■ 《个人信息保护法》已于8月20日颁布,即将于11月1日起施行。这部法受到万众瞩目,机构和专家学者们从多个方面对其做了深入解读。公安部网络安全保卫局的官微也于昨日(8月26日)发表了《公安机关:依法为个人信息安全保驾护航》的文章。文章总结了《个人信息保护法》建立的五个方面制度。而其中的第五个制度,在此前宣传中一直没有得到提及。小贝团队对此作了初步分析。
很少有一部法能够像《个人信息保护法》这样受关注,毕竟这涉及到信息时代所有人的权益,每个人都是当事人。也很少有哪部法被从方方面面剖析、解读,因为其有着巨大的理论价值和实践意义,而且“普法”本身也是一项重要工作。
近日,公安部网络安全保卫局在“公安部网安局”官微上的文章使我们对法律创设的个人信息保护制度有了新的认识。在所有的宣传、解读文章中,这篇文章首次指出了此前宣传中没有提及的个保法另一重大制度。
(图片来源:公安部网安局官微截图)
文章指出,国家出台专门的《个人信息保护法》,全面构建了个人信息保护制度。
一是构建了以“告知—同意”为核心的个人信息处理规则。
二是明确个人信息处理活动中个人权利,包括知情权、决定权、查询权、更正权、删除权、可携带权等各项权利。
三是强化个人信息处理者的保护义务,如完善管理、专人负责、合规审计、影响评估、应急处置等相关义务。
四是规定一些重点制度,对社会热议、群众关切的敏感个人信息采集、大数据“杀熟”、个人信息跨境流动、未成年人信息保护、大型网络平台义务、国家机关处理个人信息等予以积极回应,完善相关制度。
五是明确网络身份认证公共服务,在《网络安全法》的基础上规定国家“推进网络身份认证公共服务建设”,使企业依托网络身份认证公共服务,满足自身业务需求和政府监管要求,非必要不采集、不留存用户身份信息,从源头上减少个人信息滥采滥用等问题,对于从根本上遏制“黑卡”“黑号”、治理电信网络诈骗等犯罪、构建网络诚信体系具有重要意义。
(图片来源:公安部网安局官微截图)
很显然,官方将其作为个保法五大制度之一,自是非同小可。但它来自个保法中第六十二条第(三)项的半句话,确实不太容易被人注意。
“第六十二条 国家网信部门统筹协调有关部门依据本法推进下列个人信息保护工作:
(一)制定个人信息保护具体规则、标准;
(二)针对小型个人信息处理者、处理敏感个人信息以及人脸识别、人工智能等新技术、新应用,制定专门的个人信息保护规则、标准;
(三)支持研究开发和推广应用安全、方便的电子身份认证技术,推进网络身份认证公共服务建设;
(四)推进个人信息保护社会化服务体系建设,支持有关机构开展个人信息保护评估、认证服务;
(五)完善个人信息保护投诉、举报工作机制。”
如何理解这项重大制度?从公安部的文章中,我们可以了解到以下几点:
一、“在《网络安全法》的基础上规定”是指《网络安全法》第二十四条。该条规定了实名制,提出“国家实施网络可信身份战略”。
二、“企业依托网络身份认证公共服务”说明,网络身份认证公共服务是国家网络安全的一项基础设施,互联网企业在对用户进行身份认证时,可以充分调用该系统提供的公共服务。对产业发展而言这也是一种巨大机会,因为可以基于这一公共平台开发各类与身份相关的应用。例如,将来入住酒店的流程可能会完全颠覆。人们可以仅通过在手机上操作来完成身份认证与开房,进入酒店后,不再进行前台登记和身份核验,直接找到预定房间的门牌号、利用手机刷智能门锁入住,入住期满后直接离店即可,自行从手机绑定的银行卡账户中结算房费。整个流程中不用接触酒店的任何员工,也不用另外办理任何手续。
三、“非必要不采集、不留存用户身份信息,从源头上减少个人信息滥采滥用等问题”指明了这套公共服务系统对个人信息保护的重大意义。目前,各类互联网应用基本都是通过向用户收集敏感身份信息完成认证,人脸识别等生物特征认证更是如此,由此导致个人信息滥采滥用问题突出。建设网络身份认证公共服务后,企业不必再收集用户身份信息,向该系统直接确认用户身份即可。
这样一项重大基础设施建设,必然会经历一个过程。其间,互联网企业要关注建设进展,积极采用该基础设施提供的公共服务,做好用户身份信息保护,这也是个保法合规重要内容;产业界要敏锐抓住商业机会,认识到我国网络空间身份管理工作迎来新的时代,抓紧构建生态。
|小贝结语|
■ 《个人信息保护法》刚颁布不久,对该法的宣传热度会持续一段时间。小贝团队也将进一步学习和理解这部法,并着重从法律实施角度探究一些重大制度的实施思路。
声明:本文来自小贝说安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。