“有前款規(guī)定的違法行為，情節(jié)嚴(yán)重的，由省級(jí)以上履行個(gè)人信息保護(hù)職責(zé)的部門責(zé)令改正，沒收違法所得，并處5000萬元以下或者上一年度營業(yè)額5%以下罰款?！?/p>

相比數(shù)安法，個(gè)信法保護(hù)的個(gè)人信息一旦泄漏和被非法使用，極易導(dǎo)致自然人的人格尊嚴(yán)受到侵害，或者人身，財(cái)產(chǎn)安全受到危害，其中一些大型平臺(tái)的個(gè)人信息，因?yàn)橛脩袅烤薮?，業(yè)務(wù)類型復(fù)雜，被管制時(shí)缺乏競爭對手，一旦發(fā)生信息泄露或?yàn)E用，可能導(dǎo)致嚴(yán)重后果，甚至關(guān)系到國家經(jīng)濟(jì)和國家安全，因此相比數(shù)安法，個(gè)信法對相關(guān)企業(yè)的處罰要重得多、波及的受眾要廣得多、治理起來的難度要復(fù)雜地多，可謂是全民關(guān)注的第一部信息安全法律。然樹欲靜而風(fēng)不止，在個(gè)信法正式實(shí)施前的一個(gè)月里，大家忙于大考的關(guān)鍵月，不少互聯(lián)網(wǎng)平臺(tái)企業(yè)卻感受到了個(gè)人信息保護(hù)的“棘手”。

今天之前  風(fēng)雨暗藏

個(gè)信法正式實(shí)施前的一個(gè)月里，互聯(lián)網(wǎng)平臺(tái)圈并不太平。10月8日，有網(wǎng)友開啟iOS 15 的隱私新特性“記錄App活動(dòng)”時(shí)，發(fā)現(xiàn)微信、淘寶、QQ等多款國產(chǎn)App均存在后臺(tái)頻繁讀取用戶相冊的行為，次日騰訊發(fā)出了《微信「快捷發(fā)圖」功能到底發(fā)生了什么事》來技術(shù)解釋；10月10日，一網(wǎng)友在社交網(wǎng)絡(luò)上發(fā)布了一段視頻，視頻中顯示美團(tuán) App 從 10 月 6 日起便開始獲取位置信息，頻率高達(dá)每 5 分鐘一次，24小時(shí)內(nèi)完全沒有間斷。次日美團(tuán)工程師雖就“頻繁定位”回應(yīng)稱：建議謹(jǐn)慎下載某境外隱私軟件，常用App權(quán)限開啟時(shí)檢測結(jié)果基本一致。但我們看到，美團(tuán)雖然有所回應(yīng)，但是不了解視頻中定位行為背后原理的用戶依然沒有100%解開自己心中的疑惑；美團(tuán)定位視頻的同一天，王思聰在微博發(fā)文，稱自己的大眾點(diǎn)評被別人改綁手機(jī)號(hào)并質(zhì)問：“這就是上萬億市值公司的安全系統(tǒng)嗎？” ，次日，就有熱心網(wǎng)友發(fā)出技術(shù)文推理還原——《猜猜王思聰是怎么被盜號(hào)的》？

誠然，大家可以看到，一些互聯(lián)網(wǎng)平臺(tái)已經(jīng)針對個(gè)人信息保護(hù)法的合規(guī)做了不少“能先做”的動(dòng)作，比如近期幾乎所有App都有更新的隱私條款，部分App剛剛上線的青少年模式，部分快遞平臺(tái)開始隱匿一些明文個(gè)人郵寄的信息。但，個(gè)人信息保護(hù)法作為一部直接針對個(gè)人的法律，因在其頒布前已經(jīng)有諸起大型互聯(lián)網(wǎng)平臺(tái)數(shù)據(jù)泄漏、數(shù)據(jù)濫用的大規(guī)模事件，其治理迫切程度已經(jīng)到了“不得不治”的地步。典型的事件，包括某快遞公司40W個(gè)人信息被內(nèi)鬼泄漏引發(fā)央視點(diǎn)名批評，某微博5億用戶數(shù)據(jù)在暗網(wǎng)售賣被媒體曝光，某酒店數(shù)億條酒店用戶信息泄漏涉及1.3億人身份及開房信息數(shù)據(jù)。

每每想到隨手一個(gè)大型互聯(lián)網(wǎng)平臺(tái)，積累了盈萬累億的個(gè)人信息，其一舉一動(dòng)都可能對個(gè)人人身財(cái)產(chǎn)安全產(chǎn)生直接危害，對產(chǎn)業(yè)市場造成巨大沖擊，對國民經(jīng)濟(jì)和社會(huì)活動(dòng)產(chǎn)生深遠(yuǎn)影響，不管是個(gè)人還是國家，都沒辦法對這些事關(guān)國民經(jīng)濟(jì)安全，國家數(shù)據(jù)安全的平臺(tái)置若罔聞。

