声明

本文是学习个人信息保护合规建设桔皮书. 下载地址而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们

个人信息保护建设思考

识别监管要求聚焦安全保护重点

1. 个人信息处理原则合规

《个人信息保护法》总则中规定了个人信息处理的合法、正当、必要、诚信、公开透明等，这些基本原则既是处理者开展个人信息处理活动的基本遵循，也是构建个人信息保护具体规则的制度基础。需要明确的是企业或组织在个人信息的处理中占据绝对的主导地位，在处理个人信息必须遵循合法、正当、必要和诚信原则，具有明确、合理的目的并与处理目的直接相关，采取对个人权益影响最小的方式，限于实现处理目的的最小范围，公开处理规则，保证信息质量，采取安全保护措施等，而这些措施必须贯穿于个人信息处理的全过程、各环节。

**第一、合法原则。**按照《个人信息保护法》《民法典》《网络安全法》《消费者权益保护法》的相关规定其内涵包括：处理者处理个人信息必须具备法律法规规定的合法性基础和处理者在处理个人信息时必须履行法律法规为其设定的义务两个方面，即权利与义务的统一性，既要符合法律法规的要求，又要履行法律法规富裕的义务，企业或组织在个人信息处理的过程中避免出现只使用权利而承担应尽义务的情况。

**第二、正当原则。**正当包括目的正当与手段正当，目的正当即在进行个人信息处理时，要提供一个合法、合理的目的。手段正当即其处理个人信息的过程需要公开、公正、透明。而非通过欺骗、诈骗等方式获取并处理个人信息。比如诈骗或者帮助他人诈骗或者个人信息等就属于目的不正当和手段不正当。

**第三、最小必要原则。**主要指处理者处理个人信息不应当超过可以实现处理目的的最低限度，其处理的个人信息应当限于满足处理目的的最小范围之内，个人信息的过度采集或者加工极容易造成难以预见对主体的损害甚至带来财产损失乃至造成生命威胁。而现实中App端普遍存在违规采集个人信息、超范围采集个人信息、违规使用个人信息、过度索取权限以的现象，同时使用谐音、刷屏、差评等行为对个人进行诋毁、污蔑等现象也普遍存在。因此，合理最低限度的收集与使用个人信息是个保法中的重要原则。

**第四、诚信原则。**诚信是一个道德范畴，以真诚之心,行信义之事。“人之所助者，信也”，“言必信，行必果”。讲诚信，并不是说说，很多人说得容易做起来难，其中《个人信息保护法》相较于《网络安全法》和《消费者权益保护法》更是重点突出了诚信原则。信要求处理者对个人保有基本的善意，尊重个人的合理信赖，在价值取向上优先保护个人信息权益，恪守个人信息处理活动的规范化。诚信贯穿于个人信息处理的各个环节

第五、公开透明原则。《个人信息保护法》第7条规定：“处理个人信息应当遵循公开、透明原则，公开个人信息处理规则，明示处理的目的、方式和范围。” 在个人信息处理活动中，个人信息的处理者拥有丰富的收集和处理个人信息的技术手段，个人无法知晓其何种个人信息将以何种方式被处理，也难以了解其个人信息被用于何种处理目的，更难以预测个人信息处理活动可能产生的效果与影响。为了强化个人在个人信息处理活动中的主体地位，保护个人对其个人信息以公平、公正的方式被处理的合理信赖，处理者应当对有关个人信息处理与利用的一般政策、事项等予以公开，个人也有权知悉本人个人信息处理的一般情况。比如依照《个人信息保护法》第18条第2款的规定，当出现紧急情况无法及时向个人履行告知义务时，处理者应当在紧急情况消除后及时告知。

