2021年8月20日，十三屆全國人大常委會第三十次會議審議通過了《中華人民共和國個人信息保護法》草案，將于2021年11月1日起實施。本法規明確了個人信息保護的原則，區分了一般個人信息和敏感個人信息的處理規則，以及涉及到跨境提供個人信息的相關規則。同時明確了個人信息主體在個人信息處理活動中的權利、個人信息處理者的義務、履行個人信息保護職能的部門及其職責。

在本法規中，也確立了侵害個人信息權益的違法行為，情節嚴重的，將沒收違法所得，并處5000萬元以下或者上一年度營業額5%以下罰款，5%的額度甚至超過了在個人信息保護方面規定“最嚴”的歐盟。本文將為個人信息處理者提供一套個人信息保護合規建設思路，防范個人信息的泄漏、損毀、丟失、篡改等風險。

《個人信息保護法》三次審議歷程

1、2020年10月13日

十三屆全國人大常委會委員長會議提出了關于提請審議個人信息保護法草案的議案。草案規定侵害個人信息權益的違法行為，情節嚴重的，沒收違法所得，并處5000萬元以下或者上一年度營業額5%以下罰款，5%的額度甚至超過了在個人信息保護方面規定“最嚴”的歐盟。

2、2021年4月26日

提請全國人大常委會二次審議的個人信息保護法草案擬規定，提供基礎性互聯網平臺服務、用戶數量巨大、業務類型復雜的個人信息處理者，應成立主要由外部成員組成的獨立機構，對個人信息處理活動進行監督，并要求其定期發布個人信息保護社會責任報告等。

3、2021年8月17日

全國人大常委會法工委舉行記者會，提請修改主要內容：①增加規定“根據憲法”制定本法 ②進一步完善個人信息處理規則，特別是對應用程序（App）過度收集個人信息、“大數據殺熟”等 ③將不滿十四周歲未成年人的個人信息作為敏感個人信息，制定專門的個人信息處理規則④完善個人信息跨境提供的規則⑤增加個人信息可攜帶權的規定⑥對完善個人信息保護投訴舉報工作機制及違法處理的相應條款。

4、2021年8月20日

十三屆全國人大常委會第三十次會議表決通過《中華人民共和國個人信息保護法》。其中明確：①通過自動化決策方式向個人進行信息推送、商業營銷，應提供不針對其個人特征的選項或提供便捷的拒絕方式②處理生物識別、醫療健康、金融賬戶、行蹤軌跡等敏感個人信息，應取得個人的單獨同意③對違法處理個人信息的應用程序，責令暫?；蛘呓K止提供服務。

個人信息處理者合規建設思路

從立法定位上，《數據安全法》是數據安全領域的基礎法律，與《個人信息保護法》并行成為網絡空間治理和數據保護的“兩駕馬車”?！稊祿踩ā坟撠熞幏稊祿幚砘顒?、保障數據安全、促進數據開發利用，《個人信息保護法》負責個人信息權益、尊嚴和自由的保護，具有一般法和特別法的關系。一般數據處理活動要依據《數據安全法》，而涉及個人數據的處理，則既要滿足《數據安全法》的基礎性規定，又要滿足《個人信息保護法》的特殊性規定。

01 個人信息治理評估

在開展個人信息處理活動前應進行合規性評估和安全評估。其中，合規性評估可選擇本法及其他法律法規、國家標準、行業標準為基線進行。個人信息安全評估包括：處理敏感個人信息；利用個人信息進行自動化決策；委托處理個人信息、向他人提供個人信息、公開個人信息；向境外提供個人信息；其他對個人有重大影響的個人信息處理活動。

02 個人信息保護組織建設

在個人信息保護組織建設中，企業應明確個人信息保護責任部門與人員，任命個人信息保護工作機構和個人信息保護負責人。其中，個人信息保護負責人應由具有相關管理工作經驗和個人信息保護專業知識的人員擔任，參與有關個人信息處理活動的重要決策并直接向企業主要負責人報告工作。

對于處理個人信息達到國家網信部門規定數量的個人信息處理者應指定專職個人信息保護負責人，負責對個人信息處理活動以及采取的保護措施等進行監督。

03 個人信息制度流程建設

在個人信息制度流程建設上，需根據企業自身業務特點的管理要求針對性制定。通過細化的操作規程針對個人信息的處理目的、處理方式、個人信息種類等安全風險和對個人信息主體權益的影響進行管控。流程制定可包含《個人信息保護管理辦法》、《個人信息安全影響評估指南》、《個人信息安全事件應急管理規范》、《個人信息安全舉報投訴管理規范》、《PII全生命周期安全管理程序》、《隱私策略發布管理程序》、《PII恢復工作規程》、《PII主體利益維護指南》、《PII去標識化操作規程》等。

04 個人信息保護技術

在個人信息防范上，以各種政策法規為依據，利用網絡安全及數據安全防護技術處理活動中的風險，具體情形如下：

收集階段：采用個人信息識別技術、打上個人信息種類標記；

存儲階段：采用加密、去標識化等技術防范未授權的訪問，定期進行數據備份和恢復性測試，同時也需注意個人信息存儲時間最小化的問題；

使用階段：采用數據訪問控制等安全產品防范未授權的個人信息訪問，采用脫敏檢查工具，查驗脫敏工作的有效性；定期進行數據安全審計，及時發現和處置數據非授權訪問和異常操作；

加工階段：進行自動化決策、定向分析時，對數據分析操作進行記錄，以備對分析結果質量和可信性進行數據溯源；

傳輸階段：使用加密、鑒別的安全措施，采用數據防泄漏產品，防止個人信息外泄；

提供階段：確保個人信息已做好匿名化處理，若需提供真實個人信息則需提前進行安全評估；

公開階段：公開個人信息時采取去標識化處理等措施，并在合理區間內公開；

刪除階段：達成處理目的后，立即刪除或匿名化處理，并進行有效性驗證。

05 持續運營

個人信息的防護需要持續性運營，要定期對個人信息處理活動遵守法律、行政法規的情況進行合規審計。

定期通過數據安全審計產品對企業內部權限控制、企業內部數據流向跟蹤情況、個人信息安全保障措施有效性等進行審計，發現和處置數據非授權訪問、批量導出等異常情況。針對有關問題，個人信息管理責任部門提出改進方案，并要求落實解決，對改進措施效果進行跟蹤審核。

天融信為個人信息保護賦能

天融信作為國內網絡安全領軍企業，在數據安全和個人信息保護領域始終堅持自主創新，依托數據安全方面多年的經驗，通過個人信息保護合規咨詢、個人信息保護體系建設、個人信息保護技術能力建設、個人信息保護運營審計機制建設，實現以行業特征為基礎的個人信息處理活動全生命周期安全防護解決方案，目前已在運營商、金融、政府、能源、衛生、海關等行業領域得到廣泛應用。

未來，天融信將在個人信息保護實踐領域持續深耕，為個人信息處理活動提供全生命周期的保護，為數據安全的發展及實踐提供可靠保障，致力于推動我國數據安全治理水平持續提升。