首次直面 “守門人”義務(wù)

針對上述實(shí)際情況，我們可以看到，針對個(gè)人信息安全問題的復(fù)雜性和多樣性，相關(guān)立法部門在個(gè)信法中首次賦予個(gè)人充分權(quán)利，并在國內(nèi)立法中首次出現(xiàn)“個(gè)人敏感信息”這個(gè)概念。另外，相關(guān)立法部門，還在個(gè)信法第五十八條首創(chuàng)“守門人”義務(wù)——明言對于提供重要互聯(lián)網(wǎng)平臺(tái)服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的個(gè)人信息處理者，應(yīng)當(dāng)履行下列義務(wù)：

（一）按照國家規(guī)定建立健全個(gè)人信息保護(hù)合規(guī)制度體系，成立主要由外部成員組成的獨(dú)立機(jī)構(gòu)對個(gè)人信息保護(hù)情況進(jìn)行監(jiān)督；（二）遵循公開、公平、公正的原則，制定平臺(tái)規(guī)則，明確平臺(tái)內(nèi)產(chǎn)品或者服務(wù)提供者處理個(gè)人信息的規(guī)范和保護(hù)個(gè)人信息的義務(wù)；（三）對嚴(yán)重違反法律、行政法規(guī)處理個(gè)人信息的平臺(tái)內(nèi)的產(chǎn)品或者服務(wù)提供者，停止提供服務(wù)；（四）定期發(fā)布個(gè)人信息保護(hù)社會(huì)責(zé)任報(bào)告，接受社會(huì)監(jiān)督。

上述4項(xiàng)“守門人”義務(wù)中，據(jù)雷鋒網(wǎng)觀察到的，相關(guān)律所在解讀個(gè)信法時(shí)，都有著重提到“成立主要由外部成員組成的獨(dú)立機(jī)構(gòu)對個(gè)人信息保護(hù)情況進(jìn)行監(jiān)督” 、“定期發(fā)布個(gè)人信息保護(hù)社會(huì)責(zé)任報(bào)告，接受社會(huì)監(jiān)督?！?這兩項(xiàng)，它們都是明言強(qiáng)調(diào)“借”用外部獨(dú)立機(jī)構(gòu)或者外部社會(huì)監(jiān)督力量來彰顯個(gè)人信息安全治理的決心，以及尋求最大力度地把個(gè)人信息保護(hù)拉回正軌的舉措。

它們遇到的難與痛

一「互聯(lián)網(wǎng)平臺(tái) “守門人” 遇到的問題一樣嗎？」

據(jù)360大數(shù)據(jù)安全協(xié)同技術(shù)國家工程實(shí)驗(yàn)室專家童磊介紹，“從共性問題來說，所有的互聯(lián)網(wǎng)平臺(tái)都會(huì)收集個(gè)人信息包括姓名、電話、地址等，所以都需要按照‘個(gè)保法’ 的要求做好個(gè)人信息和敏感個(gè)人信息的治理和管理工作，并針對不同重要程度的信息進(jìn)行相應(yīng)的安全控制設(shè)計(jì)”。從差異性問題來說：

以社交網(wǎng)絡(luò)App舉例，“近期出現(xiàn)了很多社交網(wǎng)絡(luò)App違規(guī)收集個(gè)人信息的安全事件。針對社交軟件的使用場景， ‘個(gè)保法’明確要求了的對個(gè)人信息和敏感個(gè)人信息管理要求，如最小收集原則，用戶同意授權(quán)等。一個(gè)社交網(wǎng)絡(luò)App在收集了大量個(gè)人信息后若不妥善保管用戶數(shù)據(jù)，可能會(huì)造成數(shù)據(jù)泄漏，造成的影響甚至可能會(huì)關(guān)系用戶主體的人身安全電商這邊，“會(huì)涉及到一些金融財(cái)務(wù)包括數(shù)據(jù)流轉(zhuǎn)相關(guān)的場景，偏向于金融安全和金融數(shù)據(jù)保護(hù)。比如，一個(gè)手機(jī)App的互聯(lián)網(wǎng)金融產(chǎn)品，涉及到股票或者貸款保險(xiǎn)，只要涉及到金融屬性，就要在‘個(gè)保法’ 的基礎(chǔ)上遵從人行和銀保監(jiān)會(huì)相關(guān)的要求。” 所以，主要的考慮場景涉及到金額交易。