第六、公平公正的原则。《个人信息保护法》第五十八条“提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，应当履行遵循公开、公平、公正的原则，制定平台规则，明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务。”第二十四条“个人信息处理者利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇。”当前，越来越多的企业或组织利用大数据分析、数据中台分析、评估消费者的个人特征用于商业营销。其中有一些企业或组织通过掌握消费者的经济状况、采购需求、消费习惯、对价格的敏感程度等信息，对消费者在交易价格等方面实行歧视性的差别待遇。面对海量数据的使用，企业或组织需要摒弃偏见，分拆企业或组织内部不透明的服务体系，不滥用其市场支配地位对消费者进行 “大数据杀熟”。鼓励企业或组织通过提供差异化的产品和服务方式为企业或组织提供优良的竞争力和市场活力，摒弃以“算法霸权”谋取市场地位的思维。同时，在日常管理中进行常态化检查和调研，切实防范技术滥用。

2. 个人信息处理规则明确

**完善个人信息处理机制。**当前，个人信息收集、使用规则不透明及违规收集、过度收集、超范围收集、违规使用等问题突出。个人信息处理者需要明示个人信息主体其收集使用个人信息的目的，并征求个人信息主体的同意；处理个人信息应当限于实现处理目的所必要的最小范围、采取对个人权益影响最小的方式；处理个人信息应当公开个人信息处理规则，明示处理目的、方式和范围，并应当保证个人信息的质量，避免因个人信息不准确、不完整对个人权益造成不利影响。
**明确“告知—同意”是核心规则。**长期以来，应用程序过度收集、使用个人信息问题是社会关注的一大焦点。虽然国家的工信、网信等各级监管部门进行多轮次的通报与下架，但在实践中，互联网企业或组织推出的App仍存在“一揽子授权” “频繁申请权限”“不同意不让用”的问题。企业或组织在面临该问题时，需要放弃在数据处理过程中“霸权”行为，充分授权给个人；并做到敏感个人信息单独取得用户同意；处理个人信息应当在事先充分告知的前提下取得个人同意等。围绕“告知-同意’的核心确立的个人信息保护核心规则，保障个人对其个人信息处理知情权和决定权。

3. 个人信息处理责任落实

个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等，采取下列措施确保个人信息处理活动符合法律、行政法规的规定，并防止未经授权的访问以及个人信息泄漏、篡改、丢失；处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人，负责对个人信息处理活动以及采取的保护措施等进行监督。

个人信息保护法中对个人信息处理者的义务有详尽的要求。违反相关条目的要求将受到责令改正，没收违法所得，停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照以及直接进行罚款等各类处罚，因此个人信息合规工作面临监管层面的压力巨大，需要从以下几点进行落实：

**第一、合法处理个人信息。**在《个人信息保护法》中，明确了个人信息处理的七项合法依据，除“同意”外，企业或组织可以通过履约、履责等合法依据对个人信息进行处理。对企业或组织来说，应特别注意避免将个人信息主体置于“被动”或“无感知”的情形，慎重使用“为履行个人作为一方当事人的合同”作为合法依据的情形。在明确告知、清晰告知和全面告知的基础上，充分取得个人信息主体的同意，从严要求企业或组织的内部业务，切实落实“能不用就不用，能少用就少用”个人信息的原则最小化使用个人信信息，切实落实《常见类型移动互联网应用程序必要个人信息范围规定》中关于39类App必要个人信息范围规定要求。

**第二、确定委托的第三方责任，加强风险评估。**GB/T 35273-2020《信息安全技术个人信息安全规范》中个人信息的委托处理、共享、转让、公开披露中要求“受委托者应严格按照个人信息控制者的要求处理个人信息。受委托者因特殊原因未按照个人信息控制者的要求处理个人信息的，应及时向个人信息控制者反馈”、“个人信息控制者共享、转让个人信息时，应充分重视风险”。业务委托合同中应与受托人约定处理目的、期限、处理方式、信息种类、保护措施以及双方的权利与义务。同时企业或组织有责任对受托人的个人信息处理活动进行监督，确保受托人处理行为依照合同约束开展。监督行为可通过对受托人的现场审查、发放评估问卷等形式定期开展，同时保留记录存档。接受委托处理个人信息的受托人，应当履行个保法规定的相关义务，同时有义务协助个人信息处理者履行个保法的要求。

