PIPL数据安全合规白皮书
AI智能总结
PIPLDataSecurityComplianceInternalReference PIPLDataSecurityComplianceWhiteBook PIPL数据安全合规白皮书2 StartDTResearchCenter隶属于国内独立第三方科技集团StartDT,由原本的奇点研究院升级而来,旨在通过研究、实践和交流,探索数据商业的前沿边界,思考未来世界的堆栈结构,从趋势中学习、理解、建立认知,进而指导当下的数据实践。 PIPL数据安全合规白皮书3 PIPL是什么? 《中华人民共和国个人信息保护法》,简称个保法,或PIPL,是我国第一部个人信息保护方面的专门法律,由中华人民共和国第十三届全国人民代表大会常务委员会第三十次会议于2021年8月20日通过,自2021年11月1日起施行。 PIPL数据安全合规白皮书4 目录 前言05 背景06 个人信息保护法律和法规持续迭代06 国家持续推进个人信息保护08 策略10 《个人信息保护法》合规义务解读10 企业在意的PIPL数据安全合规到底是什么?13 PIPL数据安全合规问题的背后考量13 应对PIPL数据安全合规,企业需要综合考虑三大要素14 建立全生命周期数据安全管理框架15 方案16 StartDT提供完善的PIPL数据安全合规方案16 数据云通过DataBlack提供全生命周期数据安全保障16 分析云产品全面符合PIPL/GDPR合规17 提供完善的PIPL数据安全合规咨询服务20 实践21 1.数据采集21 2.数据传输41 3.数据存储42 4.数据删除44 5.权限管控及数据使用46 6.日志安全49 7.内部管理制度和操作规程50 资质51 PIPL数据安全合规白皮书 5 前言 《个人信息保护法》(以下简称“PIPL”)是迄今为止,中国对个人信息保护最全面、最规范、最细致的法律,要求企业从法律意义上关注自然人的尊严和权利。PIPL引领中国的数据安全合规进入新阶段。 国内在个人信息保护领域,一直有“三驾马车”的称呼(《网络安全法》、《数据安全法》和《个人信息保护法》),要理解这三驾马车,除了遵循宪法和《民法典》中关于个人信息保护的相关原则之外,还需要综合考虑《国家安全法》在法律制定过程中的上位法作用。 我们认为,PIPL代表国家正在把个人数据作为重要的战略资产来看待,从国家安全和数据主权的视角确立了未来的法律保护框架,从而实现在“保护个人信息权益”、“规范个人信息处理活动”同时,促进个人信息在安全框架内被合理使用。 从大数据发展史的视角,我们认为,PIPL第一次从法律意义上定义了个人数据要素,这不仅会改写消费者营销和商业零售的现有模式,也会成为未来面向消费者的数据驱动商业的基石框架。PIPL和过去数据防泄漏、防丢失视角的安全框架有很大差异,法律框架是为了未来数据可以更好地分享和使用。 从创业之初,奇点云和GrowingIO践行数据安全准则,从数据采集、数据存储计算、数据加工、数据应用等链路进行全生命周期的数据安全管理,并把经验沉淀为具体的数据安全产品——DataBlack。本白皮书是在过去的数据安全实践中沉淀的一些方法和经验,在此分享给大家。 谨供参考。 背景 个人信息保护法律和法规持续迭代 在中国个人信息保护历史上,2017年是非常重要的一年,不仅仅是因为《网络安全法》正式施行,要求网络运营者合法合规收集和使用个人信息,《民法总则》第111条更明确了“公民个人信息受法律保护”,并沿用至《民法典》第111条。《民法典》明确公民个人信息权成为独立人格权,从此,个人信息保护进入了正式的法律保护议程,并发展成为今天比较完善的个人信息保护法律法规体系。 “数据安全三驾马车” 个人信息保护除了要关注PIPL之外,还需要关注三驾马车中的相关合规约束,通过合规保护企业的核心利益不受损伤。 个人信息相关标准规范 •2018.05.01《信息安全技术个人信息安全规范》正式实施 (2020.03.06新版《信息安全技术个人信息安全规范》发布,2020.10.01实施) •2019.03.01《App违法违规收集使用个人信息自评估指南》发布 •2019.04.10《互联网个人信息安全保护指南》发布 •2019.06.01《移动互联网应用基本业务功能必要信息规范》发布 •2019.10.01《儿童个人信息网络保护规定》施行 •2019.12.30四部门联合发布《App违法违规收集使用个人信息行为认定方法》 •2020.11.19《信息安全技术个人信息安全影响评估指南》发布,2021.06.01施行 •2020.11.27《网络安全标准实践指南——互联网应用程序(App)使用软件开发工具包(SDK)安全指引》发布 国家持续推进个人信息保护 1.2019年,中央网信办、工信部、公安部、市场监管总局等四部门召开新闻发布会,联合发布《关于开展App 违法违规收集使用个人信息专项治理的公告》,并连续两年在全国范围组织开展App违法违规收集使用个人信 息专项治理;2021年,《工业和信息化部关于开展信息通信服务感知提升行动的通知》(简称“524”行动), 提出建立个人信息保护双清单,并对“告知-同意”机制进行了详细说明。 2.信通院发布《移动应用(App)数据安全与个人信息保护白皮书(2019)》、《移动互联网应用程序(App)个人信息保护治理白皮书(2021)》。 2.1核心洞察 市面上67%的App存在5类以上个人信息安全问题 •未公开收集使用规则; •未明示收集使用目的; •超范围收集个人信息; •私自共享个人信息; •未经用户同意收集使用个人信息。 2.2隐私政策问题 •超过90%的App都已具备隐私政策; •但是其中超过半数App在用户首次登录时向用户默示隐私政策,导致隐私政策难以起到告知作用; •除此之外,63.1%的App通过“登录/注册即表示同意隐私政策”的方式强制用户同意,且未提供拒绝选项,用户若想继续使用只能被动同意隐私政策,侵犯了用户自主选择权。 