数据安全与个人信息保护法--中安威士专家团数据安全法解读系列之九

发布时间:2021-10-25

上期回顾

中安威士专家团在上期解读中对数据安全新技术进行了展望,选择了九项新技术进行了介绍,这些新技术可以覆盖数据生命周期中收集、存储、使用、加工、传输、提供等阶段的全部场景,对促进数据业务与数据安全具有重要作用,应成为各方重点攻关的方向。

本期摘要

《中华人民共和国个人信息保护法》即将于2021年11月1日起施行,而《数据安全法》已经于2021年9月1日正式施行。各方都非常关心数据安全和个人信息保护法如何落地这个急迫问题。本期总结了数据安全新特性,对个人信息保护法的主要内容进行了说明,以期满足各相关方的个人信息保护需求。

一. 数据安全新特性

8月27日,中国互联网络信息中心(CNNIC)在京发布第48次《中国互联网络发展状况统计报告》:截至2021年6月,我国网民规模达10.11亿。这些网民涉及的个人信息在集中汇聚后,规模大到了天文数字程度。

由于人工智能、大数据技术善于从海量数据中总结经验、发现规律、辅助决策,可以充分释放数据资源所蕴含的巨大价值,可以显著提升个人、经济和社会活动的功用性和便利性,因此得到了广泛应用。在这些技术带来巨大便利性的同时,也给数据业务和数据安全带来了三大新风险,分别是:大规模数据泄露风险、可持续发展风险和数据异常传输风险。

大规模数据泄露风险本质上是由于个人信息数据的集中汇聚且疏于安全管理所导致的;可持续发展风险是指数据共享业务由于接收方违反共享合同非法复制、非法占有其他方提供的共享数据而导致数据共享业务难以持续发展的风险;而数据异常传输风险则是由于非法攻击事件或者非正当目的业务活动导致的。

上述风险可能给国家安全、公共利益和个人权益带来严重损害。为此,国家近期连续正式发布了《数据安全法》和《个人信息保护法》,加上前几年发布的《网络安全法》和《国家安全法》,共同为数据安全和个人信息保护提供了坚实的法制基础。

二. 个人信息保护法的主要内容

《个人信息保护法》明确规定了如下主要内容:

01明确个人信息保护的监管体系

a.国家网信部门在个人信息保护监管方面的统筹协调作用;

b.国务院有关部门在各自职责范围内负责个人信息保护和监督管理工作;

c.县级以上地方人民政府有关部门。

02明确“告知-同意”规则

a.知情同意是个人信息处理活动最重要的合法性基础;

b.处理个人信息应当获得个人的同意,该同意应当由个人在充分知情的前提下自愿、明确作出。

03规定了个人信息处理者的义务

a.采取必要措施保障个人信息处理合法合规;

b.定期开展合规审计;

c.处理个人信息对个人权益有重大影响的,应事前进行个人信息保护影响评估,相关记录至少保存三年;

d.发生个人信息安全事件应立即补救并通知专职部门及个人;

e.其他有关义务。

04明确了个人信息处理的法律责任

a.违法处理个人信息,情节严重的,将会被没收违法所得,至高处五千万或上一年度营业额百分之五的罚款等;

b.直接责任人员至高将被处罚款一百万元等;

c.共同处理个人信息,造成损害的,应当承担连带责任。

05规定了个人信息跨境的规则

a.跨境提供个人信息应取得个人的单独同意;

b.关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者应当通过网信部门组织的安全评估;

c.其他个人信息处理者可选择以下任一路径:通过网信部门组织的安全评估,通过专业机构进行个人信息保护认证,与境外接收方订立网信部门制定的标准合同,或者遵循其他法定路径。

总结

中安威士专家团通过调查研究,对广为关注的数据安全和个人信息保护法的急迫问题进行了讨论,对个人信息保护的主要内容进行了说明,总结了采用数据安全技术和数据安全服务的个人信息保护解决方案,为相关机构利用数据安全落实个人信息保护义务提供参考。

参考资料

1.《中华人民共和国个人信息保护法》

2.《中华人民共和国数据安全法》

3.《信息安全技术—数据安全能力成熟度模型》(GB/T 37988-2019)

4.《数据运营企业应该如何建立数据安全防护体系?——中安威士专家团数据安全法解读系列之三》

5.《数据安全新技术--中安威士专家团数据安全法解读系列之八》

中安威士:保护核心数据,捍卫网络安全

来源:中安威士技术部

上一条:数据安全新技术展望--中安威士专家团数据安全法解读系列之八 下一条:无