在網(wǎng)絡(luò)多元化的今天,信息化的發(fā)展帶給人們諸多便利,從生活、娛樂(lè)到工作,數(shù)字化的推進(jìn)雖然滿足了生活、工作的需求,但隨之而來(lái)的弊端也逐漸顯露,軟件開(kāi)發(fā)商過(guò)度收集個(gè)人信息以及頻頻爆出的信息泄露等事件給個(gè)人信息安全埋下隱患,加大個(gè)人信息保護(hù)力度成當(dāng)務(wù)之急。
十三屆全國(guó)人大常委會(huì)第三十次會(huì)議20日表決通過(guò)《中華人民共和國(guó)個(gè)人信息保護(hù)法》,自2021年11月1日起施行。《個(gè)人信息保護(hù)法》的頒布體現(xiàn)出國(guó)家對(duì)個(gè)人信息安全的重視,公民的人格尊嚴(yán)不受侵犯,公民的通信自由和通信秘密受法律保護(hù),因此條例的實(shí)施對(duì)于保障公民的人格尊嚴(yán)和其他權(quán)益具有重要意義。
作為個(gè)人信息安全保護(hù)的基礎(chǔ)性法律,《個(gè)人信息保護(hù)法》的頒布有利于震懾一些通過(guò)不當(dāng)途徑獲取個(gè)人信息的不法之徒,避免企業(yè)對(duì)此類數(shù)據(jù)使用不當(dāng)給個(gè)人造成的財(cái)產(chǎn)損失和精神損失。
然而應(yīng)對(duì)《個(gè)人信息保護(hù)法》的頒布,企業(yè)應(yīng)該如何應(yīng)對(duì)個(gè)人信息保護(hù)的監(jiān)管要求?
針對(duì)企業(yè)內(nèi)部個(gè)人信息安全已存在或可能面臨的安全問(wèn)題,為應(yīng)對(duì)行業(yè)監(jiān)管要求,提升個(gè)人信息整體安全防護(hù)效果,企業(yè)應(yīng)從內(nèi)部系統(tǒng)安全建設(shè)著手,制定關(guān)于個(gè)人信息保護(hù)的管理措施。
#
建立健全個(gè)人信息保護(hù)制度
條例第九條、六十五條對(duì)此進(jìn)行了規(guī)定,個(gè)人信息處理者、企業(yè)必須按照規(guī)定對(duì)個(gè)人信息采取必要的安全保護(hù)措施。簡(jiǎn)單來(lái)說(shuō)就是企業(yè)應(yīng)當(dāng)制定內(nèi)部的個(gè)人信息保護(hù),對(duì)個(gè)人信息實(shí)行分級(jí)分類管理,采取相應(yīng)的加密、去標(biāo)識(shí)化等安全技術(shù)措施。對(duì)此,企業(yè)應(yīng)建立和完善內(nèi)部個(gè)人信息管理制度。
#
采取必要措施確保個(gè)人信息被竊取、篡改、刪除
第五十一條 個(gè)人信息處理者應(yīng)當(dāng)根據(jù)個(gè)人信息的處理目的、處理方式、個(gè)人信息的種類以及對(duì)個(gè)人的影響、可能存在的安全風(fēng)險(xiǎn)等,采取必要措施確保個(gè)人信息處理活動(dòng)符合法律、行政法規(guī)的規(guī)定,并防止未經(jīng)授權(quán)的訪問(wèn)以及個(gè)人信息泄露或者被竊取、篡改、刪除。因此企業(yè)需要通過(guò)技術(shù)手段保障個(gè)人信息數(shù)據(jù)的安全性。
#
保障個(gè)人信息的安全性
第十條任何組織、個(gè)人不得非法收集、使用、加工、傳輸他人個(gè)人信息,不得非法買賣、提供或者公開(kāi)他人個(gè)人信息;不得從事危害國(guó)家安全、公共利益的個(gè)人信息處理活動(dòng)。對(duì)企業(yè)來(lái)說(shuō),遭遇黑客入侵通常是用戶信息泄露的主因,所以系統(tǒng)的安全性作為防范數(shù)據(jù)泄露的重要手段之一,是企業(yè)應(yīng)該重視的。