2.3App过度索取用户权限是常态 •近三成的App申请的与收集个人信息相关权限数量大于10个,部分金融类App申请权限多达14-16个,涉嫌超范围获取权限; •检测发现“写入外置存储器”权限、“读取电话状态”权限被申请的百分比大于85%,二者均属于安卓系统中的危险级别权限; •超过九成的App会在用户终端内存储运行日志、设备信息、用户信息等数据,但其中25%的App存在明文存储用户个人信息的问题。 2.4私自共享个人信息 •四成App存在跳转第三方应用时,未提醒用户关注第三方收集使用个人信息规则问题; •账号注销限制条件多,数据过度留存; •20.5%的App未提供注销功能; •26.9%的App虽然提供了注销功能,但注销耗时长、流程繁琐,还需比注册时多提交额外非必要的个人敏感信息,如用户真实姓名、住址、邮箱、身份证照片等,且App运营者并未明确额外信息在注销后是否会删除。 3.全国App技术检测平台(2020年7月上线)https://app.caict.ac.cn/#/home 3.1能力项 •移动App监测; •移动应用个人信息保护合规检测; •个人信息保护合规监测预警; •大数据应用; •对外公共服务。 3.2结果 截至2021年11月份,App专项整治行动共开展21批,对5406款App发出整改通知,公开通报2049款整改不到位的App,下架540款仍存在问题的App。 违规App存在的共性突出问题有: •违规收集个人信息; •强制频繁过度索取权限; •违规使用个人信息; •定向推动。 典型案例 数据来源:国家互联网信息办公室 国家国信办发布通报:通知应用商店下架“滴滴出行”App,原因是“滴滴出行”App存在严重违法违规收集使用个人信息问题。 策略 《个人信息保护法》合规义务解读 数据采集阶段 •对个人信息的直接收集授权; •对个人信息的间接收集授权(如通过第三方、自第三方获得); •遵循最小必要原则。 1.明确可感知的拒绝权 收集个人信息前,向用户提供明确清晰的告知提供用户“同意”、“不同意”选择的明确途径,用户可自由选择。 同时不能因用户选择“不同意”而拒绝提供同等服务,除非该信息是提供服务所必需的。 2.最小必要原则 处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收 集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。 数据储存阶段 •与品牌企业合同约定对个人信息的保存期限,具体期限在合法合规的框架内可以以企业为准; •建立完善的个人信息保护措施,技术层面上要支持信息分类管理、加密及去标识化等技术措施;管理制度上要制定内部管理制度;规范操作流程;明确操作权限;定期举行安全教育与培训;制定并组织个人信息安全事件应急预案以及定期的安全事件响应演习等。 1.最短时间 “个人信息的保存期限应当为实现处理目的所必要的最短时间” 2.可删除 “有下列情形之一的,个人信息处理者应当主动删除个人信息;个人信息处理者未删除的,个人有权请求删除: (一)处理目的已实现、无法实现或者为实现处理目的不再必要; (二)个人信息处理者停止提供产品或者服务,或者保存期限已届满; (三)个人撤回同意; (四)个人信息处理者违反法律、行政法规或者违反约定处理个人信息; (五)法律、行政法规规定的其他情形。” 3.制度管理&技术安全措施 “个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存 在的安全风险等,采取下列措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以 及个人信息泄露、篡改、丢失: (一)制定内部管理制度和操作规程; (二)对个人信息实行分类管理; (三)采取相应的加密、去标识化等安全技术措施; (四)合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训; (五)制定并组织实施个人信息安全事件应急预案; (六)法律、行政法规规定的其他措施。” 数据加工阶段 •可以基于个人信息展开自动化的分析,但当分析结果要应用在消费者身上时,以及需要通过分析结果做差异化决策时,不得在交易价格等交易条件上实行不合理的差别对待; •品牌企业委托处理个人信息时,应注意约定保护措施以及与受托人双方的权利和义务,同时要对处理 活动进行监督。通过GrowingIO在数据处理过程中的操作行为记录,按照企业的内部控管理流程,可以按周期对GrowingIO的数据处理行为做审计,同时,在采集的个人信息处理过程中,有这些需要注意的重点场景: 1.大数据杀熟被强监管 “个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交 易价格等交易条件上实行不合理的差别待遇。” 2.营销拒绝权 “通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人 提供便捷的拒绝方式。” 3.自动化决策拒绝权 “通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒 绝个人信息处理者仅通过自动化决策的方式作出决定。” 4.委托三方处理个人信息需保证监督 “个人信息处理者委托处理个人信息的,应当与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、 保护措施以及双方的权利和义务等,并对受托人的个人信息处理活动进行监督。” 企业在意的PIPL数据安全合规到底是什么? PIPL数据安全合规问题的背后考量 •CDP做数据融合后还可否再做还原,分拆成最小单元?譬如:发现数据泄露风险时,将风险数据最小限度地剥离开来? •CDP人群包或者其他数据需要发送给第三方使用时,整个使用流程是否有自动化的手段闭环监测?譬如:对方是如何使用的?使用了几次?使用后是否有将数据删除或销毁?删除完后是否有给我们
