《个人信息保护法》之技术赋能企业合规建设解读

2021-09-06 15:56:31 浏览数 (2)

2021年8月20日,中华人民共和国第十三届全国人民代表大会常务委员会第三十次会议正式表决通过《中华人民共和国个人信息保护法》(下面简称《个人信息保护法》)。自2020年10月以来,《个人信息保护法》历经三次审议与修订,并即将于11月1日正式实施。其中,终稿与二审稿相比,有一些删改和完善,具体可参考文章《附下载:《个人信息保护法》终稿与草案的二审稿修订对比》

近年来,为了应对数字化和信息化带来的隐私挑战,全球掀起数据安全与隐私的立法热潮,法规监管强度不断强化,比较代表是欧盟颁布的“史上最严”的GDPR、美国加州的CCPA,以及巴西的LGPD。我国在立法层面,分别制定了两部相关的基础性法律,除了今天发布的《个人信息保护法》以外,另一部是今年6月份通过的《数据安全法》(解读可参考《《数据安全法》9月1日施行,企业如何进行数据安全建设》)。这两部法律虽然都是规范数据安全与隐私领域,但侧重点有所不同:前者更加强调在总体国家安全观指导下,对国家利益、公共利益和个人、组织合法权益方面给予全面保护;后者则更加侧重于对个人信息、隐私方面进行保护,同时赋予自然人的各项个人信息权利。

从企业视角来看,《个人信息保护法》是企业处理个人信息活动必须遵循的“行为规范”。从国家监管视角来看,它是主管单位对企业个人信息违法违规案件处罚的法规监管依据。该法律规定最高可罚款5000万元或者上一年度营业额的5%罚款,同时有责令暂停、停业整顿和吊销营业执照等严厉的行政处罚。这对于数字型的企业(尤其是大型面向用户服务的平台、互联网公司)来说,隐私合规、数据安全合规建设十分重要且迫切。

《个人信息保护法》全文分为八个章节,共74个条款。企业是否完全满足这些合规性条款呢?距离11月1日该法的落地实施,企业仅有2个月多时间。Are you ready?基于此目的,我们对《个人信息保护法》进行解读:基于企业合规的视角,从该法中挑选出了企业必须遵循的法律条款,并相应地进行了“应对技术与合规措施”的解读。本文一方面希望给企业组织的隐私合规提供一个技术层面的参考;另一方面希望达到抛砖引玉,与广大信息安全从业者互相交流、共同探讨出个人隐私保护的最佳实践。

我们将企业的隐私合规性分为显式合规需求和隐式合规需求,前者有明确的规定,可通过产品和流程实现;后者是合规应达到的一个效果或者目标,可以通过不同技术与管理措施手段降低合规性风险。本文技术解读的核心观点如下:

  • 显式合规需求:比如“告知-同意”机制和为用户提供行使个人信息权利的申请受理机制等。企业需在用户交互的入口(App/网站)嵌入各类受理交互窗口与按钮;同时需完善隐私声明,对个人信息的安全风险与各项个人信息权利进行解释;在App/网站的后端,需要使用更多自动化技术,包括使用知识图谱赋能,以实现快速响应(可能的)高并发的用户权利请求响应的需求(相关技术与产品可参照国外《RSA2020创新沙盒Securiti.ai—解决隐私合规痛点的一站式自动化方案》)。
  • 隐式合规需求:比如采取必要措施保护个人信息安全、防止个人信息泄露、窃取和篡改等目标。企业可以根据国标《个人信息安全规范》、《个人信息去标识化指南》等,以及根据自身数据安全与个人信息保护的建设水平,在不同的业务场景采取技术和管理措施以确保个人信息安全:包括去标识化(数据脱敏)、加密、数据水印、访问控制等的常规技术措施,以及同态加密、安全多方计算和联邦学习等隐私计算技术;以及设置个人信息保护负责人、个人信息安全培训、评估检查等。
  • 法律豁免的出口:在一些具体的业务场景中,实现大规模的用户“告知-同意”机制的合规成本是高昂的。此外,超过期限的个人信息直接删除销毁使得企业失去大数据优势。《个人信息保护法》明确指出个人信息不包括“匿名化处理后的信息”(无法识别特定自然人且不能复原)。因此,理论上匿名化信息可以避免个人信息销毁的合规要求,甚至与第三方共享、数据交易等。如何实现“匿名化”效果是关键,可通过匿名化模型与算法、数据脱敏,以及重标识风险评估等技术手段(《个人信息去标识化效果分级评估规范》征求意见稿)),以及专家根据现有技术发展水平、攻击者能力进行评估,确保处于可控和风险较低水平。

章节

《个人信息保护法》

应对技术与合规措施解读

第一章 总则

第四条个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息, 不包括匿名化处理后的信息。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。

个人信息的处理的合规路径一:遵从《个人信息保护法》的合规性;同时也指出第二条的合规路径:“匿名化处理后的信息”具有该法的“豁免权”。因此,如何实现该效果的匿名化处理是关键,可通过以下方式实现:匿名化算法技术:包括K-匿名、L-多样和T-近似处理得到匿名化数据集,并对其隐私风险进行评估,确保风险处于较低水平数据脱敏 重标识风险评估技术:对数据脱敏处理后数据集进行重标识风险评估,确保其在现有技术发展水平、攻击者能力下处于低风险级别(《大数据下的隐私攻防:数据脱敏后的隐私攻击与风险评估》,《信息安全技术-个人信息去标识化效果分级评估规范》征求意见稿)

