一部特別標(biāo)明“基于憲法制定”的法律所賦予我們的權(quán)利，即便不行使，也請(qǐng)熟讀一百遍啊，一百遍。

　　世平信息怎么說(shuō)？

　　杭州世平信息科技有限公司借助多年數(shù)據(jù)安全領(lǐng)域的技術(shù)和服務(wù)能力，以數(shù)據(jù)內(nèi)容識(shí)別技術(shù)為核心，結(jié)合多行業(yè)數(shù)據(jù)安全項(xiàng)目建設(shè)經(jīng)驗(yàn)，提供從敏感信息的分布發(fā)現(xiàn)、加密脫敏、泄露防護(hù)到數(shù)據(jù)安全合規(guī)評(píng)估在內(nèi)十余種數(shù)據(jù)安全保障措施，緊密貼合《個(gè)人信息保護(hù)法》所提出的技術(shù)和服務(wù)要求，為用戶提供數(shù)據(jù)安全合規(guī)性檢測(cè)與監(jiān)管、數(shù)據(jù)資產(chǎn)分類分級(jí)發(fā)現(xiàn)與管理、以數(shù)據(jù)為中心的數(shù)據(jù)安全防護(hù)和業(yè)務(wù)驅(qū)動(dòng)的精細(xì)化數(shù)據(jù)安全管控等業(yè)界前沿能力，滿足合規(guī)性管控和內(nèi)生性防護(hù)需求，實(shí)現(xiàn)針對(duì)個(gè)人信息安全的全面、有效監(jiān)控與防護(hù)。