个人信息保护合规建设桔皮书

声明

本文是学习个人信息保护合规建设桔皮书. 而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们

随着大数据时代的到来，个人信息保护得到了前所未有的重视。国际上围绕个人信息的获取、分析、利用和控制的竞争越来越激烈，个人信息安全已成为维护国家安全、保持社会稳定、关系长远利益的关键组成部分，备受各国政府的关注和重视。如何确保个人信息安全已是各国政府及各种组织改进其竞争能力的一个新的具有挑战性的任务。

个人信息保护工作任重而道远，这不仅仅是个人信息保护专业人士的责任，也需要得到所有人的关注和投入。因此，个人信息保护工作也要与时俱进，成为数字化转型道路上的“照明灯”和“守护者”。企业或组织的管理者要主动应对各种个人信息风险和问题，持续关注个人信息监管和行业标准最新动态，并积极参与管理实践和隐私科技的发展。此外，个人信息保护能力也将作为企业或组织影响力的关键因素，从用户隐私体验、科技透明度和市场信任感上为业务赋能。

编订《个人信息保护合规建设实践桔皮书》，全面分析了企业或组织个人信息保护合规建设驱动力，所面临的挑战，提出了合规建设的技术应用探索，并全面阐述了建设方案和关键技术的应用探索。希冀本桔皮书能为企业或组织个人信息保护合规建设提供借鉴和参考，分享研究成果，共谋发展。

个人信息保护建设背景

随着大数据时代的到来，作为数字经济时代最核心、最具价值的生产要素，数据已经成为国家基础性战略资源，对国家治理能力、经济运行机制、社会生活方式产生深刻影响。与此同时，在数字技术不断推动经济发展的同时，其背后的安全风险也日益显现出来。近年来，各类数据泄漏、数据滥用、个人隐私侵害等安全事件更是层出不穷。如何在保障数字经济高速发展的同时，正确开展数据安全治理，保护公民个人隐私不被侵害，已引起各国的高度重视和全社会的广泛探讨。

2021年8月20日，全国人大常委会会议通过《个人信息保护法》，2021年11月1日正式实施。《个人信息保护法》正式颁布实施，标志着我国个人信息保护立法体系进入新的阶段。《个人信息保护法》的出台为个人信息权益保护、信息处理者的义务以及主管机关的职权范围提供了全面的、体系化的法律依据，涵盖个人信息收集、存储、使用、加工、传输、提供、公开、删除等多个环节以及自动化决策、个人信息跨境提供等特定场景，与《民法典》《网络安全法》《数据安全法》等共同构成了我国个人信息保护的法律框架。该法将合法、正当、必要与最小必要、透明公开、公平公正作为个人信息活动的基本原则，明确个人信息跨境处理要求，充分保障用户对个人信息处理的知情权和控制权，赋予用户删除、查询、更正、补充个人信息等权利，明确个人信息处理者应当遵循告知、个人信息分类、个人信息安全加密、敏感个人信息事前影响评估等义务，保障用户个人信息安全。

随着数据价值的进一步凸显，侵犯个人隐私的情形不断增多。由于智能手机和移动应用的流行，企业或组织收集个人信息的主要手段包括App、小程序等，用户在智能手机上存储了大量个人信息，而如何对这些个人信息加以保护遂成为重要挑战。为此，国家监管机构发布了一系列的相关法律法规和监管标准，围绕App监管和个人信息违法犯罪活动开展了诸多执法专项行动。

合规监管要求逐渐完善

监管机关针对个人信息保护监管与执法都呈现出趋严趋紧的特点，不断加大个人信息保护监管力度。2019年11月28日，国家互联网信息办公室、工业和信息化部、公安部、市场监管总局联合制定了《App违法违规收集使用个人信息行为认定方法》，自印发之日起实施。重点关注可被认定为“未公开收集使用规则”的行为，可被认定为“未明示收集使用个人信息的目的、方式和范围”的行为，可被认定为“未经用户同意收集使用个人信息”的行为，可被认定为“违反必要原则，收集与其提供的服务无关的个人信息”的行为，可被认定为“未经同意向他人提供个人信息”的行为，以及可被认定为“未按法律规定提供删除或更正个人信息功能”或“未公布投诉、举报方式等信息”的行为，为App运营者提供合规指引。2020年5月，国家网信办等四部委联合制定的《常见类型移动互联网应用程序必要个人信息范围规定》正式实施，明确App不得强制收集非必要个人信息。工信部针对App的治理，开展了专项行动，采取一系列措施，总体效果比较明显，近期拟会同相关部门联合出台《移动互联网应用程序个人信息保护的管理暂行规定》，App个人信息处理活动应当采用合法、正当的方式，遵循诚信原则，不得通过欺骗、误导等方式处理个人信息，切实保障用户同意权、知情权、选择权和个人信息安全，对个人信息处理活动负责。此外，2021年11月，国家网信办会同相关部门研究起草的《网络数据安全管理条例》公开征求意见，其中“个人信息保护”章节详细规定了知情同意、最小必要、权利保障、生物特征信息等方面的要求，并明确提出处理一百万人以上个人信息应视为重要数据处理者进行管理，进一步强化消费者个人信息保护。

