《个人信息保护法》背景下,互联网企业个人信息保护的挑战与思考
2021-11-02
来源:信息安全与通信保密杂志社
2021年11月1日,《个人信息保护法》(以下简称“个保法”)正式实施,该法的落地一方面从根本上保护了个人信息主体的权益,但同时对个人信息的处理者——互联网公司、政务服务部门等则提出了很高的保护义务要求,并且提出了由国家监管部门、社会机构等多方共同监督个人信息保护落实情况的监管框架。
从个保法中可以看出,国家对个人信息保护的重视程度非常高,互联网企业、政务服务部门拥有越多的个人信息,其安全责任就越大,在法律正式实施,但配套机制、组织建设尚在进行中的当下,执行落实均存在诸多不确定因素,个人信息的处理者将面临巨大的合规挑战。
01
●挑战一:法律中的监管要求和落地实施还有一定的距离
在个保法中有多层的监管,包括国家监管部门的监管,大型互联网公司成立的独立监管机构需要监督互联网公司个保法的执行,同时国家也鼓励企业通过第三方和自审对个人信息保护情况进行认证和定期审计,但是这些机制都只是提供了一个监管框架,具体的监管办法、机构部门、审计内容都还需要进一步落实和完善。这就对信息处理者的合规造成了困难,我们到底需要向谁提供监管报告,我们如何成立独立机构进行监督,我们需要审计什么内容才能证明合规,这一系列问题目前都还没有答案。因此法律中的监管要求还在摸索阶段,离实际落地还需要一段实践时间。
02
●挑战二:个人信息主体权益的保护要求和验证方式还需完善
个保法强调个人信息的处理者需要为个人信息主体行使权利提供便利的渠道并切实执行主体的要求,在法律中个人拥有的这些权利很明确,但是企业如何兑现才符合法律要求,是否真的兑现了,这些都缺乏验证机制。比如用户在行使删除权的时候,互联网服务提供商需要用户提供身份证证件来验证身份,互联网服务商试图通过这种方式来提升用户删除信息的成本,达到降低用户删除信息的目的,那么这种验证身份的方式是否合理,所提供的是否还属于便捷的服务就需要商榷了;用户申请撤回同意使用位置信息,那么企业需要不采集用户的位置信息,同时删除之前采集的位置信息,前者较为容易得到验证,但是企况、验证机制还有待探索。
03
●挑战三:大型互联网企业保护责任的落实还需进一步明确
在个保法中针对大型互联网企业提出了更高的要求,但是如何判断一个企业是大型互联网企业还不明确,是拥有超过100万的注册用户的互联网企业还是涉及物流、金融等民生行业,或者是拥有跨5种行业以上业务服务的互联网企业,这些都还需要进一步厘定。同时提交的定期审计报告需要提交给哪个部门或者哪个机构,定期的审计报告内容是什么,需要发布的社会责任报告中应该包括什么内容均暂不明朗。因此大型互联网企业的义务还有待进一步明确。
04
●挑战四:个人信息的出境机制还未完全建成
在最新的《数据出境评估指南(征求意见稿)》中,明确了拥有超过100万个人信息的企业和累计10万条以上个人信息或1万条以上敏感个人信息出境需要进行安全评估,但是现在个人信息出境评估指南还处于征求意见稿的阶段,出境评估的机构、评估的具体细则还没完全拟定,因此出境评估这件事明确要做,但是如何执行还需要探索。
面临个保法正式实施但又存在诸多挑战的当下,个人信息的处理者,尤其是互联网企业应该如何应对这些挑战?我们在此提出以下四点建议:
※卫士通数据安全治理理念
1、整体筹划
● 个保法的落地需要企业从整体去思考。企业需要从意识培训、管理制度、合同条约、人员管理、技术工具等多个方面全面、体系化地筹划,而不是单一的以购买产品、叠加技术的方式去填补漏洞。
2、因业施策
● 企业需要根据自身的真实情况分行业、分场景地明确合规要求,考虑合规途径。当前行业合规的要求不一,同时有些行业还存在一定空白,在这些空白行业,企业可以根据实际情况来形成合规思路,以自身的实践来促进行业规范的形成,实现个人信息保护自底向上合规制度的完善。例如在医疗行业个人信息涉及大量病例影像等文件数据,而除了简单的统计分析外,目前还存在基于人工智能辅助进行病灶的圈定等场景,那么这个行业的这个场景可以通过限定数据的提取方式、数据的流转控制、隐私计算等技术来满足个人信息保护的要求。这些业务场景的分析和合规方案设计可以更高效的促进行业个人信息保护规范的形成,这也让企业明确了行业的合规要求,减少不确定性带来的风险。
3、密码筑基
● 企业可以选择密码技术为核心技术来保护个人信息,尽可能的利用密码技术作为保护手段。个人信息保护的重要目标是防止个人信息的滥用和泄露,密码技术作为一种可得到形式化验证的安全技术,可以通过增加基于证书的认证方式、传输加密、存储加密等多种密码技术的融合,最大程度保证个人信息的安全。
4、多方共治
● 一种多方共治的个人信息保护机制是有利于建立个人和企业之间的信任关系的。企业可以考虑联合第三方监管机构、第三方密钥服务机构和用户,从监管、审计、评估、保护各方面建立一个多方共治的个人信息保护机制。企业主动邀请第三方机构定期发布监管报告、安全报告供用户查看,应用发布前、应用运营过程中邀请第三方机构进行安全评估安全认证,加强用户对企业的信任度;企业定期发布审计报告供用户查看,增强企业对用户的透明度;企业将敏感个人信息的控制权通过第三方密钥管理的方式移交给用户,增强个人对其敏感信息的控制权。通过建立多方共治的机制,达到各方互相监督、约束的效果,来提升用户对企业的信任度。