中新经纬客户端9月3日电(马静)《中华人民共和国个人信息保护法》(下简称《个人信息保护法》)虽已出台十余日,但相关讨论的热度一直不退。作为中国首部针对个人信息保护的专门性立法,新开始意味着新变革。
“在《个人信息保护法》下,电子商务、健康医疗等产业将会迎来阵痛期,对旗下的大数据业务进行合规化调整。”欧科云链集团商务总监若洋在9月2日中新经纬主办的“行业主升浪”专题会议第二期活动上表示。
该活动以“信息安全和数据合规的新征程”为主题,众多行业专家、企业负责人、券商分析师、基金经理与会,共同探讨了《个人信息保护法》背景下,企业数据合规面临的新挑战和新机遇。
为个人信息上一把“安全锁”
近年来,从大数据杀熟到隐私泄露,再到被画像的用户,个人信息安全问题屡有发生。根据《2020年我国互联网网络安全态势综述》统计,2020年仅CNCERT/CC(国家互联网应急中心)累计监测发现,政务公开、招考公示等平台未脱敏展示公民个人信息事件107起,涉及未脱敏个人信息近10万条;个人信息非法售卖事件203起;监测并通报联网信息系统数据库存在安全漏洞、遭受入侵控制,以及个人信息遭盗取和非法售卖等重要数据安全事件3000余起。
“数据泄露已经成为了经济发展过程中的一个痛点、难点,呈现出泄露规模体量大、涉及行业多、持续时间长、引发原因多的特点。”中国信通院互联网法律研究中心高级研究员、个人信息保护立法研究团队负责人杨婕在会上表示,线上业务增长、个人信息普遍上云等因素增大了数据泄露的风险。由于个人信息处理者业务上云的普及,云端数据存储量增大,特别是疫情期间,线上业务持续增长,线上教育、远程办公等场景加大了数据泄漏的风险。
《个人信息保护法》的出台为不同主体使用公民个人信息戴上了“紧箍咒”。业内专家普遍认同,《个人信息保护法》的出台使个人信息处理有法可依,是数字社会治理与数字经济发展的基本法。
大数据时代,个人信息作为其重要组成部分,在被使用的过程中,应该要在大数据开发应用和个人信息与隐私保护间达到平衡。杨婕认为,《个人信息保护法》通篇都在解决两者之间的平衡问题。她在解读中提到,法律对社会关切较多的一揽子授权、强制同意、价格歧视等问题都给出了明确规定。她还提到,《个人信息保护法》还特别引入针对大型互联网平台的特别义务,即“守门人条款”。包括按照国家规定建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构进行监督,遵循公开、公平、公正的原则制定平台规则,对严重违法处理个人信息的平台内产品或服务提供者停止提供服务,定期发布个人信息保护社会责任报告并接受社会监督等。
企业数据合规迎变革
《个人信息保护法》为个人隐私上了一把“安全锁”,企业数据合规也迎来新的章程。
《个人信息保护法》第五十四条明确规定,个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。
中国人民大学未来法治研究院副院长丁晓东在解读文章中提到,这表明未来对企业的合规审计将会成为常态,不仅是事后对违法的个人信息处理活动进行调查处理,更重要的是事前的预防机制,从源头阻止个人信息被侵害的情形发生。而一旦发生侵害个人信息的行为,将对个人信息处理者实行过错推定原则,不能证明自己没有过错的就应当承担损害赔偿等侵权责任,这在很大程度上减轻了个人维权的难度,也给个人信息处理者的合规审计带来了压力和动力。如果侵害众多个人的权益的,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织还可以依法向人民法院提起公益诉讼。
360大数据协同安全技术国家工程实验室咨询总监、高级研究员童磊在交流会上坦承,从企业层面来看,《数据安全法》和《个人信息保护法》促使企业从现有成果出发进行网络设施以及数据治理架构的调整。
这意味着以往粗放式的企业数据合规将要进入一个精细化、定制化的阶段。
“《个人信息保护法》出台后,企业要根据不同的使用场景对数据安全方案重新设计。”童磊认为,企业需要对现有的数据资产进行一个分类、分级的盘点,识别不同类型个人信息的适用场景、流转和网络安全审查需要,根据不同使用场景落地相应的安全方案。
童磊还强调,从实践来看,除了在技术上做好个人信息安全保护工作,同时也要启动法务、公关等相应部门管理制度的改革,“大多个人信息泄露事件都是在企业内部数据流转过程中发生的”。
若洋也持同样意见,并认为在《个人信息保护法》背景下,企业内部数据管理要重点考虑告知和同意原则、个人信息保存期限以及在共同或委托处理时双方对权责义务的明确等因素。
杨婕建议,伴随技术的进步,企业需要建立起一整套的数据合规体系,包括从理念上将个人信息保护原则贯彻到产品和服务的全产业链,在风控环节做到定岗定责、定岗定人的机制;更新相关配套机制,包括技术层面的风险实时监测,紧急预案部署等。(中新经纬APP)
( HN666)