个人信息保护合规建设桔皮书

个人信息保护合规建设 桔皮书 奇安信科技集团股份有限公司 2022年1月 版权声明 本文中出现的任何文字叙述、文档格式、插图、图片、方法、过程等内容，除另有特别注明，版权均为奇安信集团（指包括但不限于奇安信科技集团股份有限公司、网神信息技术（北京）股份有限公司、北京网康科技有限公司）所有，受到有关产权及版权法保护。任何个人、机构未经奇安信集团的书面授权许可，不得以任何方式复制或引用本文的任何片段。 前 言 随着大数据时代的到来，个人信息保护得到了前所未有的重视。国际上围绕个人信息的获取、分析、利用和控制的竞争越来越激烈，个人信息安全已成为维护国家安全、保持社会稳定、关系长远利益的关键组成部分，备受各国政府的关注和重视。如何确保个人信息安全已是各国政府及各种组织改进其竞争能力的一个新的具有挑战性的任务。 个人信息保护工作任重而道远，这不仅仅是个人信息保护专业人士的责任，也需要得到所有人的关注和投入。因此，个人信息保护工作也要与时俱进，成为数字化转型道路上的“照明灯”和“守护者”。企业或组织的管理者要主动应对各种个人信息风险和问题，持续关注个人信息监管和行业标准最新动态，并积极参与管理实践和隐私科技的发展。此外，个人信息保护能力也将作为企业或组织影响力的关键因素，从用户隐私体验、科技透明度和市场信任感上为业务赋能。 编订《个人信息保护合规建设实践桔皮书》，全面分析了企业或组织个人信息保护合规建设驱动力，所面临的挑战，提出了合规建设的技术应用探索，并全面阐述了建设方案和关键技术的应用探索。希冀本桔皮书能为企业或组织个人信息保护合规建设提供借鉴和参考，分享研究成果，共谋发展。 目 录 一、 个人信息保护建设背景 ............................. 1 （一） 合规监管要求逐渐完善 ........................ 2 （二） 监管执法强度持续提高 ........................ 3 二、 个人信息保护建设面临的问题和困境 ................. 4 （一） 数据挖掘与个人信息保护的矛盾 ................ 5 （二） 个人信息保护建设面临的困境 .................. 6 1. 业务与合规——经营模式的变革 .................... 6 2. 组织与制度——跨部门协作导致合规成本升高 ........ 7 3. 人员与技术——多学科交叉导致合规效果不理想 ...... 7 4. 目标与过程——合规建设的复杂性与持续性 .......... 8 三、 个人信息保护建设思考 ............................. 9 （一） 识别监管要求聚焦安全保护重点 ................ 9 1. 个人信息处理原则合规 ............................ 9 2. 个人信息处理规则明确 ........................... 12 3. 个人信息处理责任落实 ........................... 13 4. 个人信息主体权利保障 ........................... 15 （二） 技术辅助企业或组织个人信息保护合规落地 ..... 16 四、 个人信息保护建设实践方法 ........................ 18 （一） 识别监管要求建立企业或组织合规体系 ......... 18 （二） 嵌入全流程的个人信息合规管理 ............... 20 （三） 个人信息前端收集工具合规评估 ............... 20 （四） 个人信息使用过程中的风险管控 ............... 22 （五） 建立个人信息安全事件处置机制 ............... 24 （六） 通过个人信息安全影响评估持续改进 ........... 