2021年11月1日，《中華人民共和國個人信息保護法》（簡稱《個人信息保護法》）正式實施。作為國內首部個人信息保護方面的專門法律，它與《民法典》《網絡安全法》《數據安全法》《電子商務法》《消費者權益保護法》等法律將共同編織成一張消費者個人信息“保護網”。

　　《個人信息保護法》對過度收集個人信息、大數據殺熟，人臉信息等敏感個人信息處理等作出明確規制。奇安信集團數據安全研究院劉川意教授表示，該法律為數據工作劃定紅線、明確原則、提供遵循，對過度收集濫用個人信息、違規處理用戶數據等頑疾下了一劑猛藥。

　　那么，《個人信息保護法》具體有哪些亮點？本文和您一起解讀。

　　解讀一：明確界限 清晰規則  破解個人信息侵權亂象

　　2021年央視3·15晚會爆料，多家知名商店安裝人臉識別攝像頭，海量人臉信息被收集，卻沒有一個商家明確告知消費者，并征得其同意。在日常生活中，人們對電腦、手機中推送的廣告不勝其擾，更對商家實現“精準推送”不寒而栗。在過去，這些往往處于灰色地帶，公眾往往對其束手無策。

　　圖：央視315晚會曝光人臉識別濫用

　　“不以規矩，不能成方圓”，“木受繩則直，金就礪則利”，《個人信息保護法》最大的價值，就是對概念、處理規則、面向范圍等進行了明確界定，具體包括：

　　（一）明確“個人信息”界定

　　在《網絡安全法》基礎上，《個人信息保護法》對“個人信息”做出了更為嚴謹的定義及列舉。匿名化處理后的信息被明確不屬于個人信息，此界定的明確，將進一步推進個人信息匿名化處理技術在數據安全保護方面的研發、應用及革新。

　　（二）明確適用范圍的界定

　　《個人信息保護法》指出，不僅“組織、個人在中華人民共和國境內處理自然人個人信息的活動，適用本法。”同時，在境外處理境內自然人個人信息的活動，有下列情形之一的，也適用本法：包括以向境內自然人提供產品或者服務為目的；分析、評估境內自然人的行為；法律、行政法規規定的其他情形等。

　　（三）明確“告知-同意-撤回同意/拒絕”的處理規則

　　《個人信息保護法》進一步明確了個人信息處理的前提條件及要求。個人信息處理者僅可在取得個人同意或法定例外情形下可處理個人信息。個人信息處理者在處理個人信息前應履行充分告知義務，包括以顯著方式、清晰易懂的語言真實、準確、完整地向個人告知處理者的名稱或姓名和聯系方式、處理目的、處理方式、處理的個人信息種類、保存期限、個人行使法定權利的方式和程序及其他依法應告知事項；另一方面，該法對個人同意的方式、撤回同意或拒絕權利進行了明確規定，形成了以“告知-同意-撤回同意/拒絕”為邏輯主線的處理規則。

　　（四）確立了自動化決策對數據處理的基本規則

　　針對用戶畫像、大數據“殺熟”等問題，《個人信息保護法》確定了算法自動化決策治理的基本框架，為自動化決策應用于電商平臺經濟、數字政府運行劃定了合法邊界。對于決策方法的透明度及結果公平、公正性、以自動決策方式進行信息推送、商業營銷的規范、個人知情權及拒絕權、事先個人信息保護影響評估等進行了明確規定。

　　（五）明確個人多項權利且確立了個人信息可攜帶權

　　《個人信息保護法》確立了個人對個人信息的多方面權利，包括對個人信息處理的知情權、決定權、要求解釋說明權、拒絕權等；在個人信息處理過程中享有要求更正、補充權、刪除權等；對處理者所掌握的個人信息享有查閱、復制權、承繼行使權、可攜帶權等。特別是，可攜帶權體現了將個人信息權利還歸個人的立法思路，賦予個人主動在企業間流轉個人信息的權利，如何運用創新技術探索個人信息可攜帶權的新模式，是關鍵的下一步。

