个人信息的内生安全机制如何构建?如何有效推进其实现并发挥作用?《个人信息的内生安全机制及其实现》研究报告对此进行了阐释说明。
7月19日,以“强化数据安全保障体系,推进数字文明新发展”为主题的2023年中国网络文明大会数据安全与个人信息保护论坛在福建厦门举行,会上发布了《个人信息的内生安全机制及其实现》研究报告(以下简称《报告》)。
该《报告》由中国网络空间安全协会组织编撰并发布,内容系统梳理了《中华人民共和国个人信息保护法》实施以来我国个人信息治理取得的成果,针对当前现行个人信息治理存在的问题,提出通过建立健全个人信息的内生安全机制,探索建立一条契合产业发展规律、平衡安全与发展、提升个人信息治理效果的路径。
《报告》提出《个人信息保护法》实施以来,履行个人信息保护职责的部门开展了多种形式的个人信息专项执法行动,中国网络空间安全协会也在积极推进行业自律,组织会员单位签署《中国网络空间安全协会个人信息保护自律公约》。经过多方共同努力,个人信息治理取得阶段性成果,广大网民关注的超范围收集、强制索权、一揽子授权和个人信息泄露问题情况有所改善。
然而随着治理工作的深入推进,个人信息治理也进入了深水区,部分企业只是简单地执行监管指令或者整改要求,并未从产品设计层面全面、系统落实个人信息保护法的各项要求,甚至采取“热更新”“加壳”“加密”等方式逃避监管。
针对上述问题,《报告》提出应当在提升监管技术手段的同时,通过执法威慑督促个人信息处理者完善内部治理机制,具体而言:一方面,要坚持“个人信息合规不仅是技术判断,更重要的是价值判断”的原则,充分发挥个人信息处理者法务部门(合规部门)的作用,推进落实合规评估和风险评估;另一方面,个人信息处理者业务部门实施要通过设计和默认设置保护隐私(个人信息安全“三同步”要求),在产品设计、开发阶段要考虑个人保护的要求,采取匿名化、去标识化等技术措施,和权限控制、访问控制等管理措施有效保护个人信息。
《报告》认为,个人信息的内生安全机制契合产业逻辑、技术逻辑、个人信息本质特征,其实施有利于提升个人信息保护合规效果,降低个人信息保护执法成本,有效保障个人合法权益。
声明:本文来自中国网络空间安全协会,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。