2021年8月20日，十三屆全國人大常委會第三十次會議表決通過了《中華人民共和國《個人信息保護法》》，自2021年11月1日起正式實施。《個人信息保護法》對個人信息處理規(guī)則、個人信息跨境傳輸、個人信息處理活動的權利、信息處理者的義務、監(jiān)管部門職責以及罰則等作出了全面的規(guī)定。

　　過去一年，該法作為我國首部規(guī)范和加強個人信息保護的專門性法律，為破解個人信息保護中的熱點難點問題提供了強有力的法律保障。2022年11月1日，《個人信息保護法》即將迎來正式實施一周年。安全419長期關注個人信息保護相關議題，值此《個人信息保護法》實施一周年之際，拋出備受關注的關鍵話題，以期能引來更多的探討。

　　實施一年后，《個人信息保護法》給企業(yè)運營、社會公眾帶來了哪些影響？當前哪些行業(yè)還面臨著比較突出的個人信息保護問題？圍繞一系列相關問題，我們邀請了四位業(yè)內專家來分享自己的觀察。

　　實施一年后，《個人信息保護法》給企業(yè)運營和社會公眾帶來了哪些影響？

　　山石網(wǎng)科數(shù)據(jù)安全技術專家李蒞指出，《個人信息保護法》明確規(guī)定了企業(yè)組織在個人信息使用處理和流轉過程當中所應遵循的原則以及相關的義務，它使得廣大人民群眾在數(shù)字經(jīng)濟發(fā)展過程當中享受到更多的幸福感和安全感，一方面對相關違法犯罪人員起到震懾和懲戒的作用，另一方面也提升了大眾關于個人信息的保護意識。

　　安天移動安全資深安全專家博文表示，從安天移動安全的監(jiān)測來看，近年來應用的超范圍收集和違規(guī)收集個人信息行為已經(jīng)出現(xiàn)逐年的下降和遞減的趨勢。在這一點上，公眾個人信息的認知和意識得到了很大程度的提升，可以看到在過去的這種隱私換取便利的方式下，公眾的意愿明顯下降，并且對自身的個人信息被非法使用和獲取的問題明顯有了更多關注。

　　在給企業(yè)運營帶來的影響方面，熠數(shù)信息CTO方偉認為，《個人信息保護法》對企業(yè)而言最重要還是做好合規(guī)工作。其中主要包含了兩個層面，首先是企業(yè)在采集公民個人信息的時候要注意合規(guī)，杜絕出現(xiàn)信息的過度收集，以及需要得到用戶的授權許可。另外一點是在使用、加工跟運維這些數(shù)據(jù)的時候，要加強企業(yè)自身的安全的措施，防止內部的外部的數(shù)據(jù)泄露以及數(shù)據(jù)被破壞等事件的發(fā)生，提高企業(yè)自身的安全能力。

　　他談到，“網(wǎng)絡安全行業(yè)其實是自頂向下的，對于公眾而言，他們會認為網(wǎng)絡安全、數(shù)據(jù)安全距離大眾非常的遙遠，但其實《個人信息保護法》的發(fā)布拉近了公民與安全行業(yè)之間的距離，每一個人的生活都與之息息相關，《個人信息保護法》的實施讓所有的人都提高了個人信息安全意識，對整個安全行業(yè)的發(fā)展來說也具有很重要的積極意義?！?/p>

　　極盾科技CEO丁楊也就這一問題分享了自己的觀點，在他看來，《個人信息保護法》頒布以來從個人的角度，能夠明顯感受到過往對個人信息的非法獲取、過度的采集濫用等現(xiàn)象非常大的改善，比如說各類的騷擾電話，信息的轟炸，精準詐騙，以及在一些場景下強制采集個人信息的現(xiàn)象都得到了很好的遏制。

　　從生活中經(jīng)常使用到的一些數(shù)字軟件平臺中，普通的消費者也能夠享有決定自己的哪些數(shù)據(jù)可以被采集以及可以被使用的權利。作為企業(yè)來說，不管是數(shù)據(jù)的擁有者還是數(shù)據(jù)的使用者，都在個人信息保護和數(shù)據(jù)安全的投入層面做了大量的改進和提升。無論是在制度流程保障、工具平臺的數(shù)據(jù)安全建設還是相關能力人才的培養(yǎng)層面，整個行業(yè)做出了很大的進步。

