“歐盟數(shù)據(jù)憲章”-通用數(shù)據(jù)保護(hù)條例                                                                                                                                                                                                                                                                                                                     2018 年 5 月 25 日，歐盟通用數(shù)據(jù)保護(hù)條例（Generall Data Protection Regulation, GDPR）正式實施，在全球范圍內(nèi)產(chǎn)生廣泛影響。GDPR提出了個人數(shù)據(jù)保護(hù)六大原則：合法合理透明性原則、目的限制原則、最小化數(shù)據(jù)處理原則、數(shù)據(jù)準(zhǔn)確性原則、限制存儲期限原則、數(shù)據(jù)的完整性和保密性原則，在六大原則的指導(dǎo)下，通過一系列嚴(yán)格的問責(zé)機(jī)制，從系統(tǒng)設(shè)計和默認(rèn)設(shè)置著手的隱私保護(hù)（Data protection by design and by default）、保留處理活動記錄、實施安全保障措施、數(shù)據(jù)泄露報告與通知、數(shù)據(jù)保護(hù)影響評估、事先協(xié)商、設(shè)置數(shù)據(jù)保護(hù)官等措施，對數(shù)據(jù)主體的知情權(quán)、訪問權(quán)、糾正券、刪除權(quán)（被遺忘權(quán)）、限制處理權(quán)、可移植權(quán)（可攜帶權(quán)）、拒絕權(quán)和與自動化個人決策相關(guān)權(quán)利進(jìn)行保護(hù)。

GDPR要求數(shù)據(jù)控制者和處理者實施適當(dāng)?shù)募夹g(shù)和管理措施，并在必要時進(jìn)行審查和更新，盡管全文并未給出詳細(xì)的控制措施實施要求，但仍指出需對以下因素進(jìn)行著重考慮：

• 個人數(shù)據(jù)的匿名化和加密；
• 數(shù)據(jù)系統(tǒng)持續(xù)保持保密性、完整性、可用性以及恢復(fù)的能力；
• 在發(fā)生自然事故或者技術(shù)事故的情況下，個人信息的及時獲取以及再存儲能力；
• 對技術(shù)性及管理性措施的有效性定期進(jìn)行測試、訪問、評估，以確保處理過程的安全性。

需特別注意的是，GDPR關(guān)于“同意”的認(rèn)定標(biāo)準(zhǔn)較以往更為嚴(yán)格，且對兒童個人信息的保護(hù)更為注重。

國內(nèi)數(shù)據(jù)安全法律法規(guī)、政策標(biāo)準(zhǔn)

我國在多項法律中關(guān)注和強(qiáng)化對個人信息的保護(hù)。如2012年全國人大常委會通過了《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》；2015年《中華人民共和國刑法修正案（九）》中明確了對個人信息保護(hù)的規(guī)定；2016年《中華人民共和國網(wǎng)絡(luò)安全法》確定了個人信息保護(hù)的基本規(guī)則。2017年《中華人民共和國民法總則》中也明確規(guī)定了自然人的個人信息受法律保護(hù)。2019年《中華人民共和國電子商務(wù)法》中也納入了保護(hù)消費者個人信息等規(guī)定。除此以外《網(wǎng)絡(luò)安全等級保護(hù)條例（征求意見稿）》和《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例（征求意見稿）》中也對個人信息保護(hù)進(jìn)行了相關(guān)規(guī)定，要求網(wǎng)絡(luò)運營者落實重要數(shù)據(jù)和個人信息安全保護(hù)制度，采取保護(hù)措施，保障數(shù)據(jù)和信息在收集、存儲、傳輸、使用、提供、銷毀過程中的安全。

其中《中華人民共和國網(wǎng)絡(luò)安全法》在第四章 網(wǎng)絡(luò)信息安全部分，較大篇幅的對個人信息安全進(jìn)行了規(guī)定，并且明確規(guī)定了“任何個人和組織不得竊取或者以其他非法方式獲取個人信息，不得非法出售或者非法向他人提供個人信息”。為了落實《中華人民共和國網(wǎng)絡(luò)安全法》《消費者權(quán)益保障法》，2019年1月25日，中央網(wǎng)信辦、工業(yè)和信息化部、公安部、市場監(jiān)管總局正式對外發(fā)布《關(guān)于開展App違法違規(guī)收集使用個人信息專項治理的公告》。從中我們也看出政府治理違規(guī)收集使用個人數(shù)據(jù)方面的決心，專項治理公告中明確要求：

