在当前网络环境中个人信息不断被非法获取、滥用的背景下《中华人民共和国个人信息保护法》(下称《个人信息保护法》)历经三次审议及两次公开征求意见后,在十三届全国人大常委会第三十次会议上表决通过,正式于2021年11月1日起施行。
划重点:五大原则+四大要求
《个人信息保护法》中明确规定了“个人信息处理者"的义务,具体可以简要归纳为五大原则和四大要求,在信息处理过程中,遵循五大原则并满足四大要求是“个人信息处理者”合规的前提。
一、遵循五大原则
1.合法、正当、必要、诚信原则
处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。
2.目的限制原则
处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。
3.最小化原则
收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。
4.公开、透明原则
处理个人信息应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围。
5.完整性、准确性原则
处理个人信息应当保证个人信息的质量,避免因个人信息不准确、不完整对个人权益造成不利影响。
二、满足四大要求
1.对个人信息处理全过程进行安全风险管理
采取措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失。
2.建立安全保护制度,明确个人信息保护负责人
应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督,并公开个人信息保护负责人的联系方式。
3.定期进行合规审计
个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。
4.事前风险评估,事后立即补救
应当事前进行个人信息保护影响评估;发生或者可能发生个人信息泄露、篡改、丢失的,应当立即采取补救措施,并通知有关部门和个人。
三、必然趋势:从信息保护到信任建构
随着移动互联网、云计算、大数据、人工智能等技术应用,数据成为基础战略资源的同时,数据再利用也成为新常态,数字经济、数字社会、数字政府……数字化在给社会带来全新发展机遇的同时,也催生了新型安全和信任问题。现在大家关注的个人信息保护,正是信任问题中的重要一环。
此前,南京CA专注网络信任体系的建设,通过身份认证、授权管理、责任认定三个方面来建立、支撑和运营南京市的网络信任体系。数据交互过程中的身份认证、行为授权、责任认定皆是对网络行为及其法律效力的一种确认,这种技术手段在《电子签名法》及《网络安全法》中做了相关规定。
可以预见,未来数据将成为融于我们政治、经济、生产、生活之中不可或缺的重要因素之一。基于这种情况,除了出台相关法律法规外,建立数据从搜集、传输,到存储、交易、销毁等覆盖数据生命周期的信任环节,将成为一项面向未来的焦点技术。
四、构建多维信任机制:共享数字信任成果
在数字经济下,一个更能够体现隐私保护的数字身份体系理当被期待。南京CA在此方面已先试先行:通过构建行之有效的技术信任、治理信任、第三方评估框架,结合区块链技术,将数据信任框架贯穿其中,以搭建一个【个人可控、数据可验、信息受保护】的数字身份信任机制,而这正符合了《个人信息保护法》的五大原则、四大要求。
形成更安全、更高效、更便捷的数据处理机制,让社会教育、资本流通、政务处理的成本更低,是我们不变的追求。未来,我们将在现有成果的基础上,与更多高校、技术厂商等增进交流促进发展,推动多维信任机制尽快更大范围落地,在驱动经济快速发展的同时,为个人信息撑起一把保护伞。