　　企業(yè)在《個人信息保護法》的落實方面，做出了哪些的明顯改變？

　　丁楊表示，《個人信息保護法》事實上直接給普通民眾帶來了很大的便利性?！皬臄?shù)據(jù)安全保護的角度，我們可以看到像以告知和同意為核心的處理規(guī)則，已經(jīng)幾乎覆蓋了所有常見的數(shù)字化APP、網(wǎng)站和平臺。事實上，其實現(xiàn)在很多的APP已經(jīng)更進一步，不僅提供了告知同意的知情權、決定權，甚至還賦予了用戶異議刪除權，從功能層面提供了非常細粒度的安全管控和偏好的選擇，能夠讓用戶更好的去做好對個人隱私數(shù)據(jù)的保護，決定哪些數(shù)據(jù)在什么場景，提供給什么樣的平臺去使用?！?/p>

　　博文補充道，《個人信息保護法》當中對應用對個人信息的收集范圍、使用目的、收集的頻度，以及后續(xù)的數(shù)據(jù)分享、銷毀相關的一些要點進行了詳細的規(guī)定，并且已經(jīng)將相關的行為規(guī)范上升到立法程度。在當前的大數(shù)據(jù)時代，這也對應用的開發(fā)者如何保障用戶的個人信息不受侵害提出了更高標準的要求。

　　他表示，在未來的移動互聯(lián)網(wǎng)的應用的開發(fā)乃至運營過程中，開發(fā)者都應該從產品的最開始的立項設計到開發(fā)上線，再到后續(xù)的整個的一個運營規(guī)范中時刻牢記有關個人信息的規(guī)范和要求，這樣才能夠保障自身產品的合規(guī)性，以及保障對用戶的個人信息相關的權益。

　　當前哪些行業(yè)還面臨著比較突出的個人信息保護問題？主要存在哪些方面？

　　李蒞認為，個人信息安全保護事實上并不存在行業(yè)的區(qū)別，各個行業(yè)的個人信息保護問題都不容小覷，尤其是涉及到比如說金融、運營商、教育、能源等等國計民生相關領域。當下最嚴峻的風險和挑戰(zhàn)便是落地難和執(zhí)行難，主要的問題在于企業(yè)和組織在理解《個人信息保護法》相關條文的過程當中存在一定的分歧，大家目前都是處于一個觀望的態(tài)度，這就要求政府相關的機構要盡快的出臺最佳實踐，并加以引導和推廣。

　　丁楊談到，從重視程度上來看，可以看到現(xiàn)在包括金融行業(yè)以及大型的國央企和互聯(lián)網(wǎng)企業(yè)等，他們對個人信息的保護還是比較專注和謹慎。但是另外一方面，一些規(guī)模相對較小，在數(shù)字化能力以及數(shù)據(jù)保護意識上稍弱，但業(yè)務上卻涉及到個人敏感信息的一類行業(yè)客戶，比如行為軌跡類、個人住址類、交易信息類的等等相關的供應商，他們仍然面臨更多的一些個人信息保護相關問題。雖然目前已經(jīng)有了一個比較大的個人信息保護的法律框架，但是仍然缺少比較細粒度的操作合規(guī)的指引，企業(yè)想合法合規(guī)的使用數(shù)據(jù)產生最大的業(yè)務價值，可能邊界和定位還是存在一些難點。

　　“同時，數(shù)據(jù)安全內憂外患，對外企業(yè)需要構筑好防御體系，阻斷黑客的一些針對性的攻擊，病毒勒索等等惡意破壞行為；對內也要去阻止違規(guī)的操作，非授權的訪問、離職泄密等類似事件的發(fā)生，這需要有比較成熟的產品技術方案支撐，這也是像我們極盾科技這樣的數(shù)據(jù)安全服務商存在的價值?！?/p>

　　博文從應用開發(fā)者的角度談到了自己的看法，他認為當前應用開發(fā)者在個人信息保護方面面臨兩大問題：首先是缺乏專業(yè)的安全合規(guī)方面的技術人才，其次是應用開發(fā)者對于國家監(jiān)管單位對于個人信息保護和隱私保護相關條款具體落實要求，存在理解不太到位的情況。最終導致應用可能被監(jiān)管單位通報，甚至是要被應用商店下架，造成了后續(xù)的經(jīng)濟損失和用戶的流失問題。因此他認為，未來通過第三方服務機構向應用開發(fā)者提供個人信息保護相關的合規(guī)檢測服務會是一個必然的趨勢。