游戲的問題側(cè)重點(diǎn)，“則在未成年人。因?yàn)樵凇畟€(gè)保法’ 中一個(gè)重要的信息提到針對未成年人在收集和處理個(gè)人信息時(shí)，需要有單獨(dú)的考慮，重點(diǎn)要放在未成年人是否要達(dá)到14歲。” 如未達(dá)到14歲則需要獲得監(jiān)護(hù)人個(gè)人信息的授權(quán)和使用。

外賣這邊，“重點(diǎn)會(huì)涉及到這個(gè)人購買食品的偏好，比如是否有精準(zhǔn)營銷、客戶畫像、大數(shù)據(jù)殺熟，當(dāng)然殺熟這個(gè)場景在其他的情況下可能也會(huì)有，比如出行中也會(huì)有殺熟的問題?！?這類問題主要考慮的是，如何保證數(shù)據(jù)的算法的公開透明。

短視頻涉及到“個(gè)保法”的內(nèi)容和相關(guān)性比較有特點(diǎn)的，是在生物識(shí)別的個(gè)人信息。“首先它是敏感個(gè)人信息，在視頻播放的時(shí)候，其實(shí)不但要考慮到‘個(gè)保法’ ，還要考慮到廣電總局視頻播放的相關(guān)要求，包括視頻的主題?！?所以，在以往的項(xiàng)目或者視頻實(shí)施過程中，會(huì)體現(xiàn)需要結(jié)合實(shí)際應(yīng)用場景所涉及到的行業(yè)去遵從和設(shè)計(jì)相應(yīng)的個(gè)人信息保護(hù)的相關(guān)要求。

招聘求職也是一樣的，“一些大型招聘網(wǎng)站會(huì)涉及到一些比較敏感的行業(yè)特色的信息，這里面只說差異性的。比如人員履歷還有相應(yīng)的薪酬，無論是企業(yè)角度包括個(gè)人角度，可能有人進(jìn)行客戶的畫像，比如它是一個(gè)高管，收入很高，則他的個(gè)人信息的敏感度和薪酬數(shù)據(jù)的屬性是要保護(hù)的。也有一些特殊行業(yè)是涉密的，招聘網(wǎng)站就需要對這些行業(yè)進(jìn)行涉及，這些都是在‘個(gè)保法’ 的管控原則里都有提到?！?/p>

網(wǎng)絡(luò)尖刀的創(chuàng)始人曲子龍則補(bǔ)充到，“據(jù)了解，一般相同的，都是圍繞數(shù)據(jù)授權(quán)、數(shù)據(jù)使用范圍進(jìn)行治理；相對不同的是不同類型的平臺(tái)，所‘必須’ 的數(shù)據(jù)并不一樣，對治理的方案有一定的差異化，比如電商、外賣、快遞、出行相對來說都是訂單數(shù)據(jù)及收件信息還有一定的位置數(shù)據(jù)；社交、直播、搜索則更偏向于廣告畫像?！?/p>

二「此刻 “守門人” 最關(guān)注哪些難題？」

根據(jù)中國信息通信研究院互聯(lián)網(wǎng)法律研究中心高級(jí)研究員楊婕表示，目前超級(jí)大型互聯(lián)網(wǎng)平臺(tái)在應(yīng)對個(gè)信法合規(guī)的過程中，系統(tǒng)性地在關(guān)注，可以概括為：

對外：接受外部獨(dú)立機(jī)構(gòu)監(jiān)督；

            定期發(fā)布社會(huì)責(zé)任報(bào)告。

對內(nèi)：按照國家規(guī)定，建立健全個(gè)人信息保護(hù)合規(guī)制度體系；

           制訂平臺(tái)規(guī)則，明確平臺(tái)內(nèi)部規(guī)范和義務(wù)；

           對平臺(tái)內(nèi)部產(chǎn)品或者服務(wù)提供者的監(jiān)督。

跟客戶數(shù)據(jù)接觸較多的明略科技高雅則表示，“從公司實(shí)際執(zhí)行方的角度，一般會(huì)先看企業(yè)中處理的數(shù)據(jù)是不是個(gè)人信息范疇，是不是屬于敏感個(gè)人信息范疇，這會(huì)影響后面數(shù)據(jù)的分類分級(jí)和具體管理方式。”