第九条 个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。

个人信息处理者采取的必要措施,包括:管理措施,包括个人信息保护负责人、进行个人信息安全培训、评估检查等技术措施,包括去标识化(数据脱敏)、加密、数据水印、访问控制等常规技术措施,以及差分隐私、同态加密、安全多方计算和联邦学习等隐私计算技术

第二章个人信息处理规则

第十三条 符合下列情形之一的, 个人信息处理者方可处理个人信息:(一) 取得个人的同意;(二) 为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;(三) 为履行法定职责或者法定义务所必需;(四) 为应对突发公共卫生事件, 或者紧急情况下为保护自然人的生命健康和财产安全所必需;(五) 为公共利益实施新闻报道、 舆论监督等行为, 在合理的范围内处理个人信息; (六) 依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;(七) 法律、 行政法规规定的其他情形。依照本法其他有关规定, 处理个人信息应当取得个人同意,但是有前款第二项至第七项规定情形的, 不需取得个人同意。

个人信息处理者取得个人信息主体同意的手段与机制,包括:App/网站包含隐私声明App/网站包含授权同意交互窗口其他方式,比如书面的协议与合同

第十四条 基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、 明确作出。 法律、 行政法规规定处理个人信息应当取得个人单独同意或者书面同意的, 从其规定。个人信息的处理目的、 处理方式和处理的个人信息种类发生变更的, 应当重新取得个人同意。

同第十三条解读

第十六条 基于个人同意而进行的个人信息处理活动, 个人有权撤回其同意为由。 个人信息处理者应当提供便捷的撤回同意的方式。个人撤回同意, 不影响撤回前基于个人同意已进行的个人信息处理活动的效力。

个人信息处理者为个人提供行使“撤销权”便利,可通过以下措施与机制实现合规:App/网站的隐私声明中,包括对“撤销权”的解释说明App/网站中,提供用户权利的申请受理和处理机制,比如嵌入用户“撤回同意”的交互窗口用户权利请求响应完成后,为用户提供合规报告用户权利请求响应自动化技术,包括使用知识图谱赋能,构建以个人信息主体为单位的关联图,能快速响应(可能的)高并发的用户撤回同意需求(相关技术与产品参照《RSA2020创新沙盒Securiti.ai—解决隐私合规痛点的一站式自动化方案》)

第十七条 个人信息处理者在处理个人信息前, 应当以显著方式、 清晰易懂的语言真实、准确、完整地向个人告知下列事项:(一) 个人信息处理者的名称或者姓名和联系方式;(二) 个人信息的处理目的、 处理方式, 处理的个人信息种类、 保存期限;(三) 个人行使本法规定权利的方式和程序;(四) 法律、 行政法规规定应当告知的其他事项。前款规定事项发生变更的, 应当将变更部分告知个人。个人信息处理者通过制定个人信息处理规则的方式告知第一款规定事项的, 处理规则应当公开, 并且便于查阅和保存。

个人信息处理者在处理个人信息前,可通过以下措施与机制实现合规:App/网站的隐私声明,内容中包括法律条款规定的各个事项App/网站中的弹窗形式,告知信息变更

第二十条 除法律、行政法规另有规定外,个人信息的保存期限应当为实现处理目的所必要的最短时间。

个人信息保存期限最小化合规要求,超出保存期限后,可通过以下措施与机制实现合规:个人信息销毁,销毁数据包含处理过程中产生的衍生信息,具有可识别个人的相关信息个人信息匿名化处理,对其进行匿名化处理以及重标识风险评估,使其达到“不可识别特定个人且不能复原”效果,从而以“非个人信息”的数据范畴进行保存

第二十一条 个人信息处理者委托处理个人信息的, 应当与受托人约定委托处理的目的、 期限、 处理方式、 个人信息的种类、 保护措施以及双方的权利和义务等, 并对受托方的个人信息处理活动进行监督。受托人应当按照约定处理个人信息, 不得超出约定的处理目的、 处理方式等处理个人信息; 委托合同不生效、 无效、 被撤销或者终止的, 受托人应当将个人信息返还个人信息处理者或者予以删除, 不得保留。未经个人信息处理者同意, 受托人不得转委托他人处理个人信息。

委托处理个人信息(如公有云)场景,可通过以下措施与机制实现合规:双方约定的协议与合同,内容包括法律条款规定的事项以及双方的义务划分委托处理方提供的个人信息处理报告,证明合规性委托方进行个人信息销毁,并提供合规报告通过同态加密技术实现委托第三方(如公有云)处理个人信息,通过联邦学习技术分别实现多方委托第三方的联合AI建模,通过技术降低第三方的隐私合规风险

第二十二条 个人信息处理者因合并、 分立、解散、被宣告破产等原因需要转移个人信息的, 应当向个人告知接收方的名称或者姓名和、 联系方式。 接收方应当继续履行个人信息处理者的义务。 接收方变更原先的处理目的、 处理方式的, 应当依照本法规定重新取得个人同意。