對(duì)企業(yè)來(lái)說(shuō),要做到個(gè)人信息安全保護(hù),滿足條例規(guī)范要求,需要將這些收集數(shù)據(jù)的各種實(shí)體或組織建立完善的信息安全管理機(jī)制,并通過(guò)技術(shù)手段來(lái)加強(qiáng)對(duì)個(gè)人信息的保護(hù)。
■ 構(gòu)建數(shù)據(jù)持續(xù)安全:企業(yè)需要組織構(gòu)建全面的身份治理體系,以人的身份、權(quán)限控制與訪問(wèn)行為為核心,統(tǒng)一管理身份數(shù)據(jù)、權(quán)限等。對(duì)企業(yè)來(lái)說(shuō),龐大的用戶身份數(shù)據(jù)管理是難點(diǎn),管理不當(dāng)、或者員工的誤操作都有可能導(dǎo)致系統(tǒng)被入侵。解決絕龐大用戶身份數(shù)據(jù)的管理問(wèn)題,給用戶身份數(shù)據(jù)提供一個(gè)安全平臺(tái)可以助力構(gòu)建企業(yè)數(shù)據(jù)的持續(xù)安全。
■ 應(yīng)對(duì)監(jiān)管要求和應(yīng)對(duì)風(fēng)險(xiǎn): 通過(guò)構(gòu)建統(tǒng)一身份管理,有效管理相關(guān)個(gè)人信息的使用是否已經(jīng)征得用戶同意,在特殊情形下可快速應(yīng)對(duì),如個(gè)人信息的處理目的、處理方式和處理的個(gè)人信息種類發(fā)生變更的,應(yīng)當(dāng)重新取得個(gè)人同意;或個(gè)人信息在一處撤回同意時(shí),可同時(shí)撤回其他處個(gè)人信息的授權(quán)。實(shí)現(xiàn)對(duì)身份數(shù)據(jù)的統(tǒng)一管理可以做到數(shù)據(jù)風(fēng)險(xiǎn)可管控、可追溯,可預(yù)防,可審計(jì),以此來(lái)滿足《個(gè)人信息保護(hù)法》對(duì)數(shù)據(jù)安全的監(jiān)管和風(fēng)險(xiǎn)控制要求。
■ 滿足個(gè)人信息保護(hù)需求:利用統(tǒng)一身份管理平臺(tái)來(lái)統(tǒng)一管理用戶信息,形成C端用戶OneID,保障個(gè)人信息的準(zhǔn)確完整。利用零信任安全架構(gòu),保障所收集的個(gè)人信息安全,加強(qiáng)對(duì)信息使用人的身份鑒別與訪問(wèn)控制,保障個(gè)人信息合法安全使用。
作為國(guó)內(nèi)一體化零信任安全廠商,派拉推出的一體化零信任安全解決方案,是基于信息安全生命周期各階段場(chǎng)景,以一體化零信任安全為核心,搭配若干數(shù)據(jù)安全工具與服務(wù),解決統(tǒng)一賬號(hào)管理、統(tǒng)一認(rèn)證管理、統(tǒng)一應(yīng)用管理、統(tǒng)一授權(quán)和透明審計(jì)等數(shù)據(jù)敏感問(wèn)題,提升企業(yè)整體對(duì)個(gè)人信息安全的治理能力,實(shí)現(xiàn)企業(yè)對(duì)個(gè)人信息的保護(hù)需求。我們以“創(chuàng)造安全、高效、極致體驗(yàn)的數(shù)字世界”為愿景,全方位助力企業(yè)建立健全個(gè)人信息保護(hù)合規(guī)制度體系,為推動(dòng)數(shù)字經(jīng)濟(jì)健康發(fā)展做出應(yīng)有的貢獻(xiàn)!