德勤：解读《网络安全法》的个人信息保护要求

征信德勤风险咨询部门 · 德勤 2017-05-31 阅读：5196

关键词：个人信息 网络安全 监管 信息保护 互联网

《中国人民共和国网络安全法》将于2017年6月1日正式生效，作为国内第一部系统性提出网络空间治理的法律法规，特别加强和明确了个人信息保护方面的要求。

众所周知，具有里程碑意义的《中国人民共和国网络安全法》于2016年11月6日由全国人大正式通过并将于2017年6月1日正式生效，作为国内第一部系统性提出网络空间治理的法律法规，特别加强和明确了个人信息保护方面的要求。这些要求不仅继承现有法律法规的主要条款要求，例如2012年全国人大《关于加强网络信息保护的决定》、2014年全国人大《刑法修正案》、2015年工商总局《侵害消费者权益行为处罚办法》等法律法规，而且还根据新形势、新情况和新需求，增加新内容。

德勤风险咨询部门信息技术风险团队认为本次网络安全法的出台及其之前一系列国内法律法规的势必规范网络运营者网络空间内搜集、处理、使用、传输个人信息的各类行为，将会遏制和打击当前存在的个人信息滥用及其衍生的诈骗等网络犯罪活动，提升全社会个人信息保护的意识和管理水平，从而维护、保护网络空间公民、法人和其他组织的合法权益。

A．网络安全法对个人信息保护的要求

网络安全法下的个人信息保护要求，德勤认为有以下三个鲜明特点：

1. 明确履行个人信息保护的责任主体义务：搜集、使用个人信息的网络运营者包括网络所有者、网络管理者和网络服务提供者就是个人信息保护的责任主体，并需要接受国家网信部门和有关监管部门的监督和管理；

2. 系统性定义个人信息保护的要求，并与国内外最佳实践接轨；德勤认为本次网络安全法与国际最佳实践、其他国家在个人信息保护的法律法规保持了相当高的一致性。我们对网络安全法下个人信息保护要求与已被广泛接受的2005年亚太经合组织颁布的《APEC个人隐私保护框架》进行了比较，每个管理维度都有明确的应对，具体如下表所示。

3. 兼顾个人信息应用方面的鼓励创新和个人信息的合理保护：在当今互联网、大数据时代，各种数据包括个人数据需充分处理、共享、使用才能最大化发挥其商业价值。但个人信息又需要合理保护，如何合理平衡是网络安全法立法时必须要考虑的问题。例如法规提出“未经被搜集者同意，不得向他人提供个人信息，但是经过处理无法识别特定个人且不能复原的除外”，最后说明的例外情况就是上述原则的体现。

B．企业如何应对网络安全法的个人信息保护要求

德勤认为企业需认真评估和应对网络安全法在个人信息保护方面的上述要求，并采取积极、主动的措施应对上述要求。我们建议企业采取如下四个步骤：

1. 计划与信息搜集：确认企业是否属于网络安全法适用对象，是否属于网络运营者？确认企业是否或即将搜集、使用、存储公民的个人信息？确认企业拥有的或者正在使用的信息系统是否属于关键信息基础设施？如果是，建议企业先应尽快盘点已搜集、使用、存储的个人信息类型、个人信息对应的容器和载体、内部访问、处理、分析、使用这些个人信息对应的人员岗位、存储这些个人信息的信息系统情况（例如系统后台数据库的物理位置等）、这些个人信息是否会被内部人员或者系统后台接口的方式披露、传输给外部第三方？

2. 差异分析和对标：基于第一步信息搜集的结果，企业应评估当时业务操作与系统操作的现状是否能满足网络安全法中的法规要求，如下表所示：

3. 整改与行动：上一步差异分析的结果应根据影响程度、整改成本等尽快明确整改策略、整改计划与具体执行方案，如果确实不能再2017年6月1日之前改善完成到位的企业应考虑替代性程序或方法。

4. 持续改进：基于企业业务、管理、信息系统的不断变化，其个人信息搜集、使用、存储的范围、生命周期的管理方式也随之变化。因此企业不仅在2017年6月1日之前解决现有业务处理、信息系统中存在的不合规事项，更需要考虑建立一套可持续的、完整的个人信息保护管理框架。企业从治理层包括目标战略、治理组织；管理层包括岗位职责、个人信息保护流程、个人信息保护教育培训、个人信息保护评估与改进机制等维度完善企业个人信息保护的框架。从而不仅实现某个时间点上的合法合规（Make Clean），更要实现可持续性的合规合规（Stay Clean）并最终赢得企业消费者和客户的认可、信任和期望。