PIPL数据安全合规白皮书

PIPL Data Security Compliance Internal ReferencePIPL Data Security Compliance White Book 2PIPL数据安全合规白皮书StartDT Research Center 隶属于国内独立第三方科技集团 StartDT，由原本的奇点研究院升级而来，旨在通过研究、实践和交流，探索数据商业的前沿边界，思考未来世界的堆栈结构，从趋势中学习、理解、建立认知，进而指导当下的数据实践。 3PIPL数据安全合规白皮书PIPL是什么？《中华人民共和国个人信息保护法》，简称个保法，或 PIPL，是我国第一部个人信息保护方面的专门法律，由中华人民共和国第十三届全国人民代表大会常务委员会第三十次会议于2021年8月20日通过，自 2021年 11月 1日起施行。 4PIPL数据安全合规白皮书个人信息保护法律和法规持续迭代国家持续推进个人信息保护060810131314151616172021414244464950《个人信息保护法》合规义务解读企业在意的 PIPL数据安全合规到底是什么？PIPL数据安全合规问题的背后考量应对 PIPL数据安全合规，企业需要综合考虑三大要素建立全生命周期数据安全管理框架StartDT提供完善的 PIPL数据安全合规方案数据云通过 DataBlack提供全生命周期数据安全保障分析云产品全面符合 PIPL/GDPR合规提供完善的 PIPL数据安全合规咨询服务1. 数据采集2. 数据传输3. 数据存储4. 数据删除5. 权限管控及数据使用6. 日志安全7. 内部管理制度和操作规程背景前言策略方案实践资质060510162151目录 5PIPL数据安全合规白皮书前言《个人信息保护法》（以下简称“PIPL”）是迄今为止，中国对个人信息保护最全面、最规范、最细致的法律，要求企业从法律意义上关注自然人的尊严和权利。PIPL引领中国的数据安全合规进入新阶段。国内在个人信息保护领域，一直有“三驾马车”的称呼（《网络安全法》、《数据安全法》和《个人信息保护法》），要理解这三驾马车，除了遵循宪法和《民法典》中关于个人信息保护的相关原则之外，还需要综合考虑《国家安全法》在法律制定过程中的上位法作用。我们认为，PIPL代表国家正在把个人数据作为重要的战略资产来看待，从国家安全和数据主权的视角确立了未来的法律保护框架，从而实现在“保护个人信息权益”、“规范个人信息处理活动”同时， 促进个人信息在安全框架内被合理使用。从大数据发展史的视角，我们认为，PIPL第一次从法律意义上定义了个人数据要素，这不仅会改写消费者营销和商业零售的现有模式，也会成为未来面向消费者的数据驱动商业的基石框架。PIPL和过去数据防泄漏、防丢失视角的安全框架有很大差异，法律框架是为了未来数据可以更好地分享和使用。从创业之初，奇点云和 GrowingIO践行数据安全准则，从数据采集、数据存储计算、数据加工、数据应用等链路进行全生命周期的数据安全管理，并把经验沉淀为具体的数据安全产品——DataBlack。本白皮书是在过去的数据安全实践中沉淀的一些方法和经验，在此分享给大家。谨供参考。 6PIPL数据安全合规白皮书背景个人信息保护法律和法规持续迭代在中国个人信息保护历史上，2017年是非常重要的一年，不仅仅是因为《网络安全法》正式施行，要求网络运营者合法合规收集和使用个人信息，《民法总则》第 111条更明确了“公民个人信息受法律保护”，并沿用至《民法典》第 111条。《民法典》明确公民个人信息权成为独立人格权，从此，个人信息保护进入了正式的法律保护议程，并发展成为今天比较完善的个人信息保护法律法规体系。 7PIPL数据安全合规白皮书“数据安全三驾马车”个人信息相关标准规范• 2018.05.01《信息安全技术 个人信息安全规范》正式实施 （2020.03.06 新版《信息安全技术 个人信息安全规范》发布，2020.10.01实施）• 2019.03.01《App违法违规收集使用个人信息自评估指南》发布• 2019.04.10《互联网个人信息安全保护指南》发布• 2019.06.01《移动互联网应用基本业务功能必要信息规范》发布• 2019.10.01《儿童个人信息网络保护规定》施行• 2019.12.30 四部门联合发布《App违法违规收集使用个人信息行为认定方法》• 2020.11.19《信息安全技术 个人信息安全影响评估指南》发布，2021.06.01施行• 2020.11.27《网络安全标准实践指南——互联网应用程序（App）使用软件开发工具包（SDK） 安全指引》发布个人信息保护除了要关注 PIPL之外，还需要关注三驾马车中的相关合规约束，通过合规保护企业的核心利益不受损伤。 8PIPL数据安全合规白皮书国家持续推进个人信息保护1. 2019年，中央网信办、工信部、公安部、市场监管总局等四部门召开新闻发布会，联合发布《关于开展 App违法违规收集使用个人信息专项治理的公告》，并连续两年在全国范围组织开展 App违法违规收集使用个人信息专项治理；2021年，《工业和信息化部关于开展信息通信服务感知提升行动的通知》（简称“524”行动），提出建立个人信息保护双清单，并对“告知 -同意”机制进行了详细说明。2. 信通院发布《移动应用（App）数据安全与个人信息保护白皮书（2019）》、《移动互联网应用程序（App）个人信息保护治理白皮书（2021）》。市面上 67%的 App存在 5类以上个人信息安全问题 未公开收集使用规则； 未明示收集使用目的； 超范围收集个人信息； 私自共享个人信息； 未经用户同意收集使用个人信息。