導(dǎo) 語

　　隨著個人信息價值的凸顯，個人信息安全風(fēng)險與日俱增，個人信息保護意識也日漸增強。為了保護個人信息權(quán)益，規(guī)范個人信息處理活動，促進個人信息合理利用，我國首部保護個人信息安全的基礎(chǔ)性法律《中華人民共和國個人信息保護法》（以下簡稱“《個保法》”）于2021年8月20日正式表決通過，并將于11月1日起正式施行。

　　面對《個保法》的施行，“個人信息處理者”如何安全與合規(guī)地處理個人信息？世平信息基于《個保法》進行深度解讀，為“個人信息處理者”的數(shù)據(jù)安全合規(guī)建設(shè)提供思路與支撐。

　　五大原則+四大要求

　　《個保法》中明確規(guī)定了“個人信息處理者”的義務(wù)，我們將其簡要歸納為五大原則和四大要求，在信息處理過程中，遵循五大原則并滿足四大要求是“個人信息處理者”安全合規(guī)的前提。

　　遵循五大原則

　　1.合法、正當(dāng)、必要、誠信原則

　　處理個人信息應(yīng)當(dāng)遵循合法、正當(dāng)、必要和誠信原則，不得通過誤導(dǎo)、欺詐、脅迫等方式處理個人信息。

　　2.目的限制原則

　　處理個人信息應(yīng)當(dāng)具有明確、合理的目的，并應(yīng)當(dāng)與處理目的直接相關(guān)，采取對個人權(quán)益影響最小的方式。

　　3.最小化原則

　　收集個人信息，應(yīng)當(dāng)限于實現(xiàn)處理目的的最小范圍，不得過度收集個人信息。

　　4.公開、透明原則

　　處理個人信息應(yīng)當(dāng)遵循公開、透明原則，公開個人信息處理規(guī)則，明示處理的目的、方式和范圍。

　　5.完整性、準(zhǔn)確性原則

　　處理個人信息應(yīng)當(dāng)保證個人信息的質(zhì)量，避免因個人信息不準(zhǔn)確、不完整對個人權(quán)益造成不利影響。

　　滿足四大要求

　　1.對個人信息處理全過程進行安全風(fēng)險管理

　　采取措施確保個人信息處理活動符合法律、行政法規(guī)的規(guī)定，并防止未經(jīng)授權(quán)的訪問以及個人信息泄露、篡改、丟失。

　　2.建立安全保護制度，明確個人信息保護負責(zé)人

　　應(yīng)當(dāng)指定個人信息保護負責(zé)人，負責(zé)對個人信息處理活動以及采取的保護措施等進行監(jiān)督，并公開個人信息保護負責(zé)人的聯(lián)系方式。

　　3.定期進行合規(guī)審計

　　個人信息處理者應(yīng)當(dāng)定期對其處理個人信息遵守法律、行政法規(guī)的情況進行合規(guī)審計。

　　4.事前風(fēng)險評估，事后立即補救

　　應(yīng)當(dāng)事前進行個人信息保護影響評估；發(fā)生或者可能發(fā)生個人信息泄露、篡改、丟失的，應(yīng)當(dāng)立即采取補救措施，并通知有關(guān)部門和個人。

　　六大應(yīng)對措施

　　《個保法》實施在即，面對以上要求，“個人信息處理者”要如何應(yīng)對安全合規(guī)？如何在信息處理過程中最大程度的保護個人信息安全？我們建議“個人信息處理者”采取以下六大措施：

　　明確個人信息保護責(zé)任制，落實全生命周期管控責(zé)任

　　建立個人信息保護組織架構(gòu)，明確崗位職責(zé)，制定對應(yīng)的全流程管理規(guī)范、制度、流程等，落實全生命周期的安全管控職責(zé)，確保個人信息處理過程的安全合規(guī)。

　　進行個人信息分類（分級）管理

　　建立個人信息管理機制，明確數(shù)據(jù)類型及策略，對個人信息實行分類分級管理，從而制定精細化的保護策略，高效、有目的性的保障個人信息安全并確保個人敏感信息處理履行告知義務(wù)。

