看“个人信息处理者”如何实现数据安全合规
导 语
随着个人信息价值的凸显,个人信息安全风险与日俱增,个人信息保护意识也日渐增强。为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,我国首部保护个人信息安全的基础性法律《中华人民共和国个人信息保护法》(以下简称“《个保法》”)于2021年8月20日正式表决通过,并将于11月1日起正式施行。
面对《个保法》的施行,“个人信息处理者”如何安全与合规地处理个人信息?世平信息基于《个保法》进行深度解读,为“个人信息处理者”的数据安全合规建设提供思路与支撑。
五大原则+四大要求
《个保法》中明确规定了“个人信息处理者"的义务,我们将其简要归纳为五大原则和四大要求,在信息处理过程中,遵循五大原则并满足四大要求是“个人信息处理者”安全合规的前提。
遵循五大原则
1.合法、正当、必要、诚信原则
处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。
2.目的限制原则
处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。
3.最小化原则
收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。
4.公开、透明原则
处理个人信息应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围。
5.完整性、准确性原则
处理个人信息应当保证个人信息的质量,避免因个人信息不准确、不完整对个人权益造成不利影响。
满足四大要求
1.对个人信息处理全过程进行安全风险管理
采取措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失。
2.建立安全保护制度,明确个人信息保护负责人
应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督,并公开个人信息保护负责人的联系方式。
3.定期进行合规审计
个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。
4.事前风险评估,事后立即补救
应当事前进行个人信息保护影响评估;发生或者可能发生个人信息泄露、篡改、丢失的,应当立即采取补救措施,并通知有关部门和个人。
六大应对措施
《个保法》实施在即,面对以上要求,“个人信息处理者”要如何应对安全合规?如何在信息处理过程中最大程度的保护个人信息安全?我们建议“个人信息处理者”采取以下六大措施:
明确个人信息保护责任制,落实全生命周期管控责任
建立个人信息保护组织架构,明确岗位职责,制定对应的全流程管理规范、制度、流程等,落实全生命周期的安全管控职责,确保个人信息处理过程的安全合规。
进行个人信息分类(分级)管理
建立个人信息管理机制,明确数据类型及策略,对个人信息实行分类分级管理,从而制定精细化的保护策略,高效、有目的性的保障个人信息安全并确保个人敏感信息处理履行告知义务。
开展个人信息风险评估,及时发现企业个人信息安全隐患
定期进行个人信息保护影响评估,采取风险评估手段识别发现企业的个人信息安全风险,及时整改,规避个人信息泄露、篡改、丢失等安全隐患,提升企业个人信息保护建设水平。
识别个人信息处理活动,落实安全技术措施
梳理个人信息全生命周期处理活动,制定相对应的安全要求,对各风险点进行提示,在风险点落实匿名化和去标识化;确保跨境个人信息处理处于合规状态;对个人信息主体各项权利确保落实到位。
建立个人信息安全事件应急响应机制
建立个人信息安全应急预案,明确个人信息事件的应急方针、政策,应急组织结构及相关应急职责。在安全事件发生后,能够及时采取应急措施,最大程度保护个人信息安全。
开展个人信息安全意识教育培训
定期开展个人信息安全意识教育培训,加强集体的信息安全保护意识,确保履行个人信息保护义务的部门及个人都能够牢筑安全的基石,促进个人信息的合理利用。
立足需求,为“个人信息处理者”赋能
世平信息从法律法规出发,基于丰富的应用实践和长期技术积累,形成了一系列数据安全产品、平台和安全服务体系,为用户提供数据安全合规性检测与监管、数据资产分类分级发现与管理等产品和与服务能力帮助个人信息处理者实现安全合规。下面,我们针对“个人信息处理者”的需求场景,总结了以下应对方案:
需求一:个人信息匿名化和去标识化
个人信息处理者通过世平数据脱敏系统可以自动扫描发现并定位敏感信息数据,通过遮挡、替换个人标识信息实现个人信息匿名化和去标识化的目的。保障数据关联性的同时,提供多种数据脱敏算法,确保个人信息安全。
需求二:个人信息合规采集
在个人信息采集环节,通过世平数据安全合规检测系统的深度识别功能,结合对需要采集的数据类型和数据环境的调研,能够辅助判断是否过度采集。
需求三:非法传输/合法公开检测
通过世平数据安全合规检测系统在数据传输和公开的过程中,实时监测个人信息的传输和发布情况,及时发现其中的合规隐患,确保个人信息处理者在处理个人信息过程的安全合规。
需求四:个人信息外发监测与管控
利用世平数据防泄漏系统配置和下发个人信息外发管控策略,对移动存储外设拷贝、邮件,及时通讯等外发行为进行监测与控制。针对确定不能外发的个人信息文件,设置智能加密策略,从根源上防止外泄,有效帮助个人信息处理者实现个人信息外发控制。
《个保法》实施在即,但如何实现安全合规仍存在很多疑问和难点,对许多用户造成困扰。世平信息专家团队基于对法规的深度解读,面向各个行业,帮助用户解决在落实《个保法》中遇到的难点和挑战。欢迎来电咨询或官网留言。
