2021年7月4日，國家網(wǎng)信辦發(fā)布通報稱，經(jīng)檢測核實，“滴滴出行”App存在嚴重違法違規(guī)收集使用個人信息問題，通知應(yīng)用商店下架“滴滴出行”App。

2020年4月，鄭州、西安、重慶、武漢、山東青島等多所高校數(shù)千名學(xué)生發(fā)現(xiàn)，自己個人所得稅App上有陌生公司就職記錄。稅務(wù)人員稱，可能是學(xué)生信息被企業(yè)冒用，以達到偷稅目的。基于收集信息齊全、便捷，而且大部分從未就業(yè)、極少使用個稅App，不容易發(fā)現(xiàn)自己的信息被盜用等原因，高校學(xué)生成了公司偷稅的目標(biāo)“大戶”。

截止2020年底，中國網(wǎng)民規(guī)模達9.89億人，其中未成年網(wǎng)民達1.83億，網(wǎng)站超500余萬個，移動應(yīng)用程序（APP）數(shù)量超345萬款，個人信息被隨意、違法收集獲取、過度使用、非法買賣，利用個人信息侵擾人民群眾生活安寧、危害人民群眾生命健康和財產(chǎn)安全。

《中華人民共和國個人信息保護法》的頒布將會使這些亂象產(chǎn)生質(zhì)的變化。該法實施后，各行各業(yè)在面對個人信息保護的政策要求下需要哪些技術(shù)能力支持？

個人信息的定義

解讀：第四條明確了個人信息、個人信息處理、敏感個人信息的范圍及定義、處理，這些要求與國家安全標(biāo)準《GB/T 37988-2019 數(shù)據(jù)安全能力成熟度模型》（DSMM）總體相符。DSMM按照數(shù)據(jù)全生命周期的六個階段和四個安全能力維護進行綜合考量，按照能力成熟度分為5個等級，形成一個三維立體模型，指導(dǎo)有關(guān)組織機構(gòu)對數(shù)據(jù)安全進行能力建設(shè)。

解讀：第二十一條，要求委托人需要被監(jiān)督，委托人權(quán)利到期，數(shù)據(jù)信息要能返還個人信息處理者或在監(jiān)管下徹底刪除，除了合同與制度外，也需要必要的數(shù)據(jù)安全技術(shù)手段支持，如脫敏后共享，加密授權(quán)使用，數(shù)據(jù)刪除檢測等；第二十八條，明確了敏感個人信息的定義和規(guī)范要求，強調(diào)了不滿十四周歲未成年人的個人信息均涉及敏感，說明了對敏感信息進行脫敏的充分必要；第三十一條，不滿十四周歲未成年人個人信息屬于完全敏感信息，要有專門的安全防護處理規(guī)則與技術(shù)，尤其在各種信息混合的情況下。這些都需要使用數(shù)據(jù)脫敏技術(shù)進行去隱私保護。

解讀：第二十四條，要求自動化決策過程與結(jié)果均要能被監(jiān)督和審計。避免殺熟、差別待遇等。需要必要的數(shù)據(jù)安全技術(shù)手段支持，如針對個人信息處理規(guī)則的審計、防護技術(shù)；第二十六條，要求公共場所采集個人信息用途范圍要能被監(jiān)督和審計。避免超出維護公共安全所必需。需要必要的數(shù)據(jù)安全技術(shù)手段支持，如針對信息處理使用的審計、防護技術(shù)；第五十四條，要求進行第三方定期合規(guī)審計。

解讀：第五十六條，要求進行安全風(fēng)險、影響評估。既要相應(yīng)的規(guī)則、評估標(biāo)準出臺，也要算法與技術(shù)的創(chuàng)新支持。對組織機構(gòu)中儲存的數(shù)據(jù)進行風(fēng)險評估前，先要進行數(shù)據(jù)資產(chǎn)的梳理以及分類分級，然后才能進行風(fēng)險評估以及后續(xù)的一系列數(shù)據(jù)安全防護。

解讀：第五十八條，要求大型平臺上個人信息處理者做好“看門人”義務(wù)。大數(shù)據(jù)平臺可以從“一中心、四體系、六過程”的頂層設(shè)計思路出發(fā)，構(gòu)建以數(shù)據(jù)安全防護為中心，從管理、技術(shù)、運營和監(jiān)管四個數(shù)據(jù)安全保障體系，實現(xiàn)數(shù)據(jù)全生命周期六大過程的安全防護，從而建立及完善個人信息數(shù)據(jù)安全治理工作。

監(jiān)管方、個人和數(shù)據(jù)處理方三者間的關(guān)系是怎樣的呢？下圖幫您從權(quán)利義務(wù)或責(zé)任的角度進行這三方之間的關(guān)系解讀。

處理個人信息原則：合法正當(dāng)、最小必要、目的明確合理、公開透明、準確完整、安全防護。如何進行處罰？

國家對《個人信息保護法》的違法違規(guī)處罰力度在安全領(lǐng)域?qū)儆谑窡o前例。