三「實(shí)踐時(shí)，具體的業(yè)務(wù)和技術(shù)痛點(diǎn)在哪？」

據(jù)網(wǎng)絡(luò)尖刀創(chuàng)始人曲子龍的觀察，“首先面臨最大的問題是‘?dāng)?shù)據(jù)授權(quán)’問題，尤其在電商、金融、廣告業(yè)表現(xiàn)最為明顯，原本多渠道聚合的數(shù)據(jù)已經(jīng)不能用了，自身也不能向自己生態(tài)的企業(yè)或服務(wù)商進(jìn)行 ‘?dāng)?shù)據(jù)轉(zhuǎn)授權(quán)’，行業(yè)里中下游企業(yè)已經(jīng)出現(xiàn)數(shù)據(jù)斷供問題。另外就是原本需要一定的用戶敏感數(shù)據(jù)才能展開的業(yè)務(wù)，接下來該如何開展，也會(huì)成為企業(yè)最大的問題，目前原有的數(shù)據(jù)授權(quán)體系可能并不能完全合規(guī)，急需實(shí)現(xiàn)數(shù)據(jù)可用而不可見的轉(zhuǎn)化，比如金融業(yè)?！?nbsp;

還有就是，淘寶、京東、抖音都陸續(xù)對訂單信息及消費(fèi)者信息采取脫敏加密，不再向商家、ISV提供消費(fèi)者敏感信息，“沒有了消費(fèi)者隱私數(shù)據(jù)后，下游企業(yè)如果不依托大廠商僅在廣告這件事兒上就已經(jīng)很難實(shí)現(xiàn)精準(zhǔn)投放，銷售成本自然就會(huì)跟著變高，掌握精準(zhǔn)數(shù)據(jù)的頭部企業(yè)，很可能通過數(shù)據(jù)壟斷形成更高的壁壘?！?/p>

360大數(shù)據(jù)安全協(xié)同技術(shù)國家工程實(shí)驗(yàn)室專家童磊則表示，近期大家非常關(guān)注數(shù)據(jù)安全合規(guī)的問題，因?yàn)?，“大多?shù)平臺(tái)對自己平臺(tái)產(chǎn)品和相關(guān)供應(yīng)商產(chǎn)品很難做到有效的的管理和監(jiān)督。這其實(shí)也是一個(gè)行業(yè)痛點(diǎn)問題，從目前的可行性方案來說，業(yè)內(nèi)傾向于有技術(shù)積累優(yōu)勢的大平臺(tái)去統(tǒng)一管理，憑借自身平臺(tái)的研發(fā)能力，安全能力，能夠?qū)ζ髽I(yè)業(yè)務(wù)邊界、數(shù)據(jù)安全的邊界，做到更有效的管控。

比較通用的一個(gè)建議，是在管理制度職能上包括職責(zé)上需要更新相應(yīng)的服務(wù)條款，比如通過DPA（Data  Protection  Assessment）或者其它的條款，去進(jìn)行雙方關(guān)于個(gè)人信息保護(hù)重新的職能劃分，明確保護(hù)的義務(wù)，使用數(shù)據(jù)的場景，這樣至少于一些有意識(shí)或者想進(jìn)行更好服務(wù)的App廠商來說，能更有自驅(qū)力去做好數(shù)據(jù)安全和個(gè)人信息保護(hù)的工作?！?/p>

最后，要準(zhǔn)備好在這個(gè)過程中，“不做投入可能就會(huì)面臨處罰，以及時(shí)間會(huì)淘汰一批沒有能力，或者意識(shí)上不想去做上述行動(dòng)的從業(yè)者?！?/p>

安恒信息上海總部首席科學(xué)家周亞超則表示，從一些廠商自己都沒意識(shí)到的角度來說：“出于好奇，有時(shí)候我個(gè)人會(huì)使用一些信息隱私追蹤類小工具測試，看看當(dāng)搜索引擎或者App內(nèi)的搜索功能拿了我們的數(shù)據(jù)之后，會(huì)用在哪里？打開這些工具時(shí)會(huì)發(fā)現(xiàn)，雖然用戶只是在搜索引擎中或者App內(nèi)的搜索功能中，輸入一個(gè)簡單信息，但是這個(gè)信息會(huì)給到平臺(tái)當(dāng)中幾十甚至上百個(gè)關(guān)聯(lián)方。這可能是App的安全問題，也可能是App沒有做到合規(guī)。如果是安全問題，安恒安全需求分析與設(shè)計(jì)平臺(tái)就是針對App具體功能業(yè)務(wù)進(jìn)行安全需求與設(shè)計(jì)，在App成形前檢測可能存在的安全風(fēng)險(xiǎn)點(diǎn)，在開發(fā)的同時(shí)提高App的安全保障能力?！?/p>

有些廠商可能都沒注意到隱私政策條款這些細(xì)節(jié)或者可能對這些問題有模糊的認(rèn)知，但措施還不到位。另外，從她本人的實(shí)踐經(jīng)驗(yàn)看：

