在網(wǎng)絡(luò)多元化的今天,信息化的發(fā)展帶給人們諸多便利,從生活、娛樂到工作,數(shù)字化的推進雖然滿足了生活、工作的需求,但隨之而來的弊端也逐漸顯露,軟件開發(fā)商過度收集個人信息以及頻頻爆出的信息泄露等事件給個人信息安全埋下隱患,加大個人信息保護力度成當(dāng)務(wù)之急。
十三屆全國人大常委會第三十次會議20日表決通過《中華人民共和國個人信息保護法》,自2021年11月1日起施行。《個人信息保護法》的頒布體現(xiàn)出國家對個人信息安全的重視,公民的人格尊嚴(yán)不受侵犯,公民的通信自由和通信秘密受法律保護,因此條例的實施對于保障公民的人格尊嚴(yán)和其他權(quán)益具有重要意義。
作為個人信息安全保護的基礎(chǔ)性法律,《個人信息保護法》的頒布有利于震懾一些通過不當(dāng)途徑獲取個人信息的不法之徒,避免企業(yè)對此類數(shù)據(jù)使用不當(dāng)給個人造成的財產(chǎn)損失和精神損失。
然而應(yīng)對《個人信息保護法》的頒布,企業(yè)應(yīng)該如何應(yīng)對個人信息保護的監(jiān)管要求?
針對企業(yè)內(nèi)部個人信息安全已存在或可能面臨的安全問題,為應(yīng)對行業(yè)監(jiān)管要求,提升個人信息整體安全防護效果,企業(yè)應(yīng)從內(nèi)部系統(tǒng)安全建設(shè)著手,制定關(guān)于個人信息保護的管理措施。
#
建立健全個人信息保護制度
條例第九條、六十五條對此進行了規(guī)定,個人信息處理者、企業(yè)必須按照規(guī)定對個人信息采取必要的安全保護措施。簡單來說就是企業(yè)應(yīng)當(dāng)制定內(nèi)部的個人信息保護,對個人信息實行分級分類管理,采取相應(yīng)的加密、去標(biāo)識化等安全技術(shù)措施。對此,企業(yè)應(yīng)建立和完善內(nèi)部個人信息管理制度。
#
采取必要措施確保個人信息被竊取、篡改、刪除
第五十一條 個人信息處理者應(yīng)當(dāng)根據(jù)個人信息的處理目的、處理方式、個人信息的種類以及對個人的影響、可能存在的安全風(fēng)險等,采取必要措施確保個人信息處理活動符合法律、行政法規(guī)的規(guī)定,并防止未經(jīng)授權(quán)的訪問以及個人信息泄露或者被竊取、篡改、刪除。因此企業(yè)需要通過技術(shù)手段保障個人信息數(shù)據(jù)的安全性。
#
保障個人信息的安全性
第十條任何組織、個人不得非法收集、使用、加工、傳輸他人個人信息,不得非法買賣、提供或者公開他人個人信息;不得從事危害國家安全、公共利益的個人信息處理活動。對企業(yè)來說,遭遇黑客入侵通常是用戶信息泄露的主因,所以系統(tǒng)的安全性作為防范數(shù)據(jù)泄露的重要手段之一,是企業(yè)應(yīng)該重視的。
對企業(yè)來說,要做到個人信息安全保護,滿足條例規(guī)范要求,需要將這些收集數(shù)據(jù)的各種實體或組織建立完善的信息安全管理機制,并通過技術(shù)手段來加強對個人信息的保護。
■ 構(gòu)建數(shù)據(jù)持續(xù)安全:企業(yè)需要組織構(gòu)建全面的身份治理體系,以人的身份、權(quán)限控制與訪問行為為核心,統(tǒng)一管理身份數(shù)據(jù)、權(quán)限等。對企業(yè)來說,龐大的用戶身份數(shù)據(jù)管理是難點,管理不當(dāng)、或者員工的誤操作都有可能導(dǎo)致系統(tǒng)被入侵。解決絕龐大用戶身份數(shù)據(jù)的管理問題,給用戶身份數(shù)據(jù)提供一個安全平臺可以助力構(gòu)建企業(yè)數(shù)據(jù)的持續(xù)安全。
■ 應(yīng)對監(jiān)管要求和應(yīng)對風(fēng)險: 通過構(gòu)建統(tǒng)一身份管理,有效管理相關(guān)個人信息的使用是否已經(jīng)征得用戶同意,在特殊情形下可快速應(yīng)對,如個人信息的處理目的、處理方式和處理的個人信息種類發(fā)生變更的,應(yīng)當(dāng)重新取得個人同意;或個人信息在一處撤回同意時,可同時撤回其他處個人信息的授權(quán)。實現(xiàn)對身份數(shù)據(jù)的統(tǒng)一管理可以做到數(shù)據(jù)風(fēng)險可管控、可追溯,可預(yù)防,可審計,以此來滿足《個人信息保護法》對數(shù)據(jù)安全的監(jiān)管和風(fēng)險控制要求。
■ 滿足個人信息保護需求:利用統(tǒng)一身份管理平臺來統(tǒng)一管理用戶信息,形成C端用戶OneID,保障個人信息的準(zhǔn)確完整。利用零信任安全架構(gòu),保障所收集的個人信息安全,加強對信息使用人的身份鑒別與訪問控制,保障個人信息合法安全使用。
作為國內(nèi)一體化零信任安全廠商,派拉推出的一體化零信任安全解決方案,是基于信息安全生命周期各階段場景,以一體化零信任安全為核心,搭配若干數(shù)據(jù)安全工具與服務(wù),解決統(tǒng)一賬號管理、統(tǒng)一認(rèn)證管理、統(tǒng)一應(yīng)用管理、統(tǒng)一授權(quán)和透明審計等數(shù)據(jù)敏感問題,提升企業(yè)整體對個人信息安全的治理能力,實現(xiàn)企業(yè)對個人信息的保護需求。我們以“創(chuàng)造安全、高效、極致體驗的數(shù)字世界”為愿景,全方位助力企業(yè)建立健全個人信息保護合規(guī)制度體系,為推動數(shù)字經(jīng)濟健康發(fā)展做出應(yīng)有的貢獻!