25 五、 结语 ............................................ 25 个人信息保护合规建设桔皮书 © 奇安信集团 股票简称：奇安信 股票代码：688561第 1 页，共 26 页 一、 个人信息保护建设背景 随着大数据时代的到来，作为数字经济时代最核心、最具价值的生产要素，数据已经成为国家基础性战略资源，对国家治理能力、经济运行机制、社会生活方式产生深刻影响。与此同时，在数字技术不断推动经济发展的同时，其背后的安全风险也日益显现出来。近年来，各类数据泄漏、数据滥用、个人隐私侵害等安全事件更是层出不穷。如何在保障数字经济高速发展的同时，正确开展数据安全治理，保护公民个人隐私不被侵害，已引起各国的高度重视和全社会的广泛探讨。 2021年8月20日，全国人大常委会会议通过《个人信息保护法》，2021年11月1日正式实施。《个人信息保护法》正式颁布实施，标志着我国个人信息保护立法体系进入新的阶段。《个人信息保护法》的出台为个人信息权益保护、信息处理者的义务以及主管机关的职权范围提供了全面的、体系化的法律依据，涵盖个人信息收集、存储、使用、加工、传输、提供、公开、删除等多个环节以及自动化决策、个人信息跨境提供等特定场景，与《民法典》《网络安全法》《数据安全法》等共同构成了我国个人信息保护的法律框架。该法将合法、正当、必要与最小必要、透明公开、公平公正作为个人信息活动的基本原则，明确个人信息跨境处理要求，充分保障用户对个人信息处理的知情权和控制权，赋予用户删除、查询、更正、补充个人信息等权利，明确个人信息处理者应当遵循告知、个人信息分类、个人信息安全加密、敏感个人信息事前影响评估等义务，保障用户个人信息安全。 个人信息保护合规建设桔皮书 © 奇安信集团 股票简称：奇安信 股票代码：688561第 2 页，共 26 页 随着数据价值的进一步凸显，侵犯个人隐私的情形不断增多。由于智能手机和移动应用的流行，企业或组织收集个人信息的主要手段包括App、小程序等，用户在智能手机上存储了大量个人信息，而如何对这些个人信息加以保护遂成为重要挑战。为此，国家监管机构发布了一系列的相关法律法规和监管标准，围绕App监管和个人信息违法犯罪活动开展了诸多执法专项行动。 （一）合规监管要求逐渐完善 监管机关针对个人信息保护监管与执法都呈现出趋严趋紧的特点，不断加大个人信息保护监管力度。2019年11月28日，国家互联网信息办公室、工业和信息化部、公安部、市场监管总局联合制定了《App违法违规收集使用个人信息行为认定方法》，自印发之日起实施。重点关注可被认定为“未公开收集使用规则”的行为，可被认定为“未明示收集使用个人信息的目的、方式和范围”的行为，可被认定为“未经用户同意收集使用个人信息”的行为，可被认定为“违反必要原则，收集与其提供的服务无关的个人信息”的行为，可被认定为“未经同意向他人提供个人信息”的行为，以及可被认定为“未按法律规定提供删除或更正个人信息功能”或“未公布投诉、举报方式等信息”的行为，为App运营者提供合规指引。2020年5月，国家网信办等四部委联合制定的《常见类型移动互联网应用程序必要个人信息范围规定》正式实施，明确App不得强制收集非必要个人信息。工信部针对App的治理，开展了专项行动，采取一系列措施，总体效 个人信息保护合规建设桔皮书 © 奇安信集团 股票简称：奇安信 股票代码：688561第 3 页，共 26 页 果比较明显，近期拟会同相关部门联合出台《移动互联网应用程序个人信息保护的管理暂行规定》，App个人信息处理活动应当采用合法、正当的方式，遵循诚信原则，不得通过欺骗、误导等方式处理个人信息，切实保障用户同意权、知情权、选择权和个人信息安全，对个人信息处理活动负责。