个人信息保护建设实践方法的探索过程

个人信息保护建设实践方法

（一）识别监管要求建立企业或组织合规体系

首先，企业或组织应充分理解监管要求。2021 年 11 月 1 日起，《个人信息保护法》正式颁布实施，标志着我国个人信息保护立法体系进入新的阶段。《个人信息保护法》的出台为个人信息权益保护、信息处理者的义务以及主管机关的职权范围提供了全面的、体系化的法律依据，涵盖个人信息收集、存储、使用、加工、传输、提供、公开、删除等多个环节以及自动化决策、个人信息、跨境提供等特定场景，与《民法典》《网络安全法》《数据安全法》等共同构成了我国个人信息保护的法律框架。5 月，国家网信办等四部委联合制定的《常见类型移动互联网应用程序必要个人信息范围规定》正式实施，明确 App不得强制收集非必要个人信息。 11 月，国家网信办会同相关部门研究起草的《网络数据安全管理条例》公开征求意见，其中“个人信息保护”章节详细规定了知情同意、最小必要、权利保障、生物特征信息等方面的要求，并明确提出处理一百万人以上个人信息应视为重要数据处理者进行管理。

现有法律法规和标准规范已提出了较为系统全面的个人信息保护要求。企业或组织处理个人信息的过程包括收集、存储、使用、加工、传输、提供、公开、销毁等每个生命周期过程中充分考虑合规制度的建设及落实。企业或组织收集个人信息的主要工具包括 App、小程序、网站等，在构建这些收集工具的时候，应当在设计、开发、运维等阶段将合规活动嵌入进去，如 App强制要求用户打开非必要权限问题、App超范围收集个人信息的问题、知情同意前收集个人信息或频繁、误导收集个人信息等问题、隐私政策不合规问题、收集敏感个人信息未进行明示问题、SDK越权收集问题等。企业或组织需要对自身的个人信息保护成熟度和个人信息现状进行识别，并在产品或服务功能设计阶段进行个人信息收集使用相关的合规评审活动，并充分考虑到第三方 SDK准入审核要求，提升整体个人信息保护工作落地的质量和有效性。

随着监管机构对合规问题越来越重视，未来会有更多的个人信息处理服务会被纳入监管的检测、通报和下架的范围之中，如何在业务持续不断开拓创新与为用户提供更好更安全更尊重的个人信息保护体验之间，建立有力的可落地完备的个人信息保护管理体系是当前合规的主要目标，通常，建设企业或组织的个人信息保护管理体系首先应建立个人信息保护管理组织，组织由企业或组织高层管理者牵头，安全团队、业务团队、法务合规团队共同组成。该组织的工作职责包括但不限于：制定个人信息保护战略，统筹企业或组织不同部门的个人信息保护工作重心、工作方法和计划，与业务发展进行平衡，并协调公司的安全、IT、产品线、测试线、法务等多个部门才可体系化的完善公司个人信息保护合规方案，避免公司运营过程中的个人信息保护合规风险。

（二）嵌入全流程的个人信息合规管理

在个人信息收集、存储、使用、加工、传输、提供、公开等流程中，需要将管理制度落实到每个具体的活动，同时确保管理制度落实的效果。在不同的环节里需要特定的技术手段进行辅助，提升合规管理的效果。在企业或组织内部，这些流程又可以根据研发、测试、运维、法务等参与角色的不同，分为产品设计、研发、发布、运营等阶段，每个阶段应进行相应的过程管理。

在个人信息收集前端工具的设计过程中，可采用 PbD的设计原则进行产品设计及实施策略的制定。在研发过程中，可通过合规培训、SDK准入审核、合规评估等策略进行研发过程管理，避免由于研发人员对合规要求不了解、第三方 SDK自身风险等造成合规隐患。在发布阶段通过技术手段进行整体的合规评估，根据风险容忍能力进行执行上架发布动作，并建立风险清单。在运营阶段通过安全防护技术、访问控制策略、风险评估、应急处置预案等方式进行存储、使用、加工等流程中的管理及保障工作。

