公民个人信息保护方案汇总

随着大数据时代的到来，个人信息保护得到了前所未有的重视。国际上围绕个人信息的获取、分析、利用和控制的竞争越来越激烈，个人信息安全已成为维护国家安全、保持社会稳定、关系长远利益的关键组成部分，备受各国政府的关注和重视。如何确保个人信息安全已是各国政府及各种组织改进其竞争能力的一个新的具有挑战性的任务。

个人信息保护工作任重而道远，这不仅仅是个人信息保护专业人士的责任，也需要得到所有人的关注和投入。因此，个人信息保护工作也要与时俱进，成为数字化转型道路上的“照明灯” 和“守护者”。企业或组织的管理者要主动应对各种个人信息风险和问题，持续关注个人信息监管和行业标准最新动态，并积极参与管理实践和隐私科技的发展。此外，个人信息保护能力也将作为企业或组织影响力的关键因素，从用户隐私体验、科技透明度和市场信任感上为业务赋能。

编订《个人信息保护合规建设实践桔皮书》，全面分析了企业或组织个人信息保护合规建设驱动力，所面临的挑战，提出了合规建设的技术应用探索，并全面阐述了建设方案和关键技术的应用探索。希冀本桔皮书能为企业或组织个人信息保护合规建设提供借鉴和参考，分享研究成果，共谋发展。

个人信息保护建设背景

随着大数据时代的到来，作为数字经济时代最核心、最具价值的生产要素，数据已经成为国家基础性战略资源，对国家治理能力、经济运行机制、社会生活方式产生深刻影响。与此同时，在数字技术不断推动经济发展的同时，其背后的安全风险也日益显现出来。近年来，各类数据泄漏、数据滥用、个人隐私侵害等安全事件更是层出不穷。如何在保障数字经济高速发展的同时，正确开展数据安全治理，保护公民个人隐私不被侵害，已引起各国的高度重视和全社会的广泛探讨。

2021 年 8 月 20 日，全国人大常委会会议通过《个人信息保护法》，2021 年 11 月 1 日正式实施。《个人信息保护法》正式颁布实施，标志着我国个人信息保护立法体系进入新的阶段。《个人信息保护法》的出台为个人信息权益保护、信息处理者的义务以及主管机关的职权范围提供了全面的、体系化的法律依据，涵盖个人信息收集、存储、使用、加工、传输、提供、公开、删除等多个环节以及自动化决策、个人信息跨境提供等特定场景，与《民法典》《网络安全法》《数据安全法》等共同构成了我国个人信息保护的法律框架。该法将合法、正当、必要与最小必要、透明公开、公平公正作为个人信息活动的基本原则，明确个人信息跨境处理要求，充分保障用户对个人信息处理的知情权和控制权，赋予用户删除、查询、更正、补充个人信息等权利，明确个人信息处理者应当遵循告知、个人信息分类、个人信息安全加密、敏感个人信息事前影响评估等义务，保障用户个人信息安全。

随着数据价值的进一步凸显，侵犯个人隐私的情形不断增多。由于智能手机和移动应用的流行，企业或组织收集个人信息的主要手段包括 App、小程序等，用户在智能手机上存储了大量个人信息，而如何对这些个人信息加以保护遂成为重要挑战。为此，国家监管机构发布了一系列的相关法律法规和监管标准，围绕 App监管和个人信息违法犯罪活动开展了诸多执法专项行动。

（一）合规监管要求逐渐完善

监管机关针对个人信息保护监管与执法都呈现出趋严趋紧的特点，不断加大个人信息保护监管力度。2019 年 11 月 28 日，国家互联网信息办公室、工业和信息化部、公安部、市场监管总局联合制定了《App违法违规收集使用个人信息行为认定方法》，自印发之日起实施。重点关注可被认定为“未公开收集使用规则”的行为，可被认定为“未明示收集使用个人信息的目的、方式和范围”的行为，可被认定为“未经用户同意收集使用个人信息”的行为，可被认定为“违反必要原则，收集与其提供的服务无关的个人信息”的行为，可被认定为“未经同意向他人提供个人信息”的行为，以及可被认定为“未按法律规定提供删除或更正个人信息功能”或“未公布投诉、举报方式等信息”的行为，为 App运营者提供合规指引。2020 年 5 月，国家网信办等四部委联合制定的《常见类型移动互联网应用程序必要个人信息范围规定》正式实施，明确 App不得强制收集非必要个人信息。工信部针对 App的治理，开展了专项行动，采取一系列措施，总体效果比较明显，近期拟会同相关部门联合出台《移动互联网应用程序个人信息保护的管理暂行规定》，App个人信息处理活动应当采用合法、正当的方式，遵循诚信原则，不得通过欺骗、误导等方式处理个人信息，切实保障用户同意权、知情权、选择权和个人信息安全，对个人信息处理活动负责。此外，2021 年 11 月，国家网信办会同相关部门研究起草的《网络数据安全管理条例》公开征求意见，其中“个人信息保护”章节详细规定了知情同意、最小必要、权利保障、生物特征信息等方面的要求，并明确提出处理一百万人以上个人信息应视为重要数据处理者进行管理，进一步强化消费者个人信息保护。

（二）监管执法强度持续提高

根据国家计算机网络应急技术处理协调中心、中国网络空间安全协会发布的《App违法违规收集使用个人信息监测分析报告》，今年以来，国家网信办持续开展 App违法违规收集使用个人信息专项治理工作，加大执法监管力度，组织对 39 种常见类型公众大量使用的 1425 款 App开展了专项检测，已对其中存在严重违法违规问题的 351 款 App进行了公开通报，责令限期整改;对未在规定时限内整改的依法采取了相关处罚措施。国家计算机网络应急技术处理协调中心积极运用大数据等新技术手段，建设 App收集使用个人信息监测平台，实现对国内主流应用商店在架 App存在的“不给权限不让用、频繁索权干扰用户、启动就索要无关权限、未经用户同意收集个人信息”等 16 项典型违法违规问题的全量快速检测。专项治理有力震慑了违法违规行为，大大提高了 App运营者对个人信息保护工作的重视程度，取得了良好的治理效果和社会反响。此外，2021 年 1-4 月，工信部已累计完成 29 万款 App技术检测，对 1862 款违规 App提出整改要求，公开通报 319 款整改不到位 App，组织下架了 107 款拒不整改的 App。通过持续整治热点难点问题。在前期 App专项整治的基础上，进一步聚焦工具类、通信类等 App，加大欺骗诱导用户下载、弹窗信息难以关闭、违规共享使用个人信息和利用第三方嵌入式软件损害用户权益等热点难点问题的整治力度。

面对不断加大的数据安全及个人信息保护监管力度，企业或组织如何建立健全符合企业或组织管理现状及发展需求的个人信息保护管理体系，确保个人信息安全合规，同时充分发挥数据对企业或组织发展的积极推动作用，已成为各行各业发展过程中的重大挑战。

参考资料

红蓝攻防构建实战化网络安全防御体系
青藤云安全 2022攻防演练蓝队防守指南