《个人信息保护法》深度解读 | 企业应如何开展个人信息保护工作?
在网络多元化的今天,信息化的发展带给人们诸多便利,从生活、娱乐到工作,数字化的推进虽然满足了生活、工作的需求,但随之而来的弊端也逐渐显露,软件开发商过度收集个人信息以及频频爆出的信息泄露等事件给个人信息安全埋下隐患,加大个人信息保护力度成当务之急。
十三届全国人大常委会第三十次会议20日表决通过《中华人民共和国个人信息保护法》,自2021年11月1日起施行。《个人信息保护法》的颁布体现出国家对个人信息安全的重视,公民的人格尊严不受侵犯,公民的通信自由和通信秘密受法律保护,因此条例的实施对于保障公民的人格尊严和其他权益具有重要意义。
作为个人信息安全保护的基础性法律,《个人信息保护法》的颁布有利于震慑一些通过不当途径获取个人信息的不法之徒,避免企业对此类数据使用不当给个人造成的财产损失和精神损失。
然而应对《个人信息保护法》的颁布,企业应该如何应对个人信息保护的监管要求?
针对企业内部个人信息安全已存在或可能面临的安全问题,为应对行业监管要求,提升个人信息整体安全防护效果,企业应从内部系统安全建设着手,制定关于个人信息保护的管理措施。
#建立健全个人信息保护制度
条例第九条、六十五条对此进行了规定,个人信息处理者、企业必须按照规定对个人信息采取必要的安全保护措施。简单来说就是企业应当制定内部的个人信息保护,对个人信息实行分级分类管理,采取相应的加密、去标识化等安全技术措施。对此,企业应建立和完善内部个人信息管理制度。
#采取必要措施确保个人信息被窃取、篡改、删除
第五十一条 个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人的影响、可能存在的安全风险等,采取必要措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露或者被窃取、篡改、删除。因此企业需要通过技术手段保障个人信息数据的安全性。
#保障个人信息的安全性
第十条任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息;不得从事危害国家安全、公共利益的个人信息处理活动。对企业来说,遭遇黑客入侵通常是用户信息泄露的主因,所以系统的安全性作为防范数据泄露的重要手段之一,是企业应该重视的。
对企业来说,要做到个人信息安全保护,满足条例规范要求,需要将这些收集数据的各种实体或组织建立完善的信息安全管理机制,并通过技术手段来加强对个人信息的保护。
■ 构建数据持续安全:企业需要组织构建全面的身份治理体系,以人的身份、权限控制与访问行为为核心,统一管理身份数据、权限等。对企业来说,庞大的用户身份数据管理是难点,管理不当、或者员工的误操作都有可能导致系统被入侵。解决绝庞大用户身份数据的管理问题,给用户身份数据提供一个安全平台可以助力构建企业数据的持续安全。
■ 应对监管要求和应对风险: 通过构建统一身份管理,有效管理相关个人信息的使用是否已经征得用户同意,在特殊情形下可快速应对,如个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意;或个人信息在一处撤回同意时,可同时撤回其他处个人信息的授权。实现对身份数据的统一管理可以做到数据风险可管控、可追溯,可预防,可审计,以此来满足《个人信息保护法》对数据安全的监管和风险控制要求。
■ 满足个人信息保护需求:利用统一身份管理平台来统一管理用户信息,形成C端用户OneID,保障个人信息的准确完整。利用零信任安全架构,保障所收集的个人信息安全,加强对信息使用人的身份鉴别与访问控制,保障个人信息合法安全使用。
作为国内一体化零信任安全厂商,派拉推出的一体化零信任安全解决方案,是基于信息安全生命周期各阶段场景,以一体化零信任安全为核心,搭配若干数据安全工具与服务,解决统一账号管理、统一认证管理、统一应用管理、统一授权和透明审计等数据敏感问题,提升企业整体对个人信息安全的治理能力,实现企业对个人信息的保护需求。我们以“创造安全、高效、极致体验的数字世界”为愿景,全方位助力企业建立健全个人信息保护合规制度体系,为推动数字经济健康发展做出应有的贡献!