2.1 核心洞察2.2 隐私政策问题超过 90%的 App都已具备隐私政策；但是其中超过半数 App在用户首次登录时向用户默示隐私政策，导致隐私政策难以起到告知作用；除此之外，63.1%的 App通过“登录 /注册 即表示同意隐私政策”的方式强制用户同意，且未提供拒绝选项，用户若想继续使用只能被动同意隐私政策，侵犯了用户自主选择权。• • • • • • • • 2.3 App过度索取用户权限是常态近三成的 App申请的与收集个人信息相关权限数量大于 10个，部分金融类 App申请权限多达 14-16个，涉嫌超范围获取权限；检测发现“写入外置存储器”权限、“读取电话状态”权限被申请的百分比 大于 85%，二者均属于安卓系统中的危险级别权限；超过九成的 App会在用户终端内存储运行日志、设备信息、用户信息等数据，但其中 25%的 App存在明文存储用户个人信息的问题。• • • 2.4 私自共享个人信息四成 App存在跳转第三方应用时，未提醒用户关注第三方收集使用个人信息规则问题；账号注销限制条件多，数据过度留存；20.5%的 App未提供注销功能；26.9%的 App虽然提供了注销功能，但注销耗时长、流程繁琐，还需比注册时多提交额外非必要的个人敏感信息，如用户真实姓名、住址、邮箱、身份证照片等，且 App运营者并未明确额外信息在注销后是否会删除。• • • • 9PIPL数据安全合规白皮书国家国信办发布通报：通知应用商店下架“滴滴出行”App，原因是“滴滴出行”App存在严重违法违规收集使用个人信息问题。 典型案例3. 全国 App技术检测平台（2020年 7月上线）https://app.caict.ac.cn/#/home3.1 能力项移动 App监测；移动应用个人信息保护合规检测；个人信息保护合规监测预警；大数据应用；对外公共服务。• • • • • 3.2 结果截至 2021年 11月份，App专项整治行动共开展 21批，对 5406款 App发出整改通知，公开通报 2049款整改不到位的 App，下架 540款仍存在问题的 App。违规 App存在的共性突出问题有：违规收集个人信息；强制频繁过度索取权限；违规使用个人信息；定向推动。• • • • 数据来源：国家互联网信息办公室 10PIPL数据安全合规白皮书策略《个人信息保护法》合规义务解读对个人信息的直接收集授权；对个人信息的间接收集授权（如通过第三方、自第三方获得）；遵循最小必要原则。数据采集阶段• • • 1. 明确可感知的拒绝权2. 最小必要原则收集个人信息前，向用户提供明确清晰的告知提供用户“同意”、“不同意”选择的明确途径，用户可自由选择。同时不能因用户选择“不同意”而拒绝提供同等服务，除非该信息是提供服务所必需的。处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息。 11PIPL数据安全合规白皮书与品牌企业合同约定对个人信息的保存期限，具体期限在合法合规的框架内可以以企业为准；建立完善的个人信息保护措施，技术层面上要支持信息分类管理、加密及去标识化等技术措施；管理制度上要制定内部管理制度；规范操作流程；明确操作权限；定期举行安全教育与培训；制定并组织个人信息安全事件应急预案以及定期的安全事件响应演习等。数据储存阶段• • 1. 最短时间2. 可删除3. 制度管理 &技术安全措施“个人信息的保存期限应当为实现处理目的所必要的最短时间”“有下列情形之一的，个人信息处理者应当主动删除个人信息；个人信息处理者未删除的，个人有权请求删除：“个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等，采取下列措施确保个人信息处理活动符合法律、行政法规的规定，并防止未经授权的访问以及个人信息泄露、篡改、丢失：（一）处理目的已实现、无法实现或者为实现处理目的不再必要；（二）个人信息处理者停止提供产品或者服务，或者保存期限已届满；（三）个人撤回同意；（四）个人信息处理者违反法律、行政法规或者违反约定处理个人信息；（五）法律、行政法规规定的其他情形。”（一）制定内部管理制度和操作规程；（二）对个人信息实行分类管理；（三）采取相应的加密、去标识化等安全技术措施；（四）合理确定个人信息处理的操作权限，并定期对从业人员进行安全教育和培训；（五）制定并组织实施个人信息安全事件应急预案；（六）法律、行政法规规定的其他措施。” 12PIPL数据安全合规白皮书可以基于个人信息展开自动化的分析，但当分析结果要应用在消费者身上时，以及需要通过分析结果做差异化决策时，不得在交易价格等交易条件上实行不合理的差别对待；品牌企业委托处理个人信息时，应注意约定保护措施以及与受托人双方的权利和义务，同时要对处理活动进行监督。通过 GrowingIO在数据处理过程中的操作行为记录，按照企业的内部控管理流程，可以按周期对 GrowingIO的数据处理行为做审计，同时，在采集的个人信息处理过程中，有这些需要注意的重点场景：数据加工阶段• • 1. 大数据杀熟被强监管“个人信息处理者利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇。”2. 营销拒绝权“通过自动化决策方式向个人进行信息推送、商业营销，应当同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式。”3. 自动化决策拒绝权“通过自动化决策方式作出对个人权益有重大影响的决定，个人有权要求个人信息处理者予以说明，并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。”4. 委托三方处理个人信息需保证监督“个人信息处理者委托