歷經三次評審，《個人信息保護法》于8月20日正式出臺，在期間進行的所有改動當中，在第一章第一條中加入“依據憲法，制定本法”一項頗為惹眼，這是在各種網絡安全相關法律中不曾出現過的，在數字化改革如火如荼、國家級信息安全事件頻出，人權指控四起的特殊時期，本法的出臺可謂意義重大，預示著未來數據安全尤其是個人信息保護將進入一個全新時代。

　　法律全文分為八大章節共計七十四條，從原則、個人信息處理規則、敏感個人信息處理規則、個人信息跨境處理規則、個人信息主體權益、個人信息處理者義務、主管部門及其責任和法律責任幾個方面對個人信息的處理過程做了法律約束。

　　法律說了什么？

　　立法對象是誰？

　　個人/自然人：

　　個人信息的主體

　　個人信息處理者：

　　一般個人信息處理者

　　境外個人信息處理者

　　重要互聯網平臺服務、用戶數量巨大、業務類型復雜的個人信息處理者

　　需要處理個人信息的國家機關

　　監管單位：

　　網信和相關監管單位

　　世平說：

　　相較于網絡安全其他法律法規，立法對象多了“你我”，涉及信息安全和人權，也是本法的相對特別之處。

　　立法目的是什么？

　　為了保護個人信息權益

　　規范個人信息處理活動

　　促進個人信息合理利用

　　——第一條

　　世平說：

　　開宗明義

　　什么是個人信息？

　　個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理后的信息。

　　——第四條

　　敏感個人信息是一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息。

　　——第二十八條

　　世平說：

　　與《個人信息安全規范》中定義一致，明確了技術層面所要保護的對象，保護個人信息安全的前提是能夠準確的識別定位個人信息。

　　個人信息權益有哪些？

　　個人對其個人信息的處理享有知情權、決定權，有權限制或者拒絕他人對其個人信息進行處理

　　——第四十四條

　　撤回同意

　　——第十五條

　　未滿十四周歲個人信息保護

　　——第二十八條

　　查閱、復制本人個人信息

　　——第四十五條

　　更正、補充本人個人信息

　　——第四十六條

　　要求刪除本人個人信息

　　——第四十七條

　　要求對個人信息處理規則進行解釋說明

　　——第四十八條

　　近親對死者信息查閱、復制、更正、刪除

　　——第四十九條

　　訴訟

　　——第五十條

　　世平說：

　　數據也是資產，對于屬于個人的資產，我們有權決定其如何被使用。

　　什么是個人信息處理活動？

　　個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等。

　　——第四條

　　世平說：

　　也就是我們常說的數據安全生命周期。

　　合理利用如何體現？

　　個人在充分知情條件下自愿、明確同意

　　——第十三、十四條

　　不得以個人不同意為由拒絕提供服務

　　——第十六條

　　個人信息處理需告知信息主體

　　——第十七條

　　個人信息最短時間保存

　　——第十九條

　　委托處理規范

　　——第二十一條

　　變更需告知個人信息主體

　　——第二十二、二十三條

　　不得大數據殺熟

　　——第二十四條

　　社會探頭需顯著標識

　　——第二十六條

　　公開個人信息相對自由處理

　　——第二十七條

　　敏感個人信息處理規則

　　——第二章第二節

　　個人信息跨境規則

　　——第三章第二節

　　世平說：

　　規范了個人信息的收集和使用，未來可能作為個人信息合規評估的主要控制項，也是個人信息維權訴訟的比較集中的方面，個人信息處理者應基于此積極開展合規自評估。

　　監管單位做什么？

　　網信負責個人信息保護和監督管理工作

　　——第六十條

　　職責：

　　宣傳教育、指導監督

　　接受處理投訴和舉報