同第十八条解读

第二十三条 个人信息处理者向其他个人信息处理者提供其处理的个人信息的, 应当向个人告知接收方的名称或者姓名、 联系方式、 处理目的、 处理 方式和个人信息的种类, 并取得个人的单独同意。 接收方应当在上述处理目的、 处理方式和个人信息的种类等范围内处理个人信息。 接收方变更原先的处理目的、 处理方式的, 应当依照本法规定重新取得个人同意。

同第十八条解读

第二十四条 个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。

个人信息进行自动化决策场景中,可通过以下措施与机制实现合规:可解释人工智能(XAI)技术向用户提供自动化决策的报告商业营销、 信息推送场景,为用户拒绝自动化决策的服务的入口(窗口、按钮)

第二十七条 个人信息处理者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;个人明确拒绝的除外。个人信息处理者处理已公开的个人信息,对个人权益有重大影响的,应当依照本法规定取得个人同意。

个人信息处理者处理已公开的个人信息,可通过邮件、电话等手段征求个人的同意

第二十九条 处理敏感个人信息应当取得个人的单独同意; 法律、 行政法规规定处理敏感个人信息应当取得书面同意的, 从其规定。

敏感个人信息处理单独同意,可通过以下措施与机制实现合规:App/网站中的弹窗形式,用户被告知并确认发送邮件,用户被告知并确认

第三十一条 个人信息处理者处理敏感个人信息的, 除本法第十七条第一款规定的事项外, 还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响;依照本法规定可以不向个人告知的除外。

敏感个人信息处理场景,可通过以下措施与机制实现合规:App/网站中的弹窗形式,展示法律条款规定的必要信息发送邮件,展示法律条款规定的必要信息

第三章个人信息跨境提供的规则

第三十八条 个人信息处理者因业务等需要, 确需向中华人民共和国境外提供个人信息的, 应当具备下列一项条件:之一(一) 依照本法第四十条的规定通过国家网信部门组织的安全评估;(二) 按照国家网信部门的规定经专业机构进行个人信息保护认证;(三) 按照国家网信部门制定的标准合同与境外接收方订立合同, 约定双方的权利和义务,;(四) 法律、 行政法规或者国家网信部门规定的其他条件。中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的,可以按照其规定执行。个人信息处理者应当采取必要措施,保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。

个人信息跨境传输场景,可通过以下措施与机制实现合规:个人信息安全风险评估个人信息保护认证跨境双方制定合同

第三十九条 个人信息处理者向中华人民共和国境外提供个人信息的, 应当向个人告知境外接收方的名称或者姓名、 联系方式、 处理目的、 处理方式、 个人信息的类以及个人向境外接收方行使本法规定权利的方式和程序等事项, 并取得个人的单独同意。

涉及跨境传输的个人信息处理者,若有网站和App,可通过隐私声明,以及弹窗形式通知,或者邮件、电话形式通知,取得个人的单独同意。

第四十条 关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者, 应当将在中华人民共和国境内收集和产生的个人信息存储在境内。 确需向境外提供的,应当通过国家网信部门组织的安全评估; 法律、行政法规和国家网信部门规定可以不进行安全评估的, 从其规定。

涉及境外个人信息传输,同第十八条解读

第四章个人在个人信息处理活动中的权利

第四十四条 个人对其个人信息的处理享有知情权、决定权, 有权限制或者拒绝他人对其个人信息进行处理; 法律、 行政法规另有规定的除外。

个人信息处理者为个人提供行使“知情权”、”决定权”、“限制权”和“拒绝权”便利,可通过以下措施与机制实现合规:App/网站的隐私声明中,包括对各个权利的解释说明App/网站中,提供用户权利的申请受理和处理机制,比如嵌入用户各种权利请求的交互窗口用户权利请求响应完成后,需为用户提供合规报告用户权利请求响应自动化技术,包括使用知识图谱赋能,构建以个人信息主体为单位的关联图,能快速响应(可能的)高并发的用户撤回同意需求(相关技术与产品参照《RSA2020创新沙盒Securiti.ai—解决隐私合规痛点的一站式自动化方案》)

第四十五条 个人有权向个人信息处理者查阅、 复制其个人信息; 有本法第十八条第一款、第三十五条规定情形的除外。个人请求查阅、 复制其个人信息的, 个人信息处理者应当及时提供。个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。

同第四十四条解读

第四十六条 个人发现其个人信息不准确或者不完整的, 有权请求个人信息处理者更正、 补充。个人请求更正、 补充其个人信息的, 个人信息处理者应当对其个人信息予以核实, 并及时更正、 补充。

同第四十四条解读

第四十七条 有下列情形之一的, 个人信息处理者应当主动删除个人信息; 个人信息处理者未删除的, 个人有权请求删除:(一) 处理目的已实现、无法实现或者为实现处理目的不再必要;(二) 个人信息处理者停止提供产品或者服务, 或者保存期限已届满;(三) 个人撤回同意;(四) 个人信息处理者违反法律、 行政法规或者违反约定处 理个人信息;(五) 法律、 行政法规规定的其他情形。法律、 行政法规规定的保存期限未届满, 或者删除个人信息从技术上难以实现的, 个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。