• App運營者收集使用個人信息時要嚴(yán)格履行《中華人民共和國網(wǎng)絡(luò)安全法》規(guī)定的責(zé)任義務(wù)，對獲取的個人信息安全負(fù)責(zé)，采取有效措施加強(qiáng)個人信息保護(hù)。
• 相關(guān)部門依法編制大眾化應(yīng)用基本業(yè)務(wù)功能及必要信息規(guī)范，并對用戶基數(shù)大、民眾密切相關(guān)的App隱私政策和個人信息收集使用情況進(jìn)行評估。
• 主管部門將加大對違法違規(guī)收集使用個人信息行為的監(jiān)管和處罰力度，包括依法暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照等處罰手段；
• 開展App個人信息安全認(rèn)證，同時也鼓勵運營者通過App個人信息安全認(rèn)證。

在個人信息安全標(biāo)準(zhǔn)方面，2018年5月1日，信安標(biāo)委組織制定的《信息安全技術(shù) 個人信息安全規(guī)范》正式實施，并于2019年1月30號公布二次修訂草案。這是國內(nèi)在個人信息安全保障方面的提升，在這部重磅的個人信息安全標(biāo)準(zhǔn)中明確了個人信息安全的基本原則，個人信息的收集、保存、使用、委托處理、共享、轉(zhuǎn)讓、公開披露的要求，個人信息安全事件處置和對組織的管理要求。同時相關(guān)的配套法規(guī)、標(biāo)準(zhǔn)也在陸續(xù)制定當(dāng)中，相信推出時間指日可待。

雖然國內(nèi)針對個人信息安全保護(hù)有一系列的法律法規(guī)、政策標(biāo)準(zhǔn)。但是總體而言法規(guī)、標(biāo)準(zhǔn)依然不完善，缺少總體規(guī)劃，碎片化明顯，同時存在落地執(zhí)行不到位等情況。需要我們在立法層面加強(qiáng)頂層設(shè)計，統(tǒng)一規(guī)劃，緊密銜接，加強(qiáng)監(jiān)管和處罰措施，不斷完善現(xiàn)有管理機(jī)制，從國家層面為個人信息安全提供法律保障。

對個人信息安全的幾點建議

個人信息安全不單純是技術(shù)問題或者法律問題，需要統(tǒng)籌結(jié)合，上下聯(lián)動，綜合防御。各組織單位、行業(yè)客戶需要梳理清楚自身數(shù)據(jù)資產(chǎn)，識別個人敏感信息，加強(qiáng)內(nèi)部安全管理措施，數(shù)據(jù)在哪里，安全保障就要覆蓋到哪里。

在個人信息安全防護(hù)方面，行業(yè)單位需要落實國家網(wǎng)絡(luò)安全等級保護(hù)制度。在安全合規(guī)建設(shè)中及時整改、落實管理，構(gòu)建動態(tài)防御體系。加強(qiáng)數(shù)據(jù)安全動態(tài)監(jiān)測預(yù)警機(jī)制，加強(qiáng)信息收集、分析研判，個人信息安全事件發(fā)生時及時預(yù)警、迅速處置。對接觸到個人敏感信息的人員，進(jìn)行鑒權(quán)控制、行為審計，并定期組織安全培訓(xùn)，強(qiáng)化素質(zhì)教育、安全意識教育、安全技能教育，減少敏感數(shù)據(jù)從內(nèi)部泄露的風(fēng)險。敏感數(shù)據(jù)定期備份，備份信息定期離線保存，避免數(shù)據(jù)勒索事件發(fā)生。加強(qiáng)普法教育，個人信息安全從身邊的小事做起，不隨意丟棄快遞單、不隨便參加掃描抽獎活動、使用App謹(jǐn)慎放權(quán)。

面對個人信息安全，沒有誰可以獨善其身，加強(qiáng)個人信息安全保護(hù)不僅需要國家立法保障，更加需要行業(yè)單位加強(qiáng)落地執(zhí)行，不斷完善監(jiān)督、檢查、處罰機(jī)制，同時也需要公民積極參與。只有社會各界共同努力，才能構(gòu)建風(fēng)清氣朗的網(wǎng)絡(luò)空間。