2021年8月20日,《个人信息保护法》正式通过,并将于2021年11日1日正式施行。《个人信息保护法》的诞生,标志着我国网络数据安全法律体系中继《国家安全法》、《网络安全法》、《密码法》、《数据安全法》和《民法典》之后,具有重要意义的一块拼图终于完成,为数字时代的网络安全、数据安全、个人信息权益保护提供了基础制度保障,具有划时代的意义。个人信息保护法共8章74条,以严密的制度、严格的标准、严厉的责任,构建了权责明确、保护有效、利用规范的个人信息处理和保护制度规则。
一、明确了保护的对象
自然人个人信息,旨在实现个人信息保护与利用二者的平衡。在保护个人信息的基础上合法利用个人信息,在合法利用个人信息的过程中持续保护个人信息。《个人信息保护法》明确指出:通过自动化决策方式向个人进行信息推送、商业营销,应提供不针对其个人特征的选项或提供便捷的拒绝方式;处理生物识别、医疗健康、金融账户、行踪轨迹等敏感个人信息,应该取得个人的单独同意;对违法处理个人信息的应用程序,责令暂停或者终止提供服务;
二、明确了个人信息处理者的权利和义务
要利用安全技术措施保证信息的安全。如要对个人信息实行分类管理;采取相应的加密、去标识化等安全技术措施;
三、对重要互联网平台、履行个人信息保护职责的部门等提出了具体要求
要遵循公开、公平、公正的原则,制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务。定期发布个人信息保护社会责任报告,接受社会监督。组织对应用程序等个人信息保护情况进行测评,并公布测评结果等。
四、明确违反该法规的处罚责任
从行政责任、民事责任和刑事责任三个维度对违反该法的组织、个人进行了约束。当组织、个人风险对个人信息产生风险和危害时,法律通过义务和责任的方式对组织、个人进行规范和约束,设定了保护个人信息的屏障 。自然人因个人或者家庭事务处理个人信息的,不适用本法。
五、密码技术在该法规中的体现——以第51条为例
通过对条文的详细分析,使用安全技术措施对个人信息进行安全技术措施保护,是《个人信息保护法》规定的个人信息安全保护义务的基本要求。《个人信息保护法》明确提出了对存储的静态数据,传输中的动态数据,以及随时处于流动的个人信息数据采取符合法律要求、行业标准和保护惯例的技术措施。其中,《个人信息保护法》要求的信息加密,则成为了安全技术措施的基本实现手段。通过部署加密技术进行数据保护是较优的实践选择。同时,密码技术也有多种组合方式,具体体现在第51条规定的 “加密、去标识化”安全技术措施之中。
密码技术是整部法规落地的基石,其中信息加密需要遵循《密码法》规定的密码使用原则,遵循国家标准《信息安全技术信息系统密码应用基本要求》GB/T 39786-2021和《信息安全技术个人信息安全规范》GB/T 35273-2020的相关规定和要求,可以在个体基础上,采用数字证书及相关密码技术、实现细粒度对个人信息的加密、去标识化要求,并通过身份认证、签名等技术手段实现个人信息的访问控制、一致性验证以及不可否认性等保护措施。
《个人信息保护法》的施行,已成为组织、个人信息合规的重要法律来源与依据,具有重大现实意义。个人信息安全直接影响到国家发展和社会稳定,其发展必将推动国家安全的整体飞速发展。
吉大正元作为国内知名的信息安全产品、服务及解决方案提供商,电子认证领域的领先企业。自1999年成立以来,公司始终以密码技术为核心,开展信息安全产品的研发、生产和销售及服务,提供基于密码的可信身份认证及可信数据保障等安全解决方案。公司通过持续技术研发,积累了数字证书、数字加密、数字签名、身份认证、访问控制等关键技术,实现了密码与安全领域的多项突破,为云计算、大数据、物联网、区块链、移动互联、智能计算等领域提供安全技术支撑与保障。全面助力国家安全体系建设与发展,构建网络安全守护屏障。
在新形势、新机遇下,吉大正元将立足信息安全行业、发挥品牌优势、融合先进技术、担负企业责任,紧跟数字时代发展脉搏,推进我国信息安全产业高质量发展,为中国软件和信息化发展构建安全基础设施,为数字化、信息化应用普及提供安全护航,全力推动信息安全产业发展!
如若转载,请注明原文地址