　　解讀二：壓實責任與義務  多環節推動合規治理

　　《個人信息保護法》對信息處理機構的合規責任進行了明確，進一步規范企業經營者在收集使用個人信息時，需要投入技術資源對個人信息收集使用進行合規治理。治理范圍包含了收集前端合規、處理過程合規、對外提供合規、安全保障措施等內容。其中包括：

　　（一）建立個人信息分類分級管理制度

　　《個人信息保護法》51條規定，個人信息處理者需要“對個人信息實行分類管理”。

　　（二）承擔泄露事件報告義務

　　《個人信息保護法》規定，如果由于個人信息的任何泄露、篡改或丟失而導致數據泄露，數據處理者必須及時通知主管部門和受影響的數據主體，而不僅僅是如果它“可能對自然人的權利和自由造成高風險”。

　　（三）建立個人信息安全影響評估體系的義務

　　《個人信息保護法》將個人信息保護影響評估（DPIA）要求提升至法律強制性要求，對于企業內部合規制度建設提出更嚴格要求。同時特別指出，個人信息保護影響評估報告和處理情況記錄應當至少保存三年。

　　（四）設立個人信息保護負責人的義務

　　《個人信息保護法》第52條要求，“處理個人信息達到國家網信部門規定數量的個人信息處理者應當指定個人信息保護負責人，負責對個人信息處理活動以及采取的保護措施等進行監督。”

　　（五）建立個人信息保護合規審計制度

　　《個人信息保護法》第54條要求“個人信息處理者應當定期對其處理個人信息遵守法律、行政法規的情況進行合規審計”，第64條賦予相關部門可以要求“個人信息處理者委托專業機構對其個人信息處理活動進行合規審計”。第58條對于“重要互聯網平臺服務、用戶數量巨大、業務類型復雜的個人信息處理者”，要求“成立主要由外部成員組成的獨立機構對個人信息保護情況進行監督”并“定期發布個人信息保護社會責任報告，接受社會監督”。

　　（六）建立隱私設計體系的義務

　　《個人信息保護法》第51條要求個人信息處理者“采取相應的加密、去標識化等安全技術措施”，進行個人信息處理。

　　（七）個人信息出境審批義務

　　《個人信息保護法》與《數據安全法》保持一致的執法協助限制，即“非經中華人民共和國主管機關批準，個人信息處理者不得向外國司法或者執法機構提供存儲于中華人民共和國境內的個人信息”。

　　（八）建立個人信息安全教育和培訓制度

　　《個人信息保護法》第51條要求“合理確定個人信息處理的操作權限，定期對從業人員進行安全教育和培訓”。

　　解讀三：處罰措施嚴厲且具體  最高或達營業額5%

　　《個人信息保護法》對企業方在發生個人信息保護安全事件時，提出了嚴厲的處罰措施。其中包括約談、整改、罰款，甚至停業整頓或者吊銷營業執照等。

　　其中，第66條指出，“違反本法規定處理個人信息，或者處理個人信息未履行本法規定的個人信息保護義務的，由履行個人信息保護職責的部門責令改正，給予警告，沒收違法所得，對違法處理個人信息的應用程序，責令暫停或者終止提供服務；拒不改正的，并處一百萬元以下罰款；對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。”

　　有前款規定的違法行為，情節嚴重的，由省級以上履行個人信息保護職責的部門責令改正，沒收違法所得，并處五千萬元以下或者上一年度營業額百分之五以下罰款，并可以責令暫停相關業務或者停業整頓、通報有關主管部門吊銷相關業務許可或者吊銷營業執照。

　　該法律還對國家機關和主管人員明確了處分措施。第68條指出，“國家機關不履行本法規定的個人信息保護義務的，由其上級機關或者履行個人信息保護職責的部門責令改正；對直接負責的主管人員和其他直接責任人員依法給予處分。”

　　解讀四：數據安全應用范圍更加廣泛  釋放需求加速創新

　　奇安信專家指出，《個人信息保護法》的實施正式將普通大眾跟數據安全緊密地聯系了在一起，將會喚醒更多的人去關注個人隱私保護和數據安全，這對一些濫用個人隱私和不注重數據安全的產品將會形成巨大的合規挑戰甚至是輿論壓力，而對隱私保護和數據安全有正向作用的產品將會得到更大的助推力。