“個(gè)人信息是很復(fù)雜的，大家暫時(shí)能夠解決的結(jié)構(gòu)化數(shù)據(jù)有一定規(guī)則，非結(jié)構(gòu)性的那些數(shù)據(jù)，它的隱患可能外部目前沒把它監(jiān)測出來，具體的非結(jié)構(gòu)性數(shù)據(jù)，需要具體的什么工具什么解決技術(shù)，這個(gè)需要長期探索?！?/p>

另外，根據(jù)雷鋒網(wǎng)了解，從其它一些廠商自己都沒注意到的角度來說，上述涉及到相關(guān)信息會(huì)給到平臺(tái)當(dāng)中幾十甚至上百個(gè)關(guān)聯(lián)方這種情形，用戶如果遇到信息泄露很明顯的情況，各種排查找不出原因，可以回過頭仔細(xì)閱讀它的隱私政策條款，這些隱私條款可能還有可待商榷的地方，但用戶自己確實(shí)選擇了同意。

四「守門人3類分法，哪一類根據(jù)個(gè)信法處理對應(yīng)需求，難度最大，任務(wù)最重？」

個(gè)信法中提到“大型互聯(lián)網(wǎng)平臺(tái)判定條件有提供重要互聯(lián)網(wǎng)平臺(tái)服務(wù)，用戶數(shù)量巨大，業(yè)務(wù)類型復(fù)雜”，關(guān)于“業(yè)務(wù)類型復(fù)雜”，根據(jù)金杜律師事務(wù)所的分法，以下3類模式可能被認(rèn)定為“業(yè)務(wù)類型復(fù)雜”

1）一種是超級(jí)App+小程序，第三方小程序可能存在大量個(gè)人信息收集，共享，處理活動(dòng)。2）一種是內(nèi)嵌多種業(yè)務(wù)的單一App，比如同時(shí)提供外賣，在線旅行，移動(dòng)出行，社區(qū)團(tuán)購，金融服務(wù)等等。3）一種是通過多種渠道提供在線服務(wù)。不同服務(wù)之間可能出現(xiàn)交互，構(gòu)成體系性的復(fù)雜業(yè)務(wù)網(wǎng)絡(luò)。

「那哪一類近期根據(jù)個(gè)人信息保護(hù)處理對應(yīng)需求，難度最大，任務(wù)最重？」

據(jù)360大數(shù)據(jù)安全協(xié)同技術(shù)國家工程實(shí)驗(yàn)室專家童磊的看法，按以上維度來分的話，“第三種跨實(shí)體的，并且跨品牌的最難，因?yàn)樯婕暗搅诉吔绻芸睾蛿?shù)據(jù)交換，因?yàn)橄嚓P(guān)方數(shù)量越多，場景就越復(fù)雜，數(shù)據(jù)安全風(fēng)險(xiǎn)就越大，整改成本也越大?！?/p>

網(wǎng)絡(luò)尖刀創(chuàng)始人曲子龍則認(rèn)為，看似不同的業(yè)務(wù)屬性，實(shí)際上從合規(guī)角度來講，“需要的都是從原始的一次性授權(quán)，轉(zhuǎn)向分批次授權(quán)的轉(zhuǎn)變，用到哪個(gè)業(yè)務(wù)時(shí)再申請哪個(gè)權(quán)限，用戶沒有使用就不需要對此授權(quán)，在自己的業(yè)務(wù)內(nèi)這樣重新定義權(quán)限的使用和獲取其實(shí)并不難，以微信小程序?yàn)槔?，小程序的開發(fā)者本身就是需要向微信申請權(quán)限再使用的。

依托先申請授權(quán)再使用原則，其實(shí)能解決大部分隱私授權(quán)問題，而被廣泛關(guān)注的‘大數(shù)據(jù)殺熟’、‘個(gè)人信息濫用’ 這些問題本身就是違法違規(guī)的作惡問題，不存在怎么整改這一說，本身就是必須立即停止不能做的事情?！?/p>

11月始，如何避免再次“踏雷” ？

從法律層面，除了市面上眾多律所根據(jù)《個(gè)人信息保護(hù)法》第五章個(gè)人信息處理者義務(wù)規(guī)定的九大義務(wù)：

（一）制定內(nèi)部管理制度和操作規(guī)程； 

（二）對個(gè)人信息實(shí)行分類管理； 

（三）采取相應(yīng)的加密、去標(biāo)識(shí)化等安全技術(shù)措施； 

（四）定期對從業(yè)人員進(jìn)行安全教育和培訓(xùn)；

（五）制定信息安全事件應(yīng)急預(yù)案；

（六）處理個(gè)人信息達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的義務(wù)；

（七）處理境外（有境外業(yè)務(wù)）企業(yè)的特殊業(yè)務(wù)；

（八）定期合規(guī)審計(jì)

