近日中国人民大学一名毕业生非法获取学生个人信息并搭建了颜值打分平台系统被拘留的事件发生,事件中被非法获取的个人信息包含本硕博学生的照片、姓名、学号、学院、籍贯、生日。个人信息处理者需要积极承担个人信息保护的法律义务和社会责任,规避对个人信息主体带来的负面影响。
云安全联盟大中华区发布报告《个人信息保护合规准则-中国篇》(以下简称准则),旨在为处于《个人信息保护法》管辖范围内的个人信息处理者提供系统性的实施指导。该准则包含了个人信息保护合规基本要求的相关内容,包括原则、方法论框架等方面。提供了一个结构化的“合规要求-控制措施及规程说明-其他考虑”的框架,以指导个人信息处理者在处理活动中应遵守的规范。通过遵循该文件提供的指导和建议,个人信息处理者可以更好地履行其保护个人信息安全和隐私的责任。
文末附报告获取方式
准则参考了10余项个人信息保护法律法规及国家标准,解析了在中国境内个人信息保护工作需被执行的具体工作,内容主要包括个人信息识别、个人信息保护合规基本要求、个人信息专项保护要求、合规情况监测改进四大部分内容,12项合规控制项,106个控制细项,并形成的方法论框架,包含一个组织、两层纬度,六项专项保护,和持续性的监测活动确保个人信息合规活动可以体系化的运行,具体如下:
个人信息识别
个人信息识别是清晰保护对象的必要路径,是个人信息保护工作的第一步,《个人信息保护法》中区别与一般个人信息对敏感个人信息对保护提出了更加严格对要求,本准则给出了一般个人信息和敏感个人信息识别方法及示例,以及对“匿名化个人信息”进行验证和标注的提示。
个人信息保护基本要求
《个人信息保护法》对大型处理个人信息达到国家网信部门规定数量的个人信息处理者等在内的个人信息处理者的人员设置等方面提供了明确要求,同时赋予了个人信息主体基本权利,明确了个人信息处理者等保护义务。本准则给予了在组织机制建设、个人主体权利识别与响应响应、个人信息处理活动的安全合规要求落地上提供管理和技术两个纬度具体实施路径的指导。
个人信息专项保护要求
个人信息处理者业务模式和运营状况各不相同,因此所处理的个人信息也各不相同,所需面临的合规要求因此也不同。本准则提供在这些场景下的具体指导,具体为:
1)处理敏感个人信息个人信息的处理者需求遵循敏感个人信息保护的加强要求;
2)处理未成年人个人信息的额外的措施和说明;
3)组织本体发生并、重组、分立、解散、破产情形下的个人信息处理者需遵循的个人信息转移的特殊要求;
4)涉及共同处理者和委托处理者时,判别及管理过程的各阶段;
5)业务场景下涉及自动化决策时,个人信息处理原则及基本要求。
6)针对数据跨境流程中各个环节提出了控制措施,包含跨境前需进行的评估活动,跨境中提供的保护措施以及和监管机构沟通的要求
合规监测改进
任何持续性工作的执行,都需要有有效的合规监测手段,确保执行过程中的符合性和有效性,同时《个人信息保护法》也提出了在一些具体场景下需开展个人信息安全影响评估,并定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。准则给出了个人信息安全影响评估的适用情形及其方法流程。以及个人信息安全合规审计的基本要求。
当今时代,各行业各领域在提供产品和服务的过程中利用大数据技术、人工智能技术将人作为纯粹的数据,进行纯粹的分析和计算,在这个过程中理应坚持以”以人为本”的原则做好个人信息保护工作,维护个人信息主体权益。《个人信息保护法》提出以宪法为基础,关乎人权,负责个人信息权益、尊严和自由的保护,个人信息处理者应当依法依规建立健全全流程全生态的个人信息保护体系。
致谢
《个人信息保护合规准则-中国篇》由CSA大中华区数据安全工作组内个人信息保护合规准则项目组专家撰写,感谢以下专家的贡献(排名不分先后):
项目组组长:高巍、王玮
主要贡献者:曾令平、陈丑亚、付艳艳、黄妍昕、李沈舟、廖振勇、罗进、王彪、邢海韬、余其玄、原浩、张兵、张淼
参与专家:戴才良、丁哲轩、方伟、顾伟、姜国春、黎伊帆、李安伦、陆建松、时培宇、王永霞、王泽、袁荣婷、张元恺、赵帅、赵勇智
感谢以下单位对本文档的支持与贡献:
OPPO、安信与诚、绿盟、微步在线、天融信、华为、奇安信、NFEC、天翼安全、腾讯云、大华、吉大正元、熠数信息、美创科技、世平信息、e签宝、谷安天下、360数科
本文作者:王玮
天融信,数据安全治理咨询专家