（三）个人信息前端收集工具合规评估

企业或组织内部在做合规的过程中，由于多角色跨部门协作，多学科交叉协作，在协作过程中可能存在信息传递的误差，所以仅仅依靠制度要求，很难保证合规实施的质量。技术辅助能在合规过程中对客观信息进行描述，进而对各方反馈的信息进行审核和校准，帮助合规团队对实质风险进行发现。同时技术手段辅助能够让实施流程标准化，提高合规工作效率和质量。以 App合规为例，合规要求内容多且覆盖面较广，大多数的合规内容依靠人工分析会消耗大量的时间和精力，如第三方 SDK违规收集，如果依靠研发人员对嵌入的第三方 SDK进行识别和分析，那么可能会由于 SDK嵌套、对 SDK行为不了解等原因造成信息反馈不准确。另外用户同意前收集、后台静默收集、高频收集等违规问题的发现，也需要技术手段辅助检查才能准确发现。

在合规问题发现和整改的过程中，不同角色关注的信息又有所区别，法务人员关注的是带来的法律风险，产品设计人员关注的是对产品本身的影响，研发人员则更关注的问题是具体代码位置及整改带来的额外成本。因此，技术辅助工具必须能同时为不同的角色提供辅助，让合规工作参与的多方能有一个共同协作的平台。在检测评估工作的实施过程中，通常会为了追求效率使用自动化检测技术进行辅助，但由于自动化技术本身的限制，在具体功能场景下收集的个人信息内容往往无法通过自动化技术进行覆盖，如下单、支付、客服、注销账号等。过度追求自动化会让部分隐私行为被忽略，从而在合规检测评估的过程中造成漏报的风险。这种情况下，需要检测实施的人员进行功能的逐一验证，是否出现违反合规要求的情况出现。

相比于应用上架发行后发现合规问题，在设计研发阶段提前发现合规问题能极大地降低合规风险带来的成本。这里需要结合企业或组织的 DevOps平台，为产品研发测试过程进行赋能。嵌入研发流程的关键过程之一是：在版本迭代过程中，持续进行技术检测，排查合规风险。根据 App版本规划及迭代开发进度要求，可在软件版本提测时同步进行收集使用个人信息合规风险检测排查。通常该阶段需要合规专员介入进行技术检测及合规评估工作，在实践过程中发现，此过程中的功能测试工作与 Q&A有着一定的共同之处，所以在部分合规场景下，企业或组织也可以 Q&A承担一部分合规检查的工作，将检查结果反馈给研发、产品、法务等角色。在这个阶段通常产品的功能还并不完善，部分合规场景的检测评估尚不具备实施条件，企业或组织可对关键的检测场景使用自动化/半自动化的检测。常规的自动化检测技术在检测覆盖率上会存在一定的缺失，需要介入一定的人工操作进行辅助，这样才能比较全面的排查合规风险。

（四）个人信息使用过程中的风险管控

个人信息最小化与匿名化：企业或组织在收集和使用个人信息时应遵循最小必要原则，在功能可实现的前提下应在最小范围内收集使用个人信息。最小必要原则要求在个人信息收集阶段应符合功能所需的最小必要范围，在存储阶段应符合最小的存储期限要求，在流转使用过程中应限定个人信息流通的内容和范围。在个人信息流转使用过程中，企业或组织可通过使用如联邦学习、差分隐私等个人信息保护计算技术来降低个人信息处理过程中的风险。

个人信息分类分级处理：综合考虑个人信息属性、特点、数量、质量、格式、重要性、敏感程度以及违规使用、信息泄漏后对个人造成的影响等因素，建议将个人信息进行分类分级处理，针对不同类型、不同级别的个人信息内容，采用不同的保护机制，以降低个人信息安全风险的发生。个人信息分类分级相关的标准目前尚未出台，企业或组织可结合一般个人信息、个人敏感信息的定义，以及企业或组织业务的实际情况进行内部的分类分级处理。针对高敏感级别的个人信息，建议采用高强度的安全防护技术及严格的访问控制策略，并在运营过程中持续对个人信息使用的记录进行风险评估和审计。