（九）對特殊情形的個(gè)人信息處理活動(dòng)事前進(jìn)行個(gè)人信息保護(hù)影響評估；

互聯(lián)網(wǎng)平臺(tái)守門人要額外謹(jǐn)記上述針對互聯(lián)網(wǎng)平臺(tái)“守門人”的特殊對外，對內(nèi)5小義務(wù)

（十）對外：接受外部獨(dú)立機(jī)構(gòu)監(jiān)督；

                        定期發(fā)布社會(huì)責(zé)任報(bào)告。

            對內(nèi)：按照國家規(guī)定，建立健全個(gè)人信息保護(hù)合規(guī)制度體系；

                       制訂平臺(tái)規(guī)則，明確平臺(tái)內(nèi)部規(guī)范和義務(wù)；

                       對平臺(tái)內(nèi)部產(chǎn)品或者服務(wù)提供者的監(jiān)督。

從企業(yè)層面，據(jù)網(wǎng)絡(luò)安全廠商反饋

360大數(shù)據(jù)安全協(xié)同技術(shù)國家工程實(shí)驗(yàn)室專家童磊基于自己上述所提的多數(shù)平臺(tái)對自己平臺(tái)內(nèi)部產(chǎn)品或者服務(wù)提供者的監(jiān)督治理這個(gè)問題，表示360已經(jīng)有一些成熟的方案和產(chǎn)品實(shí)驗(yàn)室憑借多年在行業(yè)、企業(yè)的實(shí)踐積累與國家監(jiān)管機(jī)構(gòu)，包括與網(wǎng)信辦，工信部，公安部相關(guān)部門開展合作，建立了多個(gè)大數(shù)據(jù)安全技術(shù)技術(shù)平臺(tái)，可以解決大部分行業(yè)痛點(diǎn)難點(diǎn)問題。

而從整個(gè)行業(yè)視角看，要避免再次踏雷 ：

“從業(yè)務(wù)視角來說，第一個(gè)要做企業(yè)業(yè)務(wù)個(gè)人信息資產(chǎn)盤點(diǎn)。在11月1號(hào)之前，企業(yè)至少心里有底，若真的出現(xiàn)問題，我們能夠達(dá)到一個(gè)心理預(yù)期和心理準(zhǔn)備，知道某一個(gè)App某個(gè)業(yè)務(wù)開發(fā)團(tuán)隊(duì)沒有做這塊內(nèi)容，所以才泄露了，比如手機(jī)驗(yàn)證隨便修改，大家要快速下線或整改這個(gè)業(yè)務(wù)。

第二個(gè)對管理層，盤點(diǎn)之后要進(jìn)行整個(gè)企業(yè)業(yè)務(wù)發(fā)展方向的一個(gè)重新的設(shè)計(jì)，在現(xiàn)有的企業(yè)戰(zhàn)略規(guī)劃中加入個(gè)人信息的相關(guān)內(nèi)容，最快最簡單的就是在企業(yè)內(nèi)部，把相應(yīng)的人找到，管理者找到，比如CIO或者CISO，去承擔(dān)這塊的業(yè)務(wù)。其一是讓大家現(xiàn)在做一個(gè)查漏補(bǔ)缺快速自查，其二就是委托職能部門或者高管推行或者承擔(dān)這件事情，要持續(xù)投入人員精力或者需要一個(gè)部門。

第三個(gè)在相應(yīng)的其他單位，比如審計(jì)或者第三方監(jiān)管機(jī)制，需要有人去做承擔(dān)和執(zhí)行。執(zhí)行的方式，有兩點(diǎn)建議，一是要有專業(yè)的人，專業(yè)的機(jī)構(gòu)去做，律所，或者我們這種專業(yè)機(jī)構(gòu)，售賣產(chǎn)品的廠商，籍由專業(yè)咨詢機(jī)構(gòu)或者有咨詢服務(wù)能力的團(tuán)隊(duì)或者找現(xiàn)有的供應(yīng)商廠商，要求它在合同里去進(jìn)行這方面的產(chǎn)品輸入，并在下一年的IT規(guī)劃和整個(gè)戰(zhàn)略規(guī)劃里要去同步。

第四個(gè)要做數(shù)據(jù)安全委員會(huì)出發(fā)的應(yīng)急響應(yīng)機(jī)制，把企業(yè)的法務(wù)部門、內(nèi)控部門、公關(guān)部門、政府關(guān)系部門拉攏去規(guī)避突發(fā)事件，因?yàn)榘踩袠I(yè)永遠(yuǎn)不變的主題就是永遠(yuǎn)會(huì)有事件?！?/p>