同第四十四条解读。除此以外,个人信息保存期限已满后,该法律条款指出两条合规路径,一是删除/销毁手段,二是非删除/销毁手段,可通过以下手段降低合规风险:去标识化(数据脱敏)处理,并进行重标识风险评估(参照《大数据下的隐私攻防:数据脱敏后的隐私攻击与风险评估》)匿名化算法,包括K-匿名、L-多样和T-近似,并对其隐私风险进行评估(参照《数据淘金热时代下的隐私问题何去何从——探讨国内外法规下的匿名化概念》)

第四十八条 个人有权要求个人信息处理者对其个人信息处理规则进行解释说明。

个人信息处理者(App/网站),为用户提供请求解释和受理的机制,比如提供交互窗口与按钮

第五章个人信息处理者的义务

第五十一条 个人信息处理者应当根据个人信息的处理目的、 处理方式、 个人信息的种类以及对个人权益的影响、 可能存在的安全风险等, 采取下列措施确保个人信息处理活动符合法律、 行政法规的规定, 并防止未经授权的访问以及个人信息泄露、 篡改、丢失:(一) 制定内部管理制度和操作规程;(二) 对个人信息实行分类管理;(三) 采取相应的加密、 去标识化等安全技术措施;(四) 合理确定个人信息处理的操作权限, 并定期对从业人 员进行安全教育和培训;(五) 制定并组织实施个人信息安全事件应急预案;(六) 法律、 行政法规规定的其他措施。

有理有据的对处理个人信息可能带来的风险进行评估:个人信息安全风险评估技术个人信息安全风险评估标准需要建立行业统一的个人信息安全风险评估标准,便于审计企业/组织对个人信息处理的合规性。防止未经授权的访问:身份认证技术访问控制技术防止个人信息泄露或被窃取:加密技术去标识化技术防止个人信息被篡改、删除:数据备份技术电子签名技术哈希技术账号行为审计技术数据备份技术用于解决恢复被恶意篡改或删除的用户个人信息。电子签名技术、哈希技术用于识别用户个人信息是否受到恶意篡改。账号行为审计技术用于识别、追踪有不当操作行为的用户及具体行为。解决个人信息分类管理过程中人工标注数据工作量大的问题:数据资产识别技术自动化分类分级技术细粒度权限管理技术,解决个人信息处理操作权限设定及分配问题。

第五十四条 个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。

数据处理活动的合规审计:基于系统日志的合规审计技术数据流转审计技术基于系统日志的合规审计技术,解决内部个人信息处理合规审计。数据流转审计技术,解决个人信息处理者之间的数据共享或委托处理等活动的合规审计。

第五十五条 有下列情形之一的,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录::(一) 处理敏感个人信息;(二) 利用个人信息进行自动化决策;(三) 委托处理个人信息、 向其他个人信息处理者提供个人信息、 公开个人信息;(四) 向境外提供个人信息;(五) 其他对个人权益有重大影响的个人信息处理活动。第五十六条个人信息保护影响评估的内容应当包括下列内容:(一) 个人信息的处理目的、 处理方式等是否合法、 正当、必要;(二) 对个人权益的影响及安全风险;(三) 所采取的保护措施是否合法、 有效并与风险程度相适应。个人信息保护影响评估报告和处理情况记录应当至少保存三年。

个人信息处理风险评估技术,全面评估个人信息处理活动对个人的影响及风险程度。脱敏评估技术,评估脱敏算法在“委托处理个人信息、 向他人提供个人信息、 公开个人信息”活动时的脱敏效果。区块链存证技术,确保个人信息处理活动的处理记录的安全存证,确保处理记录不会受到篡改。

第五十七条 发生或者可能发生个人信息泄露、篡改、丢失的,个人信息处理者应当立即采取补救措施, 并通知履行个人信息保护职责的部门和个人。通知应当包括下列事项:(一) 发生或者可能发生个人信息泄露、篡改、丢失的信息种类、原因和可能造成的危害;(三) 个人信息处理者的联系方式。个人信息处理者采取措施能够有效避免信息泄露、篡改、丢失造成危害的, 个人信息处理者可以不通知个人; 但是, 履行个人信息保护职责的部门认为可能造成危害的, 有权要求个人信息处理者通知个人。

安全事件分析技术,分析个人信息泄露的原因。个人信息风险评估技术,评估“泄露的个人信息种类和可能造成的危害”。

第五十九条 接受委托处理个人信息的受托人, 应当依照本法和有关法律、行政法规的规定, 采取必要措施保障所处理的个人信息的安全,并协助个人信息处理者履行本法规定的义务。

对于受托方,可采取两条不同的技术路线进行个人信息保护:(1)以安全多方计算、联邦学习、TEE三大技术为基础实现数据“可用不可见”的隐私计算技术,从根源杜绝受托方泄露用户个人信息的可能。(2)以身份认证、数据加密、访问控制、日志审计等技术为基础实现的传统数据安全管理技术。隐私计算技术使得原始数据对受托方不可见,绝对保证受托方无法泄露数据:优点是安全性高,管理复杂性低;缺点是隐私计算技术成熟度有待提高。利用传统数据安全技术,相当于数据委托方将数据的保护任务连同数据一起移交给了数据受托方,使得受托方可以看到全部或部分原始数据:优点是技术成熟度高,计算效率高;缺点是多种数据安全技术需要协同部署,缺一不可,管理复杂性高,稍有不慎受托方即会造成数据泄露。