监管执法强度持续提高

根据国家计算机网络应急技术处理协调中心、中国网络空间安全协会发布的《App违法违规收集使用个人信息监测分析报告》，今年以来，国家网信办持续开展App违法违规收集使用个人信息专项治理工作，加大执法监管力度，组织对 39 种常见类型公众大量使用的1425款App开展了专项检测，已对其中存在严重违法违规问题的351款App进行了公开通报，责令限期整改;对未在规定时限内整改的依法采取了相关处罚措施。国家计算机网络应急技术处理协调中心积极运用大数据等新技术手段，建设App收集使用个人信息监测平台，实现对国内主流应用商店在架App存在的“不给权限不让用、频繁索权干扰用户、启动就索要无关权限、未经用户同意收集个人信息”等16项典型违法违规问题的全量快速检测。专项治理有力震慑了违法违规行为，大大提高了App运营者对个人信息保护工作的重视程度，取得了良好的治理效果和社会反响。此外，2021年1-4月，工信部已累计完成29万款App技术检测，对1862款违规App提出整改要求，公开通报319款整改不到位App，组织下架了107款拒不整改的App。通过持续整治热点难点问题。在前期App专项整治的基础上，进一步聚焦工具类、通信类等App，加大欺骗诱导用户下载、弹窗信息难以关闭、违规共享使用个人信息和利用第三方嵌入式软件损害用户权益等热点难点问题的整治力度。

面对不断加大的数据安全及个人信息保护监管力度，企业或组织如何建立健全符合企业或组织管理现状及发展需求的个人信息保护管理体系，确保个人信息安全合规，同时充分发挥数据对企业或组织发展的积极推动作用，已成为各行各业发展过程中的重大挑战。

个人信息保护建设面临的问题和困境

数字经济的持续深化推进，数据已成为影响世界各国竞争的战略性资源。能够充分发挥数据经济价值和战略意义的数据开发利用技术蓬勃发展的同时，防止数据泄漏，丢失，滥用，保障数据安全流通共享与流通的数据安全技术也愈发重要。主要包括二方面难点，一方面是数据安全与数据开发利用效率之间尚存在明显矛盾，成为制约数据价值释放的重要短板。另一方面，随着《数据安全法》《个人信息保护法》的实施，在个人信息保护工作中，大多数企业或组织面临的首要挑战是监管合规，了解监管要求后，企业或组织需要摸索个人信息保护体系建设。

数据挖掘与个人信息保护的矛盾

数字经济时代，数据蕴含的巨大价值，越来越多的企业或组织利用大数据分析、数据中台分析、评估消费者的个人特征用于商业营销或与产业上下游的业务伙伴通过数据流通实现深度合作，以此来挖掘数据价值，获取竞争优势。

手机应用程序（App）因其便捷性等优势，被广泛运用于日常生活、专业服务和社会治理等多领域，为人们带来便捷的同时，也带来了信息安全隐患。近年来，App违规违法收集使用用户信息事件频发，有报告显示，超七成App存在过度索权行为，即在非必要的情况下获取用户隐私权限，增加了个人信息泄漏的风险。随着个人信息保护相关法规标准的不断出台，加上监管治理的不断深入，企业或组织原本的发展方式必然受到影响，一些依靠收集使用个人信息推动业务发展的模式甚至面临违法犯罪风险。企业或组织的经营模式由原来的“先发展后治理”转变为“边发展边治理”。另一方面频发的个人信息泄漏事件也引发了公众对数字经济发展中的个人信息保护的意识觉醒。对待数字经济时代的数据价值挖掘，需要结合日渐趋严的合规监管要求，积极探索个人信息保护和数据价值挖掘的平衡点，平衡信息化、数字化发展需求与保障个人信息安全之间的矛盾，成为亟待解决的问题。