安恒信息上海總部首席科學(xué)家周亞超則鼓勵(lì)大家從態(tài)度層面正視：“隨著法律的正式實(shí)施肯定還會(huì)有一波熱點(diǎn)，這些問題暴露出來，其實(shí)是一件好事。我們這兩年來圍繞App的治理行動(dòng)，包括圍繞違規(guī)行為，對于保障用戶權(quán)益的個(gè)人信息治理典范，其實(shí)是一個(gè)很好的合作者管理體系。整個(gè)大的治理體系，光靠用戶，運(yùn)營商，監(jiān)管機(jī)構(gòu)可能也不太夠，實(shí)際過程中可能需要一個(gè)推動(dòng)政府、企業(yè)以及社會(huì)公眾共同參與共治的過程，以及明確在這個(gè)過程中，大家各自的角色以及在相關(guān)問題上，各自的主體責(zé)任的邊界。”

另外，在正式實(shí)施的“熱點(diǎn)”來臨之前，“其實(shí)企業(yè)內(nèi)部通過一些風(fēng)險(xiǎn)評估的工作，也能夠及時(shí)規(guī)避掉不少這類內(nèi)部風(fēng)險(xiǎn)。我覺得這個(gè)可能不是方法而是需求驅(qū)動(dòng)的，比如一些熱點(diǎn)行業(yè)屬于監(jiān)管的重點(diǎn)領(lǐng)域，企業(yè)可能會(huì)有抱團(tuán)意識(shí)，形成行業(yè)內(nèi)部的監(jiān)管協(xié)會(huì)。以人工智能為例，圍繞生物特征、生物信息等領(lǐng)域，它自身存在較大需求，就會(huì)推動(dòng)一個(gè)參與共治的機(jī)構(gòu)或是機(jī)制來做這方面的加強(qiáng)。”

從實(shí)操層面，明略科技高雅也反饋，“首先需要做內(nèi)部的管理制度和操作規(guī)程的要求。如果搜集了個(gè)人信息，對于一些敏感程度比較高的，要做單獨(dú)的處理和管理。技術(shù)方面，需要采用更嚴(yán)密的加密或者去標(biāo)識(shí)化，安全的措施。規(guī)定、處理這些接觸個(gè)人信息的人，有操作權(quán)限的限制和安全教育培訓(xùn)，另外可能有一些應(yīng)急預(yù)案。”

從第三方監(jiān)督層面，相關(guān)專家表示

“首先，目前法律規(guī)定的確有模糊的地方，這對企業(yè)合規(guī)帶來了挑戰(zhàn)。因此企業(yè)需要密切關(guān)注下一步的細(xì)則文件出臺(tái)。

其次，目前很多企業(yè)都在按照個(gè)保法的要求進(jìn)行整改，但這種整改是自發(fā)的，事實(shí)上在很多企業(yè)內(nèi)部也存在著法務(wù)部們和業(yè)務(wù)部門“角力”的情況，因此，出現(xiàn)一些整改不徹底甚至沒有整改的空間，這是正常的。當(dāng)出現(xiàn)‘角力’ 的時(shí)候，業(yè)務(wù)部分要需要充分尊重法務(wù)意見，因?yàn)楹弦?guī)是生命線。而法務(wù)部門也要深刻、正確理解法律條文的含義，不是機(jī)械照搬。

另外，關(guān)于最近用戶維權(quán)意識(shí)的覺醒的問題，這是好事，是一個(gè)社會(huì)形成健康的數(shù)據(jù)安全文化的前提條件。以前，用戶不是不重視自己的權(quán)益保護(hù)，但重視了也沒用，訴求得不到滿足，甚至被置之不理。在法律威懾下，現(xiàn)在企業(yè)的態(tài)度改變了，用戶因此增強(qiáng)了維權(quán)意愿。但對企業(yè)而言，有時(shí)候也會(huì)遇到濫訴，這不可避免，但總體的影響是正面的。

最后要注意的是，企業(yè)層面，除了上述提到的個(gè)人信息保護(hù)法相關(guān)個(gè)人信息處理者的直接義務(wù)，另外還要注意確保個(gè)人信息處理規(guī)則合規(guī)，并有效保護(hù)用戶個(gè)人信息信息權(quán)的行使也是企業(yè)要重視的‘必然義務(wù)’ ” 中國信息安全研究院副院長左曉棟建議到。