第六章 履行个人信息保护职责的部门

第六十二条 国家网信部门统筹协调有关部门依据本法推进下列个人信息保护工作:(一) 制定个人信息保护具体规则、 标准;(二) 针对小型个人信息处理者、处理敏感个人信息以及人脸识别、 人工智能等新技术、新应用, 制定专门的个人信息保护规则、 标准;(三) 支持研究开发和推广应用安全、 方便的电子身份认证技术,推进网络身份认证公共服务建设;(四) 推进个人信息保护社会化服务体系建设, 支持有关机构开展个人信息保护评估、 认证服务;(五) 完善个人信息保护投诉、举报工作机制。

安全方便的电子身份认证技术,保证用户在网络空间中的身份识别和身份校验,确保用户电子身份与现实身份正确关联。

第七章法律责任

第六十八条 个人信息权益因个人信息处理活动受到侵害,个人信息处理者不能证明自己没有过错的, 应当承担损害赔偿等侵权责任。前款规定的损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定; 个人因此受到的损失和个人信息处理者因此获得的利益难以确定的, 根据实际情况确定赔偿数额。

数字水印技术,将个人处理者的身份标识信息嵌入进所处理的数据中,发生数据泄露事故时,准确识别泄露源头。

  • 匿名化算法技术:包括K-匿名、L-多样和T-近似处理得到匿名化数据集,并对其隐私风险进行评估,确保风险处于较低水平
  • 数据脱敏 重标识风险评估技术:对数据脱敏处理后数据集进行重标识风险评估,确保其在现有技术发展水平、攻击者能力下处于低风险级别(《大数据下的隐私攻防:数据脱敏后的隐私攻击与风险评估》,《信息安全技术-个人信息去标识化效果分级评估规范》征求意见稿

第九条 个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。个人信息处理者采取的必要措施,包括:

  • 管理措施,包括个人信息保护负责人、进行个人信息安全培训、评估检查等
  • 技术措施,包括去标识化(数据脱敏)、加密、数据水印、访问控制等常规技术措施,以及差分隐私、同态加密、安全多方计算和联邦学习等隐私计算技术

第二章个人信息处理规则第十三条 符合下列情形之一的, 个人信息处理者方可处理个人信息: (一) 取得个人的同意; (二) 为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需; (三) 为履行法定职责或者法定义务所必需; (四) 为应对突发公共卫生事件, 或者紧急情况下为保护自然人的生命健康和财产安全所必需; (五) 为公共利益实施新闻报道、 舆论监督等行为, 在合理的范围内处理个人信息; (六) 依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息; (七) 法律、 行政法规规定的其他情形。 依照本法其他有关规定, 处理个人信息应当取得个人同意,但是有前款第二项至第七项规定情形的, 不需取得个人同意。个人信息处理者取得个人信息主体同意的手段与机制,包括:

  • App/网站包含隐私声明
  • App/网站包含授权同意交互窗口
  • 其他方式,比如书面的协议与合同

第十四条 基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、 明确作出。 法律、 行政法规规定处理个人信息应当取得个人单独同意或者书面同意的, 从其规定。 个人信息的处理目的、 处理方式和处理的个人信息种类发生变更的, 应当重新取得个人同意。同第十三条解读第十六条 基于个人同意而进行的个人信息处理活动, 个人有权撤回其同意为由。 个人信息处理者应当提供便捷的撤回同意的方式。 个人撤回同意, 不影响撤回前基于个人同意已进行的个人信息处理活动的效力。个人信息处理者为个人提供行使“撤销权”便利,可通过以下措施与机制实现合规:

  • App/网站的隐私声明中,包括对“撤销权”的解释说明
  • App/网站中,提供用户权利的申请受理和处理机制,比如嵌入用户“撤回同意”的交互窗口
  • 用户权利请求响应完成后,为用户提供合规报告
  • 用户权利请求响应自动化技术,包括使用知识图谱赋能,构建以个人信息主体为单位的关联图,能快速响应(可能的)高并发的用户撤回同意需求(相关技术与产品参照《RSA2020创新沙盒Securiti.ai—解决隐私合规痛点的一站式自动化方案》

第十七条 个人信息处理者在处理个人信息前, 应当以显著方式、 清晰易懂的语言真实、准确、完整地向个人告知下列事项: (一) 个人信息处理者的名称或者姓名和联系方式; (二) 个人信息的处理目的、 处理方式, 处理的个人信息种类、 保存期限; (三) 个人行使本法规定权利的方式和程序; (四) 法律、 行政法规规定应当告知的其他事项。前款规定事项发生变更的, 应当将变更部分告知个人。个人信息处理者通过制定个人信息处理规则的方式告知第一款规定事项的, 处理规则应当公开, 并且便于查阅和保存。个人信息处理者在处理个人信息前,可通过以下措施与机制实现合规:

  • App/网站的隐私声明,内容中包括法律条款规定的各个事项
  • App/网站中的弹窗形式,告知信息变更

第二十条 除法律、行政法规另有规定外,个人信息的保存期限应当为实现处理目的所必要的最短时间。个人信息保存期限最小化合规要求,超出保存期限后,可通过以下措施与机制实现合规:

  • 个人信息销毁,销毁数据包含处理过程中产生的衍生信息,具有可识别个人的相关信息
  • 个人信息匿名化处理,对其进行匿名化处理以及重标识风险评估,使其达到“不可识别特定个人且不能复原”效果,从而以“非个人信息”的数据范畴进行保存

第二十一条 个人信息处理者委托处理个人信息的, 应当与受托人约定委托处理的目的、 期限、 处理方式、 个人信息的种类、 保护措施以及双方的权利和义务等, 并对受托方的个人信息处理活动进行监督。受托人应当按照约定处理个人信息, 不得超出约定的处理目的、 处理方式等处理个人信息; 委托合同不生效、 无效、 被撤销或者终止的, 受托人应当将个人信息返还个人信息处理者或者予以删除, 不得保留。未经个人信息处理者同意, 受托人不得转委托他人处理个人信息。委托处理个人信息(如公有云)场景,可通过以下措施与机制实现合规:

  • 双方约定的协议与合同,内容包括法律条款规定的事项以及双方的义务划分
  • 委托处理方提供的个人信息处理报告,证明合规性
  • 委托方进行个人信息销毁,并提供合规报告
  • 通过同态加密技术实现委托第三方(如公有云)处理个人信息,通过联邦学习技术分别实现多方委托第三方的联合AI建模,通过技术降低第三方的隐私合规风险

第二十二条 个人信息处理者因合并、 分立、解散、被宣告破产等原因需要转移个人信息的, 应当向个人告知接收方的名称或者姓名和、 联系方式。 接收方应当继续履行个人信息处理者的义务。 接收方变更原先的处理目的、 处理方式的, 应当依照本法规定重新取得个人同意。同第十八条解读第二十三条 个人信息处理者向其他个人信息处理者提供其处理的个人信息的, 应当向个人告知接收方的名称或者姓名、 联系方式、 处理目的、 处理 方式和个人信息的种类, 并取得个人的单独同意。 接收方应当在上述处理目的、 处理方式和个人信息的种类等范围内处理个人信息。 接收方变更原先的处理目的、 处理方式的, 应当依照本法规定重新取得个人同意。同第十八条解读第二十四条 个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。 通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。个人信息进行自动化决策场景中,可通过以下措施与机制实现合规:

  • 可解释人工智能(XAI)技术
  • 向用户提供自动化决策的报告
  • 商业营销、 信息推送场景,为用户拒绝自动化决策的服务的入口(窗口、按钮)

第二十七条 个人信息处理者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;个人明确拒绝的除外。个人信息处理者处理已公开的个人信息,对个人权益有重大影响的,应当依照本法规定取得个人同意。个人信息处理者处理已公开的个人信息,可通过邮件、电话等手段征求个人的同意第二十九条 处理敏感个人信息应当取得个人的单独同意; 法律、 行政法规规定处理敏感个人信息应当取得书面同意的, 从其规定。敏感个人信息处理单独同意,可通过以下措施与机制实现合规:

  • App/网站中的弹窗形式,用户被告知并确认
  • 发送邮件,用户被告知并确认

第三十一条 个人信息处理者处理敏感个人信息的, 除本法第十七条第一款规定的事项外, 还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响;依照本法规定可以不向个人告知的除外。敏感个人信息处理场景,可通过以下措施与机制实现合规:

  • App/网站中的弹窗形式,展示法律条款规定的必要信息
  • 发送邮件,展示法律条款规定的必要信息

第三章个人信息跨境提供的规则第三十八条 个人信息处理者因业务等需要, 确需向中华人民共和国境外提供个人信息的, 应当具备下列一项条件:之一 (一) 依照本法第四十条的规定通过国家网信部门组织的安全评估; (二) 按照国家网信部门的规定经专业机构进行个人信息保护认证; (三) 按照国家网信部门制定的标准合同与境外接收方订立合同, 约定双方的权利和义务,; (四) 法律、 行政法规或者国家网信部门规定的其他条件。 中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的,可以按照其规定执行。 个人信息处理者应当采取必要措施,保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。 个人信息跨境传输场景,可通过以下措施与机制实现合规:

  • 个人信息安全风险评估
  • 个人信息保护认证
  • 跨境双方制定合同

第三十九条 个人信息处理者向中华人民共和国境外提供个人信息的, 应当向个人告知境外接收方的名称或者姓名、 联系方式、 处理目的、 处理方式、 个人信息的类以及个人向境外接收方行使本法规定权利的方式和程序等事项, 并取得个人的单独同意。涉及跨境传输的个人信息处理者,若有网站和App,可通过隐私声明,以及弹窗形式通知,或者邮件、电话形式通知,取得个人的单独同意。第四十条 关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者, 应当将在中华人民共和国境内收集和产生的个人信息存储在境内。 确需向境外提供的,应当通过国家网信部门组织的安全评估; 法律、行政法规和国家网信部门规定可以不进行安全评估的, 从其规定。涉及境外个人信息传输,同第十八条解读第四章个人在个人信息处理活动中的权利第四十四条 个人对其个人信息的处理享有知情权、决定权, 有权限制或者拒绝他人对其个人信息进行处理; 法律、 行政法规另有规定的除外。个人信息处理者为个人提供行使“知情权”、”决定权”、“限制权”和“拒绝权”便利,可通过以下措施与机制实现合规:

  • App/网站的隐私声明中,包括对各个权利的解释说明
  • App/网站中,提供用户权利的申请受理和处理机制,比如嵌入用户各种权利请求的交互窗口
  • 用户权利请求响应完成后,需为用户提供合规报告
  • 用户权利请求响应自动化技术,包括使用知识图谱赋能,构建以个人信息主体为单位的关联图,能快速响应(可能的)高并发的用户撤回同意需求(相关技术与产品参照《RSA2020创新沙盒Securiti.ai—解决隐私合规痛点的一站式自动化方案》

第四十五条 个人有权向个人信息处理者查阅、 复制其个人信息; 有本法第十八条第一款、第三十五条规定情形的除外。个人请求查阅、 复制其个人信息的, 个人信息处理者应当及时提供。 个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。同第四十四条解读第四十六条 个人发现其个人信息不准确或者不完整的, 有权请求个人信息处理者更正、 补充。个人请求更正、 补充其个人信息的, 个人信息处理者应当对其个人信息予以核实, 并及时更正、 补充。同第四十四条解读第四十七条 有下列情形之一的, 个人信息处理者应当主动删除个人信息; 个人信息处理者未删除的, 个人有权请求删除: (一) 处理目的已实现、无法实现或者为实现处理目的不再必要; (二) 个人信息处理者停止提供产品或者服务, 或者保存期限已届满; (三) 个人撤回同意; (四) 个人信息处理者违反法律、 行政法规或者违反约定处 理个人信息; (五) 法律、 行政法规规定的其他情形。法律、 行政法规规定的保存期限未届满, 或者删除个人信息从技术上难以实现的, 个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。同第四十四条解读。 除此以外,个人信息保存期限已满后,该法律条款指出两条合规路径,一是删除/销毁手段,二是非删除/销毁手段,可通过以下手段降低合规风险:

  • 去标识化(数据脱敏)处理,并进行重标识风险评估(参照《大数据下的隐私攻防:数据脱敏后的隐私攻击与风险评估》
  • 匿名化算法,包括K-匿名、L-多样和T-近似,并对其隐私风险进行评估(参照《数据淘金热时代下的隐私问题何去何从——探讨国内外法规下的匿名化概念》

第四十八条 个人有权要求个人信息处理者对其个人信息处理规则进行解释说明。个人信息处理者(App/网站),为用户提供请求解释和受理的机制,比如提供交互窗口与按钮第五章个人信息处理者的义务第五十一条 个人信息处理者应当根据个人信息的处理目的、 处理方式、 个人信息的种类以及对个人权益的影响、 可能存在的安全风险等, 采取下列措施确保个人信息处理活动符合法律、 行政法规的规定, 并防止未经授权的访问以及个人信息泄露、 篡改、丢失: (一) 制定内部管理制度和操作规程; (二) 对个人信息实行分类管理; (三) 采取相应的加密、 去标识化等安全技术措施; (四) 合理确定个人信息处理的操作权限, 并定期对从业人 员进行安全教育和培训; (五) 制定并组织实施个人信息安全事件应急预案; (六) 法律、 行政法规规定的其他措施。有理有据的对处理个人信息可能带来的风险进行评估:

  • 个人信息安全风险评估技术
  • 个人信息安全风险评估标准

需要建立行业统一的个人信息安全风险评估标准,便于审计企业/组织对个人信息处理的合规性。 防止未经授权的访问:

  • 身份认证技术
  • 访问控制技术

防止个人信息泄露或被窃取:

  • 加密技术
  • 去标识化技术

防止个人信息被篡改、删除:

  • 数据备份技术
  • 电子签名技术
  • 哈希技术
  • 账号行为审计技术

数据备份技术用于解决恢复被恶意篡改或删除的用户个人信息。 电子签名技术、哈希技术用于识别用户个人信息是否受到恶意篡改。 账号行为审计技术用于识别、追踪有不当操作行为的用户及具体行为。 解决个人信息分类管理过程中人工标注数据工作量大的问题:

  • 数据资产识别技术
  • 自动化分类分级技术

细粒度权限管理技术,解决个人信息处理操作权限设定及分配问题。第五十四条 个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。数据处理活动的合规审计:

  • 基于系统日志的合规审计技术
  • 数据流转审计技术

基于系统日志的合规审计技术,解决内部个人信息处理合规审计。 数据流转审计技术,解决个人信息处理者之间的数据共享或委托处理等活动的合规审计。第五十五条 有下列情形之一的,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录:: (一) 处理敏感个人信息; (二) 利用个人信息进行自动化决策; (三) 委托处理个人信息、 向其他个人信息处理者提供个人信息、 公开个人信息; (四) 向境外提供个人信息; (五) 其他对个人权益有重大影响的个人信息处理活动。 第五十六条个人信息保护影响评估的内容应当包括下列内容: (一) 个人信息的处理目的、 处理方式等是否合法、 正当、必要; (二) 对个人权益的影响及安全风险; (三) 所采取的保护措施是否合法、 有效并与风险程度相适应。个人信息保护影响评估报告和处理情况记录应当至少保存三年。个人信息处理风险评估技术,全面评估个人信息处理活动对个人的影响及风险程度。 脱敏评估技术,评估脱敏算法在“委托处理个人信息、 向他人提供个人信息、 公开个人信息”活动时的脱敏效果。 区块链存证技术,确保个人信息处理活动的处理记录的安全存证,确保处理记录不会受到篡改。第五十七条 发生或者可能发生个人信息泄露、篡改、丢失的,个人信息处理者应当立即采取补救措施, 并通知履行个人信息保护职责的部门和个人。通知应当包括下列事项: (一) 发生或者可能发生个人信息泄露、篡改、丢失的信息种类、原因和可能造成的危害; (三) 个人信息处理者的联系方式。个人信息处理者采取措施能够有效避免信息泄露、篡改、丢失造成危害的, 个人信息处理者可以不通知个人; 但是, 履行个人信息保护职责的部门认为可能造成危害的, 有权要求个人信息处理者通知个人。安全事件分析技术,分析个人信息泄露的原因。 个人信息风险评估技术,评估“泄露的个人信息种类和可能造成的危害”。第五十九条 接受委托处理个人信息的受托人, 应当依照本法和有关法律、行政法规的规定, 采取必要措施保障所处理的个人信息的安全,并协助个人信息处理者履行本法规定的义务。对于受托方,可采取两条不同的技术路线进行个人信息保护: (1)以安全多方计算、联邦学习、TEE三大技术为基础实现数据“可用不可见”的隐私计算技术,从根源杜绝受托方泄露用户个人信息的可能。 (2)以身份认证、数据加密、访问控制、日志审计等技术为基础实现的传统数据安全管理技术。 隐私计算技术使得原始数据对受托方不可见,绝对保证受托方无法泄露数据:

  • 优点是安全性高,管理复杂性低;
  • 缺点是隐私计算技术成熟度有待提高。

利用传统数据安全技术,相当于数据委托方将数据的保护任务连同数据一起移交给了数据受托方,使得受托方可以看到全部或部分原始数据:

  • 优点是技术成熟度高,计算效率高;
  • 缺点是多种数据安全技术需要协同部署,缺一不可,管理复杂性高,稍有不慎受托方即会造成数据泄露。

第六章 履行个人信息保护职责的部门第六十二条 国家网信部门统筹协调有关部门依据本法推进下列个人信息保护工作: (一) 制定个人信息保护具体规则、 标准; (二) 针对小型个人信息处理者、处理敏感个人信息以及人脸识别、 人工智能等新技术、新应用, 制定专门的个人信息保护规则、 标准; (三) 支持研究开发和推广应用安全、 方便的电子身份认证技术,推进网络身份认证公共服务建设; (四) 推进个人信息保护社会化服务体系建设, 支持有关机构开展个人信息保护评估、 认证服务; (五) 完善个人信息保护投诉、举报工作机制。安全方便的电子身份认证技术,保证用户在网络空间中的身份识别和身份校验,确保用户电子身份与现实身份正确关联。第七章法律责任第六十八条 个人信息权益因个人信息处理活动受到侵害,个人信息处理者不能证明自己没有过错的, 应当承担损害赔偿等侵权责任。 前款规定的损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定; 个人因此受到的损失和个人信息处理者因此获得的利益难以确定的, 根据实际情况确定赔偿数额。数字水印技术,将个人处理者的身份标识信息嵌入进所处理的数据中,发生数据泄露事故时,准确识别泄露源头。

关于天枢实验室

天枢实验室聚焦安全数据、AI攻防等方面研究,以期在“数据智能”领域获得突破。

内容编辑:创新中心 天枢实验室 陈磊,王真 责任编辑:高深

本公众号原创文章仅代表作者观点,不代表绿盟科技立场。所有原创内容版权均属绿盟科技研究通讯。未经授权,严禁任何媒体以及微信公众号复制、转载、摘编或以其他方式使用,转载须注明来自绿盟科技研究通讯并附上本文链接。

关于我们

绿盟科技研究通讯由绿盟科技创新中心负责运营,绿盟科技创新中心是绿盟科技的前沿技术研究部门。包括云安全实验室、安全大数据分析实验室和物联网安全实验室。团队成员由来自清华、北大、哈工大、中科院、北邮等多所重点院校的博士和硕士组成。

绿盟科技创新中心作为“中关村科技园区海淀园博士后工作站分站”的重要培养单位之一,与清华大学进行博士后联合培养,科研成果已涵盖各类国家课题项目、国家专利、国家标准、高水平学术论文、出版专业书籍等。

我们持续探索信息安全领域的前沿学术方向,从实践出发,结合公司资源和先进技术,实现概念级的原型系统,进而交付产品线孵化产品并创造巨大的经济价值。

0 人点赞