　　從企業(yè)數(shù)據(jù)安全建設的角度，方偉談到了自己的觀點。他表示，網(wǎng)絡安全行業(yè)最早是伴隨著攻防對抗而產生的，目前數(shù)據(jù)安全、信息個人信息保護已經(jīng)成為了網(wǎng)絡安全行業(yè)中的一個細分領域。對于企業(yè)而言，外部的攻擊威脅只是其中的一小部分，更多的數(shù)據(jù)安全問題還是來自于企業(yè)內部自身發(fā)生的數(shù)據(jù)泄露方面。

　　其中包括員工的誤操作，內部人員跟外部人員勾結惡意操作，離職前數(shù)據(jù)的下載等多種方式，這些都是目前企業(yè)在個人信息保護過程當中付出代價最高，也是最難以檢測到的數(shù)據(jù)泄露行為。除此之外，還有一些隱藏在企業(yè)內部，已經(jīng)被外部攻擊者獲取到相應權限的設備也會被用于進行數(shù)據(jù)竊取、數(shù)據(jù)破壞這類的行為，這是同樣也是當前企業(yè)面臨的重要的問題，所以說識別異常的用戶以及識別出用戶的異常是當前企業(yè)普遍面臨的挑戰(zhàn)。

　　在當前《個人信息保護法》的落地和完善改進方面有哪些建議？

　　李蒞表示，《個人信息保護法》第五十八條第一款當中提到了對于承接重要的互聯(lián)網(wǎng)服務，且用戶體量巨大，業(yè)務復雜的相關平臺，應當建立由外部人員組成的獨立機構，對個人信息保護的情況進行有效監(jiān)管。但所謂的“獨立機構”它是如何被建立起來的，包括整個監(jiān)管的流程是否是科學合理有效的，在《個人信息保護法》的原文當中是沒有被進一步的闡釋和說明的，這就要求在下一步工作當中要來對相關的內容做完善和補充。

　　博文談到，安天移動安全注意到，由于開發(fā)者企業(yè)自身的業(yè)務場景的不同，以及其核心產品應用的業(yè)務場景的差異性，導致收集、處理、使用甚至分享用戶個人信息過程中的標準，事實上也存在差異性。

　　因此，他建議，在進一步的《個人信息保護法》相關的政策實施過程中，應該針對特定的行業(yè)、特定的業(yè)務場景區(qū)分化和差異化的建立數(shù)據(jù)標準和監(jiān)管邊界，針對頻繁出現(xiàn)跟信息保護問題的行業(yè)甚至企業(yè)，也要加強監(jiān)管的巡查力度，守牢我們的用戶安全底線。

　　丁楊從《個人信息保護法》的完善角度提出了三點建議：

　　01 在可操作性方面可以再進一步提升，在《個人信息保護法》大的框架下如何去更好的落地，其實這需要有相應的行業(yè)條例或者更細粒度的規(guī)章制度，去幫助企業(yè)和平臺來具體的落地執(zhí)行；

　　02 在民眾的意識層面還應進一步去做提升，開設更多的渠道和平臺去做好宣傳教育工作，尤其是針對一些如老年人和未成年人的弱勢群體的宣傳教育方面，避免他們受到非法的個人信息相關的侵犯；

　　03 建議打通更便捷的投訴渠道，及時回應民眾對個人合法權益遭到侵犯時進行投訴的需求。

　　方偉表示，當前《個人信息保護法》里面很多條款比較具有原則性的，它在落地跟實施的過程當中，需要通過一些案例來進行推進。應該結合不同的應用場景，增加一些適當?shù)乃痉ń忉專块T規(guī)章以及地方性的法規(guī)等等，這樣才能夠不斷的推進《個人信息保護法》的落地實施。

　　此外，當前數(shù)據(jù)已經(jīng)成為了數(shù)字經(jīng)濟時代新的生產要素，是數(shù)字經(jīng)濟發(fā)展的主要動力。那么經(jīng)過處理的模糊化的公民的個人信息，其實也是其中的重要的組成部分之一，企業(yè)實際上是可以對這部分數(shù)據(jù)進行處理和使用。

　　“《個人信息保護法》的實施是為了讓企業(yè)拋棄掉過去錯誤的以及濫用的利用方式，走向正確的信息的使用方式。要做到這一步，就要進一步的明確合規(guī)以及免責的邊界，推動企業(yè)用公民的個人信息做好事，而不是用來做壞事。我們也可以考慮借鑒一些國外的相關立法，探索在保護公民個人信息的同時，也能夠增加促進數(shù)字經(jīng)濟發(fā)展以及創(chuàng)新應用的相應的規(guī)則”，方偉最后談到。

　　更多信息可以來這里獲取==>>電子技術應用-AET<<