2021年11月1日，《中華人民共和國個人信息保護法》（以下簡稱“個保法”）正式施行，個人信息保護有了法律“安全鎖”。天融信作為數據安全領域的引領者，在“個保法”出臺之后，將協助“個人信息處理者”嚴格落實“個保法”相關責任和義務，同時根據天融信多年的行業經驗，從立法歷程、意義、影響結合過往實際案例，全方位、多角度地對“個保法”進行深度解讀。

“個保法”的歷程

2021年8月20日，《中華人民共和國個人信息保護法》由十三屆全國人大常委會第三十次會議表決正式通過，并自2021年11月1日起正式施行。從2012年，人大委員會提出關于加強網絡信息保護的決定，到今年正式施行，國家陸續發布了跟個人信息相關的政策法規及技術標準。

“個保法”的意義

這一法律的頒布，明示了個人信息數據在使用、保護等多個層面各關系方應盡的義務等法律約束，在個人信息的安全防護上升到了國家法律層面后，充分詮釋了國家對個人信息數據安全防護的重視程度。

隨著《中華人民共和國數據安全法》和《中華人民共和國個人信息保護法》在今年相繼正式實施，通過兩部法律的“互相加持”將更好地規范個人信息處理活動，保護涉及個人信息權益相關數據、促進個人信息合理利用，為數字時代的個人信息權益保護提供基礎制度保障，為我國數字化轉型保駕護航。

“個保法”的影響

1、明確“屬地原則”，我國境內處理個人信息均適用本法

“個保法”明確規定了“屬地原則”，與國外的GDPR的“保護主題”不同，只要處理個人數據，無論處理者是否在境內設立，或者處理的是否為境內自然人信息，只要處理行為發生在境內，就受“個保法”制約。簡單來講，即不管機構是否在我國，只要在我國境內處理了我國的個人信息活動，就受到制約。

2、關鍵名詞明確定義，為以后司法判定提供依據

個人信息：以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理后的信息。只要能識別自然人的紙張也算個人信息，不僅限電子數據。

敏感個人信息：一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息。處理敏感個人信息后續將會有更嚴格的審核手段，避免造成危害。

個人信息的處理：包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等。個人信息的處理與數據安全處理活動一致，均包含整個處理過程。

個人信息的處理者：在個人信息處理活動中自主決定處理目的、處理方式的組織、個人。個人信息的處理者進行了明確定義，且范圍非常廣。簡單來講，只要處理個人信息均可稱為個人信息的處理者。

自動化決策：通過計算機程序自動分析、評估個人的行為習慣、興趣愛好或者經濟、健康、信用狀況等，并進行決策的活動。明確了大數據分析等相關技術手段的定義，為我國規范“大數據殺熟”等行為提供了依據。

去標識化：個人信息經過處理，使其在不借助額外信息的情況下無法識別特定自然人的過程。與GB/T 37964-2019《信息安全技術—個人信息去標識化指南》一樣，定義了去標識化的含義，規范了處理個人信息的手段。

匿名化：個人信息經過處理無法 識別特定自然人且不能復原的過程。明確匿名化的定義，確定不可逆的手段。

3、厘清個人信息處理者的義務，清晰責任邊界

權利和義務

“個保法”中明確了以下個人信息處理者的權利和義務：

處理個人信息達到國家網信部門規定數量的個人信息處理者應當指定個人信息保護負責人；

中華人民共和國境外的個人信息處理者，應當在中華人民共和國境內設立專門機構或者指定代表；

個人信息處理者應當定期對其處理個人信息遵守法律、行政法規的情況進行合規審計；

個人信息處理者應當事前進行個人信息保護影響評估，并對處理情況進行記錄；

發生或者可能發生個人信息泄露、篡改、丟失的，個人信息處理者應當立即采取補救措施，并通知履行個人信息保護職責的部門和個人。

執行流程

案例1

2020年7月，江西省某企業開發經營的6款手機APP經詳細檢測，發現均存在違法違規收集或使用公民個人信息的情形。

在“個保法”實施前：不涉及違反“個保法”法律規定的風險也可能不面臨相應處罰。

在“個保法”實施后：個人信息處理者的采集必須遵守“個保法”的法律要求，不得非法收集他人個人信息。

案例2

2020年6月，甘肅省某市的多家快遞企業的快遞單未對用戶個人信息采取隱匿化等有效保護措施，存在泄露公民個人信息重大隱患。

在“個保法”實施前：快遞企業負責人被集體約談，并依據檢察院建議制定了改進措施并加強員工個人信息安全培訓。

在“個保法”實施后：若再出現上述情況，且情節嚴重的，將依法收到處罰，可以由省級以上履行個人信息保護職責的部門責令改正，沒收違法所得，并處五千萬元以下或者上一年度營業額百分之五以下罰款，并可以責令暫停相關業務或者停業整頓、通報有關主管部門吊銷相關業務許可或者吊銷營業執照。

綜上所述，“個保法”的實施將會全面定義、全面約束個人信息處理者的活動和義務。26年來，天融信持續專注于個人信息保護領域的能力建設，通過在個人信息保護領域的多年沉淀，天融信擁有一支具有專業數據安全治理經驗的團隊，整體解決方案具有很強的場景適應性和可靠性，能夠滿足不同等級的個人信息保護要求，通過梳理業務流程、規范、風險和要求等多方面需求，確定個人信息保護的目標，完善個人信息保護管理體系，制定切實可行的解決方案。

天融信從當下實際的個人信息防護情況出發，以技術手段為支撐，結合個人信息數據使用的業務場景和活動，分析信息保護的實際需求，在個人信息安全管理體系、個人信息數據在業務中的活動以及數據安全技術等方面綜合指導個人信息保護能力體系建設，提升行業客戶的體系化保障能力。同時天融信也將持續關注個人信息保護相關能力建設、改進、運維相關過程管理，從根本上提高客戶的個人信息保護內在能力，全力推動和保障個人信息保護的落實與發展。