此外，2021年11月，国家网信办会同相关部门研究起草的《网络数据安全管理条例》公开征求意见，其中“个人信息保护”章节详细规定了知情同意、最小必要、权利保障、生物特征信息等方面的要求，并明确提出处理一百万人以上个人信息应视为重要数据处理者进行管理，进一步强化消费者个人信息保护。 （二）监管执法强度持续提高 根据国家计算机网络应急技术处理协调中心、中国网络空间安全协会发布的《App违法违规收集使用个人信息监测分析报告》，今年以来，国家网信办持续开展App违法违规收集使用个人信息专项治理工作，加大执法监管力度，组织对 39 种常见类型公众大量使用的1425款App开展了专项检测，已对其中存在严重违法违规问题的351款App进行了公开通报，责令限期整改;对未在规定时限内整改的依法采取了相关处罚措施。国家计算机网络应急技术处理协调中心积极运用大数据等新技术手段，建设App收集使用个人信息监测平台，实现对国内主流应用商店在架App存在的“不给权限不让用、频繁索权干扰用户、启动就索要无关权限、未经用户同意收集个人信息”等16项典型违法违规问题的全量快速检测。专项治理有力震慑了违法违规 个人信息保护合规建设桔皮书 © 奇安信集团 股票简称：奇安信 股票代码：688561第 4 页，共 26 页 行为，大大提高了App运营者对个人信息保护工作的重视程度，取得了良好的治理效果和社会反响。此外，2021年1-4月，工信部已累计完成29万款App技术检测，对1862款违规App提出整改要求，公开通报319款整改不到位App，组织下架了107款拒不整改的App。通过持续整治热点难点问题。在前期App专项整治的基础上，进一步聚焦工具类、通信类等App，加大欺骗诱导用户下载、弹窗信息难以关闭、违规共享使用个人信息和利用第三方嵌入式软件损害用户权益等热点难点问题的整治力度。 面对不断加大的数据安全及个人信息保护监管力度，企业或组织如何建立健全符合企业或组织管理现状及发展需求的个人信息保护管理体系，确保个人信息安全合规，同时充分发挥数据对企业或组织发展的积极推动作用，已成为各行各业发展过程中的重大挑战。 二、 个人信息保护建设面临的问题和困境 数字经济的持续深化推进，数据已成为影响世界各国竞争的战略性资源。能够充分发挥数据经济价值和战略意义的数据开发利用技术蓬勃发展的同时，防止数据泄漏，丢失，滥用，保障数据安全流通共享与流通的数据安全技术也愈发重要。主要包括二方面难点，一方面是数据安全与数据开发利用效率之间尚存在明显矛盾，成为制约数据价值释放的重要短板。另一方面，随着《数据安全法》《个人信息保护法》的实施，在个人信息保护工作中，大多数企业或组织面临的首要挑战是监管合规，了解监管要求后，企业或组织需要摸索个人信 个人信息保护合规建设桔皮书 © 奇安信集团 股票简称：奇安信 股票代码：688561第 5 页，共 26 页 息保护体系建设。 （一）数据挖掘与个人信息保护的矛盾 数字经济时代，数据蕴含的巨大价值，越来越多的企业或组织利用大数据分析、数据中台分析、评估消费者的个人特征用于商业营销或与产业上下游的业务伙伴通过数据流通实现深度合作，以此来挖掘数据价值，获取竞争优势。 手机应用程序（App）因其便捷性等优势，被广泛运用于日常生活、专业服务和社会治理等多领域，为人们带来便捷的同时，也带来了信息安全隐患。近年来，App违规违法收集使用用户信息事件频发，有报告显示，超七成App存在过度索权行为，即在非必要的情况下获取用户隐私权限，增加了个人信息泄漏的风险。随着个人信息保护相关法规标准的不断出台，加上监管治理的不断深入，企业或组织原本的发展方式必然受到影响，一些依靠收集使用个人信息推动业务发展的模式甚至面临违法犯罪风险。企业或组织的经营模式由原来的“先发展后治理”转变为“边发展边治理”。另一方面频发的个人信息泄漏事件也引发了公众对数字经济发展中的个人信息保护的意识觉醒。对待数字经济时代的数据价值挖掘，需要结合日渐趋严的合规监管要求，积极探索个人信息保护和数据价值挖掘的平衡点，平衡信息