个人信息保护法呼之欲出，企业怎样避免被开天价罚单？

10月13日，个人信息保护法草案提请十三届全国人大常委会初次审议。这意味着，我国第一部聚焦个人信息保护突出问题、落实个人信息保护责任的法律离我们越来越近了。


个人信息裸奔是谁之责？

根据草案说明，截至2020年3月，我国互联网用户已达9亿，互联网网站超过400万个，应用程序数量超过300万个。

庞大的用户体量和丰富的应用所构建、承载的数据，是众多互联网企业最核心的资产，企业的收入和市值，都建立在海量的用户数据上。但对于个人来说，却频频陷入网络记录被擅自调用进行推销、登记的个人信息被泄露外传、不授权就不让使用APP等个人隐私毫无保障却束手无策的境地。

遗憾的是，作为信息收集方的企业和作为被收集方的个人，在面对信息的处理上，他们所处的地位天然就不对等。作为信息的所属者，个人首当其冲地承担着信息被外泄、被滥用的风险，而个人信息的保护又存在着技术、制度等方面的客观挑战，因而整体的风险更多地存在于收集、存储、处理个人信息的一方。

今年3月，微博因用户查询界面被恶意调用导致App数据泄露，新浪被工信部约谈责令整改；10月，上海网信办抽查23个本地常用APP的用户个人信息获取情况，发现几乎都有过度索取权限的问题。个人信息裸奔的现象需要从源头治理，本次草案已明确规定掌握个人信息的国家机关及网络服务提供者必须主动承担起保护个人信息安全的主体责任。


违法处理个人信息，最高处罚营业额 5%

本次草案的一大亮点，还在于对违法处理个人信息的处罚力度上，具体包括：

违规处理个人信息，或者处理个人信息未按照规定采取必要的安全保护措施的，由履行个人信息保护职责的部门责令改正，没收违法所得，给予警告；拒不改正的，并处一百万元以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

上述违法行为情节严重的，由履行个人信息保护职责的部门责令改正，没收违法所得，并处五千万元以下或者上一年度营业额百分之五以下罚款，并可以责令暂停相关业务、停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照。

营业额5%的最高处罚力度，甚至已经超过了在个人信息保护方面的“最严”担当——欧盟的《通用数据保护条例》（GDPR）。2018年，英国航空公司因客户信息被黑客盗取而遭到监管部1.83亿英镑的罚款，这也被认为是欧盟历史上的最高罚单。相信这足够引起互联网企业对于用户隐私保护的重视，除了不要主动“耍流氓”，如何切实保护好用户的个人信息，如何合规地处理这些数据，是目前企业们最迫切面临的问题。


保护用户个人信息安全，企业应该怎么做？

虽说常规的安全防护措施基本家家都有，但数据泄漏事件依然频频爆发，这也映射出企业在数据防护思维和体系上的缺失。传统安全架构中，防护手段偏向于“哪儿漏补哪儿”，在数据无处不在并且高速流转的现在，单点防护已经难以达到“真正有效”。

企业应该转向以数据为中心建立全生命周期的保护策略。

1、实施数据分类分级。清查梳理数据资产，明确普通数据、敏感数据、机密数据的类别和等级，对不同类别的数据设置不同等级的安全策略。

2、建设管理制度并让保护方案落地。数据保护既是技术问题也是管理问题，数据防护的技术与产品是为了让制度落地，比如利用工具盘点数据资产，快速理清数据分级和资源分配；重视运维审计和数据库审计，对危险行为实时告警，对潜在风险进行挖掘。遵循数据创建、存储、传输、使用到销毁的流转方向，根据不同的数据敏感等级及数据使用状态，统筹规划相应的数据加密、脱敏、审计等数据保护策略，确保数据安全全程可控。充分应用先进的数据保护技术，比如对核心数据加密存储，通过数据库防火墙防止漏洞与攻击，通过数据脱敏实现个人敏感数据的匿名化，通过数字水印实现溯源处理。

3、强化安全运营。安全保障务必要覆盖从事前到事中到事后的全流程，建立起预防、检测、响应的运营体系，充分发挥人员、工具与方法的结合能力。这一点在已经执行的《中华人民共和国网络安全法》中就有指出，在本次的草案之中再次进行了强调，可见安全运营的保障措施将逐步成为安全建设体系的“标配”环节，网络服务提供者请务必重视。

随着发展，数据保护的方式逐渐从技术手段或产品堆砌转变为包括了人员、机制、工具、技术等在内的数据安全治理的综合体系。国际上，苹果的个人信息和隐私安全保护措施有目共睹，比如在线服务会使用传输层安全协议等加密技术，当收集个人数据时系统会明确告知用户，存储用户的个人数据时会使用具有有限访问权限的电脑系统等等。

我们再看国内，小米于2014年就已经成立了信息安全与隐私委员会，通过技术防护、流程制度、评估和审查机制形成了一套完整的安全与隐私管理体系。其实相应的案例还有很多，我们可以看到越来越多的网络服务提供者在重视这一领域，但我们同时也要看到，仍有大量的网络服务提供者未能在个人信息层面做到切实有效的保护，这也是为什么个人信息泄露、盗用等现象时常出现在新闻上。

保护个人信息，从安全意识的根植培养到防护保障的施行不会是一蹴而就的事，而是一件持续且困难的事，个人信息保护法草案的出台一定会有利于唤醒业内对于数据安全的重视，让更多的企业开始重视对个人信息的保护，完善和强化保护措施，这对于中国这样一个互联网大国而言，是非常必要的。