　　組織測評

　　調查、處理違法活動

　　——第六十一條

　　統籌推進：

　　制定具體規則、標準

　　支持新技術開發、推廣

　　支持有關機構開展個人信息保護評估、認證服務

　　完善投訴、舉報機制

　　——第六十二條

　　約談、要求整改、移送公安

　　——第六十四條

　　世平說：

　　不同于公安主導的等級保護，個人信息保護由網信牽頭，應該會建立一套獨立的要求規范、檢查、測評標準。

　　個人信息處理者做什么？

　　組織、開展個人信息保護工作：

　　指定內部管理制度和操作規程

　　個人信息分類管理

　　采用加密、去標識化等安全技術措施

　　權限分配和教育培訓

　　指定應急預案

　　——第五十一條

　　專職專崗并備案

　　——第五十二條

　　境外個人信息處理者在境內職責

　　——第五十三條

　　個人信息合規審計

　　——第五十四條

　　個人信息保護影響評估

　　——第五十五、五十六條

　　事件響應

　　——第五十七條

　　重要互聯網平臺服務、用戶數量巨大、業務類型復雜的個人信息處理者：

　　形成第三方個人信息合規審計機制

　　明確規范和義務

　　定期發布個人信息保護社會責任報告

　　——第五十八條

　　世平說：

　　對個人信息處理者提出的個人信息保護的內控要求，除了技術措施層面，著重提出了個人信息安全自審自評估要求，針對大型互聯網服務平臺，更要形成第三方的外審機制。

　　如何懲戒？

　　世平說：

　　情節嚴重的處罰金額百分比甚至超過號稱史上最嚴的GDPR，各單位注意，這不是演習。

　　法律沒說什么？

　　如何落地？

　　法律的落地往往通過案件訴訟、執法檢查等方面得以體現，執法檢查過程中的檢查方和被查方都要遵從統一的技術標準，針對本法，從措辭和立意來看，對應的技術規范應該是《GBT 35273-2020 信息安全技術 個人信息安全規范》，其中對個人信息的具體定義以及應采用的保護措施如匿名化、去標識化等，對信息主體和信息處理者的義務和責任都有細致描述，可作為個人信息安全機制落地的參考。

　　除此之外，法律中所提到的多項評估和審計要求，除了“個人信息保護影響評估”、 “個人信息和重要數據出境安全評估”有相關規范外，相關的測評、評估標準尚不完善，相信這將是未來網信部門在制度、標準建立職責中的重要工作之一。

　　未來趨勢？

　　隨著法規標準的不斷完善、安全事件的發酵推動，數據安全原本作為網絡安全的其中一環，由于其涉及公民權益、國家安全，在可見的將來很有可能形成獨立于傳統網絡安全的法規、監管、建設體系，在原有的對于安全性要求的基礎上，更多的涉及業務合規的檢查和測評要求。

　　同時，由于適用對象從原本只有網絡安全的網絡運營者和監管機構，到加入個人信息主體，也就是公民大眾，在個人信息維權領域應該會引來一波訴訟熱潮，使得數據安全至少在合規層面，短時間內會有較大的市場需求。

　　個人做什么？

　　抱怨無盡的推送廣告？

　　懷疑有人泄露自己的信息？

　　被悄無聲息的大宰一刀才后知后覺？

　　……

　　如果說在這之前這滿頭的問號還無處安放，這滿腔的怨惱還無處宣泄，那么從此刻起，請拿起法律的武器像捍衛“毛主席”一樣捍衛自己的個人信息權益吧，當然，與便利相比可能這微不足道，但作為個人來說，一部特別標明“基于憲法制定”的法律所賦予我們的權利，即便不行使，也請熟讀一百遍啊，一百遍。

　　世平信息怎么說？

　　杭州世平信息科技有限公司借助多年數據安全領域的技術和服務能力，以數據內容識別技術為核心，結合多行業數據安全項目建設經驗，提供從敏感信息的分布發現、加密脫敏、泄露防護到數據安全合規評估在內十余種數據安全保障措施，緊密貼合《個人信息保護法》所提出的技術和服務要求，為用戶提供數據安全合規性檢測與監管、數據資產分類分級發現與管理、以數據為中心的數據安全防護和業務驅動的精細化數據安全管控等業界前沿能力，滿足合規性管控和內生性防護需求，實現針對個人信息安全的全面、有效監控與防護。