信通院云大所副所長魏凱則補(bǔ)充總結(jié)：“要注意個(gè)人信息保護(hù)合規(guī)審計(jì)是個(gè)保法的要求，在企業(yè)在進(jìn)行風(fēng)險(xiǎn)治理的工作時(shí)，除了內(nèi)部具體實(shí)施者從業(yè)務(wù)層面和操作層面落實(shí)一道防線；企業(yè)管理者從法務(wù)，安全合規(guī)，內(nèi)控等角度落實(shí)管理的二道防線；還應(yīng)該積極接受外部監(jiān)督者的審計(jì)第三道防線。”  之所以要重視審計(jì)的價(jià)值，是因?yàn)閷徲?jì)能夠幫助企業(yè)了解個(gè)人信息保護(hù)合規(guī)的現(xiàn)狀和不足，完善閉環(huán)管理機(jī)制，實(shí)現(xiàn)個(gè)人信息保護(hù)合規(guī)的持續(xù)改進(jìn)。其具體作用體現(xiàn)在：

“1）發(fā)現(xiàn)問題：以獨(dú)立視角監(jiān)督個(gè)人信息保護(hù)體系合規(guī)性，審計(jì)發(fā)現(xiàn)合規(guī)問題。

 2）提出改進(jìn)建議：針對合規(guī)問題，提出專業(yè)合規(guī)改進(jìn)建議，實(shí)現(xiàn)閉環(huán)管理機(jī)制。

 3）持續(xù)評價(jià)：針對審計(jì)整改結(jié)果持續(xù)評價(jià)，實(shí)現(xiàn)個(gè)人信息保護(hù)合規(guī)的持續(xù)改進(jìn)?！?/p>

另外當(dāng)雷鋒網(wǎng)咨詢相關(guān)部門負(fù)責(zé)本領(lǐng)域的數(shù)據(jù)安全個(gè)人信息安全的監(jiān)管職責(zé)的負(fù)責(zé)人會(huì)不會(huì)覺得監(jiān)督技術(shù)門檻比較高，魏凱對此表示，“工信部或者銀行或者其它監(jiān)督部門技術(shù)能力其實(shí)是很強(qiáng)的，銀行管網(wǎng)絡(luò)金融行業(yè)，電信管電信行業(yè)，工業(yè)管工業(yè)行業(yè)，幾十年一直在管，互聯(lián)網(wǎng)監(jiān)管實(shí)際上就是這個(gè)方式。這些年這么多這么長時(shí)間，他們的監(jiān)管技術(shù)是不斷提升的，大家不用擔(dān)心監(jiān)督技術(shù)問題以及抱太多僥幸心理?！?/p>

「雷鋒網(wǎng)總結(jié)」

對于今天正式實(shí)施的個(gè)人信息保護(hù)法，不用等到那天也可以預(yù)見，在接下來的幾個(gè)月，緣于個(gè)人用戶的監(jiān)督，外部機(jī)構(gòu)的監(jiān)督，相關(guān)手機(jī)廠商推出的各種追蹤小工具，一定會(huì)讓整個(gè)市場“熱鬧”非凡——相較于小心翼翼地祈禱企業(yè)平臺(tái)自身不要再次“踏雷”，更靠譜的方法，反而如上述專家們所言，把它看作是一個(gè)“好事”的愚公心態(tài)反而更能安全，具體怎么防止再次踏雷，結(jié)合上述多方專家意見的綜合，我們應(yīng)該力所能及的：

其一，法律義務(wù)層面，互聯(lián)網(wǎng)平臺(tái)要系統(tǒng)做好上述十大直接義務(wù)，還要做好確保個(gè)人信息處理規(guī)則合規(guī)和有效保護(hù)用戶個(gè)人信息信息權(quán)的行使的二大應(yīng)當(dāng)義務(wù)。

具體措施側(cè)層面：

其二，對于個(gè)信法第五章規(guī)定的直接義務(wù)，積極整改并主動(dòng)向大眾同步動(dòng)作和進(jìn)度。

其三，對于來自個(gè)人用戶和第三方追蹤工具體驗(yàn)者的投訴和監(jiān)督，大膽接受用戶指正，并可以對一些追蹤工具采取“師夷長技以律己”的小妙招，利用這些小App進(jìn)一步督促自己，當(dāng)然也可以利用網(wǎng)絡(luò)安全廠商的各種專業(yè)工具和平臺(tái)啟動(dòng)更高維度的自我監(jiān)督。

其四，對于其它不確定的風(fēng)險(xiǎn)盲區(qū)提前做個(gè)人風(fēng)險(xiǎn)評估，特別危害是涉及國家安全層面高度的。

其五，制定短期防踏雷措施和長期防踏雷措施。

其六，要想徹底長治久安，注意借助審計(jì)很重要。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。