　　開展個人信息風(fēng)險評估，及時發(fā)現(xiàn)企業(yè)個人信息安全隱患

　　定期進行個人信息保護影響評估，采取風(fēng)險評估手段識別發(fā)現(xiàn)企業(yè)的個人信息安全風(fēng)險，及時整改，規(guī)避個人信息泄露、篡改、丟失等安全隱患，提升企業(yè)個人信息保護建設(shè)水平。

　　識別個人信息處理活動，落實安全技術(shù)措施

　　梳理個人信息全生命周期處理活動，制定相對應(yīng)的安全要求，對各風(fēng)險點進行提示，在風(fēng)險點落實匿名化和去標(biāo)識化；確?？缇硞€人信息處理處于合規(guī)狀態(tài)；對個人信息主體各項權(quán)利確保落實到位。

　　建立個人信息安全事件應(yīng)急響應(yīng)機制

　　建立個人信息安全應(yīng)急預(yù)案，明確個人信息事件的應(yīng)急方針、政策，應(yīng)急組織結(jié)構(gòu)及相關(guān)應(yīng)急職責(zé)。在安全事件發(fā)生后，能夠及時采取應(yīng)急措施，最大程度保護個人信息安全。

　　開展個人信息安全意識教育培訓(xùn)

　　定期開展個人信息安全意識教育培訓(xùn)，加強集體的信息安全保護意識，確保履行個人信息保護義務(wù)的部門及個人都能夠牢筑安全的基石，促進個人信息的合理利用。

　　立足需求，為“個人信息處理者”賦能

　　世平信息從法律法規(guī)出發(fā)，基于豐富的應(yīng)用實踐和長期技術(shù)積累，形成了一系列數(shù)據(jù)安全產(chǎn)品、平臺和安全服務(wù)體系，為用戶提供數(shù)據(jù)安全合規(guī)性檢測與監(jiān)管、數(shù)據(jù)資產(chǎn)分類分級發(fā)現(xiàn)與管理等產(chǎn)品和與服務(wù)能力幫助個人信息處理者實現(xiàn)安全合規(guī)。下面，我們針對“個人信息處理者”的需求場景，總結(jié)了以下應(yīng)對方案：

　　需求一：個人信息匿名化和去標(biāo)識化

　　個人信息處理者通過世平數(shù)據(jù)脫敏系統(tǒng)可以自動掃描發(fā)現(xiàn)并定位敏感信息數(shù)據(jù)，通過遮擋、替換個人標(biāo)識信息實現(xiàn)個人信息匿名化和去標(biāo)識化的目的。保障數(shù)據(jù)關(guān)聯(lián)性的同時，提供多種數(shù)據(jù)脫敏算法，確保個人信息安全。

　　需求二：個人信息合規(guī)采集

　　在個人信息采集環(huán)節(jié)，通過世平數(shù)據(jù)安全合規(guī)檢測系統(tǒng)的深度識別功能，結(jié)合對需要采集的數(shù)據(jù)類型和數(shù)據(jù)環(huán)境的調(diào)研，能夠輔助判斷是否過度采集。

　　需求三：非法傳輸/合法公開檢測

　　通過世平數(shù)據(jù)安全合規(guī)檢測系統(tǒng)在數(shù)據(jù)傳輸和公開的過程中，實時監(jiān)測個人信息的傳輸和發(fā)布情況，及時發(fā)現(xiàn)其中的合規(guī)隱患，確保個人信息處理者在處理個人信息過程的安全合規(guī)。

　　需求四：個人信息外發(fā)監(jiān)測與管控

　　利用世平數(shù)據(jù)防泄漏系統(tǒng)配置和下發(fā)個人信息外發(fā)管控策略，對移動存儲外設(shè)拷貝、郵件，及時通訊等外發(fā)行為進行監(jiān)測與控制。針對確定不能外發(fā)的個人信息文件，設(shè)置智能加密策略，從根源上防止外泄，有效幫助個人信息處理者實現(xiàn)個人信息外發(fā)控制。

　　《個保法》實施在即，但如何實現(xiàn)安全合規(guī)仍存在很多疑問和難點，對許多用戶造成困擾。世平信息專家團隊基于對法規(guī)的深度解讀，面向各個行業(yè)，幫助用戶解決在落實《個保法》中遇到的難點和挑戰(zhàn)。歡迎來電咨詢或官網(wǎng)留言。