个人信息保护建设面临的困境

1. 业务与合规——经营模式的变革

当数据已经成为重要的生产要素时，个人信息已经成为各大企业或组织需要重点保护的核心数据资产，在复杂的全球个人信息保护框架下，用户个人信息保护在收集、存储、使用、共享等环节流动起来时，任何企业或组织都面临着前所未有的数据安全与个人信息保护的挑战。

随着个人信息保护相关法规标准的不断出台，加上监管治理的不断深入，企业或组织原本的发展方式必然受到影响，一些依靠收集使用个人信息推动业务发展的模式甚至面临违法犯罪风险。企业或组织的经营模式由原来的“先发展后治理”转变为“边发展边治理”。

处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息。在建立健全隐私政策和执行符合实际企业或组织需求的个人信息保护策略同时，企业或组织要抓紧转变当前的经营模式，除去大数据杀熟、调整App个性化推荐的方案、梳理广告投放方案等内容，还需根据合规的要求调整业务逻辑，比如减少诱导性下载，诱导用户注册以及通过线下推广等方式获取用户信息的行为，实现业务内容的良性发展。

2. 组织与制度——跨部门协作导致合规成本升高

相对于以往发展模式，企业或组织在稳步经营的前提下，需要增加额外资源对新的合规要求进行及时响应。根据合规要求，企业或组织需要投入资源在管理制度、人力资源、技术保障方面进行完善。

随着监管机构对合规问题的越来越重视，未来会有更多的App会被纳入监管的检测、通报和下架的范围之中，如何在业务持续不断开拓创新与为用户提供更好更安全更尊重的个人信息保护体验之间，建立有力的可落地完备的解决方案是当前合规面临的主要难题，而“有力的落地方案”是企业或组织内部多部门协作的结果。而企业或组织需要根据法规要求，设置“数据安全负责人”、“个人信息保护负责人”，而这个“负责人”需要协调公司的安全、IT、产品线、测试线、法务、企业或组织政府关系以及客服等多个部门才可体系化的完善公司合规方案，避免公司运营过程中的合规风险。

3. 人员与技术——多学科交叉导致合规效果不理想

个人信息保护是典型的多学科交叉领域，个人信息保护既是行政法问题，也是技术规则问题，存在于所有涉及行政监管的领域，需要“技管结合”，概括起来包括三个方面。

（1）个人信息保护规范制定：需要专业的法律界人士、具备丰富合规建设经验企业或组织人士和具备专业技术检测能力的业内人士。

（2）个人信息保护行为检测：也需要专业的法律人员和技术人员配合。

（3）个人信息违规行为处罚：更是一个复杂领域“鉴定”结果认定过程。

因此，单纯从隐私政策或者违规行为检测任一一个方向都无法彻底解决合规治理不理想的问题，需要从技术检测、管理跟进和法律服务等多维度进行综合治理。

从历史被通报的App合规问题来看，典型的违规场景如第三方SDK违规收集、用户同意前收集、后台静默收集、高频收集、隐私政策明示不到位、未提供投诉举报方式、历史版本遗留问题等，既有技术手段检测的内容，又有法律框架合规内容，同时也有企业或组织内部管理上的问题。

4. 目标与过程——合规建设的复杂性与持续性

由于立法、标准和规范相对滞后，移动互联网应用个人信息保护水平参差不齐，用户信息强制收集、过度收集、非授权转移共享、个性化展示、定向推送不规范、账户注销难等问题严重侵害了广大人民群众的切身利益。个人信息保护工作涉及政府监管、企业或组织自律与群众举报等多个方面。在互联网已经深入到经济建设的方方面面，合规工作不仅包括“健全隐私政策，减少个人信息的使用，修改公司产品”等几项内容，还需要考虑其所属的行业（比如，电子政务、金融支付、电力能源、交通运输等）进行针对性治理。

互联网服务提供商产品的更新速率远远超过传统制造型的产品，其主要特点如下。

产品生命周期短：部分企业或组织提供互联网产品服务后可能由于业绩不能达到预期很快下架了该产品甚至是重新开发产品。

产品更新频率快：产品上市初期部分产品甚至每周1更，即使产品稳定后也基本保持每两周1更的频率。

企业或组织并购融合多：当前互联网企业或组织间存在各种各样的投资与并购，这种情况个人信息流转将不可避免并且过程中存在管理缺失。

实际上个人信息保护建设工作无法做到一劳永逸，综合考虑互联网企业或组织自身的特点以及其服务的行业特点，个人信息保护建设工作将是一个复杂而持续的过程。

延伸阅读

更多内容 可以 个人信息保护合规建设桔皮书. 进一步学习

联系我们

T-CWAN 0002—2017 焊接车间烟尘卫生标准.pdf