个人信息安全防护：使用前端工具收集到的个人信息在传输、存储、使用、对外提供等过程中，应增加网络安全防护措施并确保有效性。安全防护策略的制定应在传输过程中，应使用数据加密的传输方式，避免在传输链路上的信息泄漏事件发生；在接收及获取个人信息的 Web API接口上，应做好鉴权、防注入、防泄漏等安全防护工作，通过 API接口使用信息的监测做好安全风险发现及预警工作；在服务器的数据存储上，应使用多种防护措施确保信息的防泄漏、防篡改、防破坏等安全防护工作；在个人信息的访问过程中，应制定安全的访问控制策略，防止信息的越权访问等安全隐患发生。针对个人信息的安全防护，应定期进行安全风险评估及审计工作，对于发现的安全漏洞及时制定修复策略，确保安全防护措施的有效性。

（五）建立个人信息安全事件处置机制

根据《个人信息保护法》内容要求，企业或组织内部应建立个人信息安全事件处置的紧急预案，从制度、人员、技术保障措施方面进行规划和落实。

预案制定：个人信息安全应急预案应从制度、流程、人员上进行保障。预案内容应包括应急团队组织架构、相关职责描述、事件发生时的沟通机制、事件影响评估方案、对应的事中处置策略、与监管单位的事件上报、安全事件告知、事后审计、总结、追责等内容。

事前阶段：定期（至少每年一次）组织内部相关人员进行应急响应培训和应急演练，使其掌握岗位职责和应急处置策略和规程；

事中阶段：记录事件内容，包括但不限于：发现事件的人员、时间、地点，涉及的个人信息及人数，发生事件的系统名称，对其他互联系统的影响，是否已联系执法机关或有关部门；评估事件可能造成的影响，并采取必要措施控制事态，消除隐患；及时与监督、管理部门保持沟通，通报或报告个人信息保护和事件处置等情况。

事后阶段：对个人信息安全事件进行复盘总结，发现问题原因，提升个人信息保护水平，并根据事件影响对相关人员进行追责。

（六）通过个人信息安全影响评估持续改进

企业或组织应建立个人信息安全影响评估制度，定期开展个人信息安全影响评估活动，评估并处置个人信息处理活动存在的安全风险，并对评估结果进行归档留存。

个人信息安全影响评估过程需要法务、研发、运维、安全等多方参与，评估过程中可以根据各方职责制定评估基线模版，并基于客观数据进行个人信息数据识别和梳理、安全风险识别、个人权益影响分析活动。这些客观信息的收集需要从个人信息收集使用信息、访问控制策略、敏感信息访问记录、系统中存在的安全风险等方面进行梳理。

通过持续有效的个人信息安全影响评估活动，可以发现个人信息保护工作中的风险点，通过对这些风险的跟踪及修复，能够不断提升企业或组织的个人信息保护建设水平。

面对不断加大的数据安全及个人信息保护监管力度，企业或组织如何建立健全符合企业或组织管理现状及发展需求的个人信息保护管理体系，确保个人信息使用安全合法，同时充分发挥数据对企业或组织发展的积极推动作用，已成为各行各业发展过程中的重大挑战。针对企业或组织的个人信息保护合规建设，应综合考虑企业或组织自身的特点以及其服务的行业特点，如互联网服务提供商产品的更新速率远远超过传统制造型的产品，互联网企业或组织间存在各种各样的投资与并购，这种情况需要重点关注个人信息流转过程中的管理缺失隐患。

个人信息保护合规建设工作不仅仅是编制隐私政策文件，简单修改公司产品、增加提醒和通知等内容，企业或组织还要将个人信息保护真正融入到日常的业务和产品中，才能让个人信息保护不再流于表面，随着监管执法力度的加强，企业或组织在管理体系建设方面的完备性和有效性验证，需要管理和技术手段并行，并且嵌入到企业或组织系统及业务开展过程中，从根本上建立健全个人信息保护管理体系，为数据价值的发挥助力。

页

参考资料

2021年中国软件供应链安全分析报告
GB/T 24363-2009 信息安全技术信息安全应急响应计划规范
GB/T 25058-2010 信息安全技术信息系统安全等级保护实施指南