　　（一）個人信息保護有法可依 合規檢測產品或將井噴

　　過去，數據安全產品大多數是To B的，To C的安全產品一直沒有什么殺手級的應用。隨著《個人信息保護法》將C端用戶和數據安全強聯系了在一起，也許未來會出現針對C端用戶的個人信息保護應用，比如在個人終端上安裝的可以檢測、審計、銷毀個人信息的app，也許會成為必備應用；而對于服務提供商（企業），他們更希望有相應的產品來幫助其針對《個人信息保護法》的合規，因此一些諸如個人信息發現、掃描、使用、撤銷等功能的安全產品/服務，將會如雨后春筍一樣出現。

　　圖：隱私衛士產品形態

　　針對企業的需求，奇安信推出了網神隱私衛士系統（以下簡稱：隱私衛士），是一款隱私安全合規檢測產品，可以幫助企業對移動應用進行全方位的隱私安全合規檢測，提前發現合規隱患，避免由此帶來的數據泄漏、資產損失、監管處罰等風險，幫助企業APP合規經營、健康發展。

　　針對個人對隱私的關注，奇安信推出的第三代安全軟件安全防護軟件冬奧版，核心就是主打隱私保護，對辦公、學習等重要文件，以及上網歷史記錄、聊天軟件記錄、電子郵件等個人重要信息提供了保護措施。

　　（二）從事后補救走向事先預警  態勢感知將成標配

　　《個人信息保護法》的出臺，給個人信息保護風險評估帶來了機會。企業在持續開展的數據業務活動過程中需要有可靠的個人信息保護風險評估作為保證。然而在大數據時代，業務是快速迭代的，數據是不斷流動與更新的，依賴人工去做數據安全風險評估是不可靠且不可控的，因此需要專業的數據安全風險感知產品來為業務活動開展保駕護航。

　　奇安信推出的數據安全態勢感知平臺，是基于大數據技術框架以數據安全為核心的智能化數據安全管理與運營平臺，圍繞數據梳理與風險檢測構建敏感數據分布態勢、敏感數據流動態勢、數據安全風險態勢，并對數據安全風險提供預警、研判和處置手段，實現數據安全的全方位風險感知與動態防護，為數據業務活動順利開展提供安全保障。

　　（三）隱私計算將迎來新一輪技術發展和市場爆發

　　在新法規落地的情況下，數據隱私保護與數據價值挖掘間的矛盾成為了各行各業開展數據業務的難題，在一定程度上加速了解決上述矛盾問題的隱私計算一類隱私保護新技術的發展。

　　目前，哈工大（深圳）-奇安信數據安全研究院在方濱興院士的指導下，基于數據不動程序動，數據可用不可見的隱私保護新理念，創新性地提出了調試環境與運行環境分離的體系結構，研發了數據交易沙箱這一核心產品，實現了在保護數據隱私的前提下，最大限度地挖掘大數據價值。數據交易沙箱目前已應用在政務、醫療、公安等重點領域。近期，“基于數據沙箱技術的數據服務平臺在醫療領域的應用”在世界互聯網大會上榮獲2021數據安全典型實踐案例。

　　結束語

　　國泰君安研究所計算機首席分析師李沐華認為，《個人信息保護法》落地后，大大小小的互聯網公司都會加大數據安全投入。假設單個網站或者APP投入金額超過五萬元，潛在市場空間即達到千億元，因此《個人信息保護法》的落地，標志著網安行業一個新時代的開始。

　　奇安信專家建議，對于企業來講，尤其是互聯網企業，應主動開展個人信息相關的強化保護工作。具體包括開展個人信息相關的數據梳理工作，落實訪問人員身份鑒別、數據權限訪問控制、數據行為審計分析、個人數據匿名化處理等防護措施，以及強化特權訪問人員，如運維人員、開發測試人員對個人信息的技術管控，制定相關制度規范，落實管理工作等。

　　可以說，《個人信息保護法》實施，是《網絡安全法》、《數據安全法》之后，我國信息安全保護在法制道路上的又一個里程碑，它將微觀個人的信息安全，和宏觀社會和行業的數據安全、網絡安全等緊密聯系到一起，共同成為國家安全戰略的重要組成部分。