个保法一周年 | 数安行提供合规参考 筑好个人信息安全堤坝

2022年11月1日，我国第一部个人信息保护相关的法律《中华人民共和国个人信息保护法》（以下简称《个保法》）正式实施一周年。依据《个保法》，数安行结合最高人民法院、相关地区互联网法院公布的相关典型案例，为相关企业提供合规参考。

《个保法》对企业保障用户个人信息安全提出多方面要求。其强调企业要遵从“告知——同意”原则，并要求应当以显著方式、清晰易懂的语言，真实、准确、完整地向用户告知相关信息如个人信息的处理目的等。另外，不得过度收集个人信息、不得擅自披露个人信息、不得拒绝提供产品或服务、不得大数据“杀熟”也是《个保法》对企业提出的重点要求。作为数据处理方，企业需保障个人信息安全，采取相应措施确保个人信息处理活动符合法律、行政法规的规定，并防止未经授权的访问以及个人信息泄露、篡改、丢失。含个人信息在内的数据跨境需提审也是合规重点，确保障国家安全。最后《个保法》要求企业定期开展合规审计，保存至少三年的评估报告和处理情况记录。

为达到《个保法》要求，企业需解决诸多挑战。例如，医疗机构的业务几乎都涉及病患信息数据的处理，这也要求医疗机构需要对数据有全景式的了解并能进行数据安全评估等；再如，金融机构应用人脸识别技术十分广泛，这存在数据滥用与泄露风险，金融机构在处理个人信息时应当具有明确、合理的目的，并应当限于实现处理目的的最小范围，不得进行与处理目的无关的个人信息处理等。总之，企业需要慎重对待个人信息，在其整个生命周期内进行保护，确保数据安全流动。

数安行专注于数据安全领域，针对于此，为企业合规提供参考，帮助其顺利开展相应业务。融合了DataSecOps理念的数据运营安全平台能够对个人信息类数据特征进行分析，并与分布式数据沙盒协作，获得详细个人信息的分布，创建全景视图，并对个人信息进行分类分级、标注跟踪、快速溯源，从而帮助企业进行个人信息合规检查，个人信息合规评估，个人信息安全保护，确保个人信息安全，确保企业业务安全。

数安行关注到，国家机关依据《个保法》处罚的企业涉及各行各业。2022年2月25日，某网络科技公司因违反便于查阅原则等，被责令停业停产；2022年3月10日，某证券投资咨询公司因存在Janus签名机制漏洞等，被责令停业停产；2022年4月21日，某电子公司非法获取、出售个人信息，被责令停产停业；2022年5月10日，某电脑科技公司因未按规定告知用户安全风险，被责令停产停业；2022年7月21日，某全球股份有限公司因过度收集个人信息等被处罚80.26亿元不等；另外，网安部门对企业是否合规进行了多频次检查，检查中，多家企业未达到要求，被行政警告。

一年来，有关个人信息保护案件频频发生，这向我们发射了三方面信号，其一，用户越来越注重个人信息安全；其二，对企业处理个人信息的要求越来越高，常态化检查成为必然；其三，国家越来越重视个人信息安全，其关乎国家安全。根据《个保法》要求，企业需确保对个人信息的保护必须要覆盖数据的全生命周期，包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。企业既要做好在收集数据时与用户达成协定等，也要在其他环节保证合规。这要求企业精确到单个数据在其整个生命周期内的流动，并进行跟踪与防护，确保数据安全的流动。

数安行数据运营安全平台能符合企业合规需要。一方面，数安行平台能够帮助企业梳理各种类型数据，并创建自动创建数据资产分类目录及存储目录，支持数据多维度快速检索，并感知数据风险，精确于每个数据，囊括于其整个生命周期。另一方面，数安行平台对非法设备或非授权访问自动隐藏关键业务，对合法用户及授权设备进行持续的数据安全风险评估，并基于零信任数据安全架构，以自适应无感数据安全沙箱技术为核心，创建普通数据与敏感数据的隔离使用环境，保证数据线上、线下同样安全可控，防止各种违规下载、有意或无意扩散、数据滥用等风险，有效防止恶意软件勒索攻击、用户恶意泄露等危险行为的发生。

数字时代，保障好个人信息权益，不仅仅是用户的期盼，法律的要求，也是企业数字化发展的必经之路。

北京数安行科技有限公司以数据运营安全为理念，以AI人工智能技术为核心驱动，聚焦数据运营安全，助力数字化转型，致力于让用户的数据安全地创造价值。公司以承载和保护每一个用户的数据运营安全为愿景，持续创新，合作共赢，成就用户。公司核心团队拥有十余年网络安全与数据安全经验，服务于政府、军工、金融、运营商、互联网、教育、高端制造等各行业客户。

数据运营安全（DataSecOps）核心是在数据运营中内嵌数据安全属性，解决数据运营过程中的数据安全问题，以一个产品或平台的方式运行。其目标是在不影响数据业务流程正常运行的情况下更有效的保护组织内的敏感数据资产，对敏感数据的扩散及滥用风险进行快速响应，将数据安全防护策略传递至参与数据运营的所有人员。