導 語

　　隨著個人信息價值的凸顯，個人信息安全風險與日俱增，個人信息保護意識也日漸增強。為了保護個人信息權益，規(guī)范個人信息處理活動，促進個人信息合理利用，我國首部保護個人信息安全的基礎性法律《中華人民共和國個人信息保護法》（以下簡稱“《個保法》”）于2021年8月20日正式表決通過，并將于11月1日起正式施行。

　　面對《個保法》的施行，“個人信息處理者”如何安全與合規(guī)地處理個人信息？世平信息基于《個保法》進行深度解讀，為“個人信息處理者”的數(shù)據安全合規(guī)建設提供思路與支撐。

　　五大原則+四大要求

　　《個保法》中明確規(guī)定了“個人信息處理者”的義務，我們將其簡要歸納為五大原則和四大要求，在信息處理過程中，遵循五大原則并滿足四大要求是“個人信息處理者”安全合規(guī)的前提。

　　遵循五大原則

　　1.合法、正當、必要、誠信原則

　　處理個人信息應當遵循合法、正當、必要和誠信原則，不得通過誤導、欺詐、脅迫等方式處理個人信息。

　　2.目的限制原則

　　處理個人信息應當具有明確、合理的目的，并應當與處理目的直接相關，采取對個人權益影響最小的方式。

　　3.最小化原則

　　收集個人信息，應當限于實現(xiàn)處理目的的最小范圍，不得過度收集個人信息。

　　4.公開、透明原則

　　處理個人信息應當遵循公開、透明原則，公開個人信息處理規(guī)則，明示處理的目的、方式和范圍。

　　5.完整性、準確性原則

　　處理個人信息應當保證個人信息的質量，避免因個人信息不準確、不完整對個人權益造成不利影響。

　　滿足四大要求

　　1.對個人信息處理全過程進行安全風險管理

　　采取措施確保個人信息處理活動符合法律、行政法規(guī)的規(guī)定，并防止未經授權的訪問以及個人信息泄露、篡改、丟失。

　　2.建立安全保護制度，明確個人信息保護負責人

　　應當指定個人信息保護負責人，負責對個人信息處理活動以及采取的保護措施等進行監(jiān)督，并公開個人信息保護負責人的聯(lián)系方式。

　　3.定期進行合規(guī)審計

　　個人信息處理者應當定期對其處理個人信息遵守法律、行政法規(guī)的情況進行合規(guī)審計。

　　4.事前風險評估，事后立即補救

　　應當事前進行個人信息保護影響評估；發(fā)生或者可能發(fā)生個人信息泄露、篡改、丟失的，應當立即采取補救措施，并通知有關部門和個人。

　　六大應對措施

　　《個保法》實施在即，面對以上要求，“個人信息處理者”要如何應對安全合規(guī)？如何在信息處理過程中最大程度的保護個人信息安全？我們建議“個人信息處理者”采取以下六大措施：

　　明確個人信息保護責任制，落實全生命周期管控責任

　　建立個人信息保護組織架構，明確崗位職責，制定對應的全流程管理規(guī)范、制度、流程等，落實全生命周期的安全管控職責，確保個人信息處理過程的安全合規(guī)。

　　進行個人信息分類（分級）管理

　　建立個人信息管理機制，明確數(shù)據類型及策略，對個人信息實行分類分級管理，從而制定精細化的保護策略，高效、有目的性的保障個人信息安全并確保個人敏感信息處理履行告知義務。

　　開展個人信息風險評估，及時發(fā)現(xiàn)企業(yè)個人信息安全隱患

　　定期進行個人信息保護影響評估，采取風險評估手段識別發(fā)現(xiàn)企業(yè)的個人信息安全風險，及時整改，規(guī)避個人信息泄露、篡改、丟失等安全隱患，提升企業(yè)個人信息保護建設水平。

　　識別個人信息處理活動，落實安全技術措施

　　梳理個人信息全生命周期處理活動，制定相對應的安全要求，對各風險點進行提示，在風險點落實匿名化和去標識化；確?？缇硞€人信息處理處于合規(guī)狀態(tài)；對個人信息主體各項權利確保落實到位。

　　建立個人信息安全事件應急響應機制

　　建立個人信息安全應急預案，明確個人信息事件的應急方針、政策，應急組織結構及相關應急職責。在安全事件發(fā)生后，能夠及時采取應急措施，最大程度保護個人信息安全。

　　開展個人信息安全意識教育培訓

　　定期開展個人信息安全意識教育培訓，加強集體的信息安全保護意識，確保履行個人信息保護義務的部門及個人都能夠牢筑安全的基石，促進個人信息的合理利用。

　　立足需求，為“個人信息處理者”賦能

　　世平信息從法律法規(guī)出發(fā)，基于豐富的應用實踐和長期技術積累，形成了一系列數(shù)據安全產品、平臺和安全服務體系，為用戶提供數(shù)據安全合規(guī)性檢測與監(jiān)管、數(shù)據資產分類分級發(fā)現(xiàn)與管理等產品和與服務能力幫助個人信息處理者實現(xiàn)安全合規(guī)。下面，我們針對“個人信息處理者”的需求場景，總結了以下應對方案：

　　需求一：個人信息匿名化和去標識化

　　個人信息處理者通過世平數(shù)據脫敏系統(tǒng)可以自動掃描發(fā)現(xiàn)并定位敏感信息數(shù)據，通過遮擋、替換個人標識信息實現(xiàn)個人信息匿名化和去標識化的目的。保障數(shù)據關聯(lián)性的同時，提供多種數(shù)據脫敏算法，確保個人信息安全。

　　需求二：個人信息合規(guī)采集

　　在個人信息采集環(huán)節(jié)，通過世平數(shù)據安全合規(guī)檢測系統(tǒng)的深度識別功能，結合對需要采集的數(shù)據類型和數(shù)據環(huán)境的調研，能夠輔助判斷是否過度采集。

　　需求三：非法傳輸/合法公開檢測

　　通過世平數(shù)據安全合規(guī)檢測系統(tǒng)在數(shù)據傳輸和公開的過程中，實時監(jiān)測個人信息的傳輸和發(fā)布情況，及時發(fā)現(xiàn)其中的合規(guī)隱患，確保個人信息處理者在處理個人信息過程的安全合規(guī)。

　　需求四：個人信息外發(fā)監(jiān)測與管控

　　利用世平數(shù)據防泄漏系統(tǒng)配置和下發(fā)個人信息外發(fā)管控策略，對移動存儲外設拷貝、郵件，及時通訊等外發(fā)行為進行監(jiān)測與控制。針對確定不能外發(fā)的個人信息文件，設置智能加密策略，從根源上防止外泄，有效幫助個人信息處理者實現(xiàn)個人信息外發(fā)控制。

　　《個保法》實施在即，但如何實現(xiàn)安全合規(guī)仍存在很多疑問和難點，對許多用戶造成困擾。世平信息專家團隊基于對法規(guī)的深度解讀，面向各個行業(yè)，幫助用戶解決在落實《個保法》中遇到的難點和挑戰(zhàn)。歡迎來電咨詢或官網留言。