**第三、加强敏感个人信息保护。**在了解涉及处理的个人信息类型的基础上，应区分其中的敏感个人信息类型，制定企业或组织内部的分类分级标准，并采取更高水平的技术措施（脱敏、防泄漏、访问控制等）予以保护。针对未满十四周岁的未成年人信息，企业或组织应在产品/服务端设计青少年模式，通过家长身份验证等方式确保个人信息处理合规，并制定专门的个人信息处理规则予以公示。

第四、满足个人信息出境要求，企业或组织涉及个人信息出境时，应遵循“境内存储”原则，确有必要向境外提供个人信息的，应事先进行个人信息保护影响评估，明确个人信息出境的合法依据。在国家网信办关于《网络数据安全管理条例（征求意见稿）》公开征求意见的通知中提到：“关键信息基础设施运营者和处理一百万人以上个人信息的数据处理者向境外提供个人信息”，企业或组织应当通过国家网信部门组织的数据出境安全评估，同时处理者向境外提供数据应当履行“存留相关日志记录和数据出境审批记录三年以上”的义务。

4. 个人信息主体权利保障

《个人信息保护法》提到，个人对其个人信息的处理享有知情权、决定权，有权限制或者拒绝他人对其个人信息进行处理；个人有权向个人信息处理者查阅、复制其个人信息；个人发现其个人信息不准确或者不完整的，有权请求个人信息处理者更正、补充；人有权请求删除；个人有权要求个人信息处理者对其个人信息处理规则进行解释说明等七大项权利。企业或组织应建立多样化的请求接收方式、响应处理流程、响应时限要求以及技术手段予以支持，确保个人信息主体可以随时行使自己的权益（如∶访问权、纠正权、拒绝权、限制处理权及可携带权等），并可以在指定响应期间内予以满足。另一方面，为实现处理来源于真实个人信息主体的请求，应具备强有效的身份校验机制，以对个人信息主体的身份进行准确识别，以确保可以及时并准确的实现个人信息主体所提请求。整体而言更强调个人在信息的收集、处理、利用、保管、传播等行为的权利，对个人权利的保护远远超出了传统隐私权的范围。

技术辅助企业或组织个人信息保护合规落地

在个人信息收集、存储、使用、加工、传输、提供、公开等流程中，需要将管理制度落实到每个具体的活动，同时确保管理制度落实的效果。在不同的环节里需要特定的技术手段进行辅助，提升合规管理的效果。在企业或组织内部，这些流程又可以根据研发、测试、运维、法务等参与角色的不同，分为产品设计、研发、发布、运营等阶段，每个阶段应进行相应的过程管理。

**在设计阶段，**在个人信息收集前端工具的设计过程中，可采用PbD的设计原则进行产品设计及实施策略的制定。

在研发过程中，可通过合规培训、SDK准入审核、合规评估等策略进行研发过程管理，避免由于研发人员对合规要求不了解、第三方SDK自身风险等造成合规隐患。

**在发布阶段，**通过技术手段进行整体的合规评估。如针对App强制授权、过度索权、超范围收集个人信息等典型问题，企业或组织可以先尝试从第三方的视角对App合规状态进行快速摸底，通过对App违规收集隐私数据的行为进行检测，包括权限声明、第三方SDK收集信息、App各功能模块实际获取的个人信息等，对企业或组织个人信息保护水平的合规性、有效性、完整性进行测试及验证。

**在运营阶段，**通过安全防护技术、访问控制策略、风险评估、应急处置预案等方式进行存储、使用、加工等流程中的管理及保障工作。

除管理流程外，企业或组织还要将个人信息保护真正融入到日常的业务和产品中，才能让个人信息保护不再流于表面，随着监管执法力度的加强，企业或组织在管理体系建设方面的完备性和有效性验证，需要管理和技术手段并行，并且嵌入到企业或组织系统及业务开展过程中，从根本上建立健全个人信息保护管理体系，为数据价值的发挥助力。