个人信息保护法今起实施，上海CA数字信任服务为数据安全保驾护航

个人信息保护法今起实施，上海CA数字信任服务为数据安全保驾护航

发布时间：November 1, 2021

网络信息时代，个人信息保护问题牵动各方神经，是广大人民群众较关心、较直接、较现实的利益问题之一。8月20日，十三届全国人大常委会第三十次会议表决通过我国首部保护个人信息安全的基础性法律——《中华人民共和国个人信息保护法》，其中对个人信息权益保护、个人信息处理活动规范、个人信息合理利用等进行了较为全面的规范。按照相关文件规定，个保法于2021年11月1日即今日起正式施行。

个保法划重点：五大原则+四大要求

《个保法》中明确规定了“个人信息处理者"的义务，具体可以简要归纳为五大原则和四大要求，在信息处理过程中，遵循五大原则并满足四大要求是“个人信息处理者”合规的前提。

遵循五大原则

1.合法、正当、必要、诚信原则

处理个人信息应当遵循合法、正当、必要和诚信原则，不得通过误导、欺诈、胁迫等方式处理个人信息。

2.目的限制原则

处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响较小的方式。

3.较小化原则

收集个人信息，应当限于实现处理目的的较小范围，不得过度收集个人信息。

4.公开、透明原则

处理个人信息应当遵循公开、透明原则，公开个人信息处理规则，明示处理的目的、方式和范围。

5.完整性、准确性原则

处理个人信息应当保证个人信息的质量，避免因个人信息不准确、不完整对个人权益造成不利影响。

满足四大要求

1.对个人信息处理全过程进行安全风险管理

采取措施确保个人信息处理活动符合法律、行政法规的规定，并防止未经授权的访问以及个人信息泄露、篡改、丢失。

2.建立安全保护制度，明确个人信息保护负责人

应当指定个人信息保护负责人，负责对个人信息处理活动以及采取的保护措施等进行监督，并公开个人信息保护负责人的联系方式。

3.定期进行合规审计

个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。

4.事前风险评估，事后立即补救

应当事前进行个人信息保护影响评估；发生或者可能发生个人信息泄露、篡改、丢失的，应当立即采取补救措施，并通知有关部门和个人。

必然趋势：从信息保护到信任建构

随着移动互联网、云计算、大数据、人工智能、物联网等技术应用，数据成为基础战略资源的同时，数据再利用也成为新常态，数字经济、数字社会、数字政府…… 数字化在给社会带来全新发展机遇的同时，也催生了新型安全和信任问题。现在大家关注的个人信息保护，正是信任问题中的重要一环。

此前，上海CA专注网络信任体系的建设，通过身份认证、授权管理、责任认定三个方面来建立、支撑和运营上海市的网络信任体系。数据交互过程中的身份认证、行为授权、责任认定皆是对网络行为及其法律效力的一种确认，这种技术手段在《电子签名法》及《网络安全法》中做了相关规定。

可以预见，未来10年，数据将成为融于我们政治、经济、生产、生活之中不可或缺的重要因素之一。基于这种情况，除了出台相关法律法规外，建立数据从搜集、传输，到存储、交易、销毁等覆盖数据生命周期的信任环节，将成为一项面向未来的焦点技术。

构建多维信任机制：共享数字信任成果

人无信不立，业无信不兴。保障社会稳定、促进经济安全有序发展，离不开信任机制的建立健全。数字化转型时代下，数据交互更频繁，首当其冲的就是要确认数据处理、加工、交易中行为主体的身份。上海CA已通过数字证书建立起上海市大量企业/个人与一网通办、一网统管相一致的政府身份认证体系。

在跨入万物互联时代的过程中，一个更能够体现隐私保护的数字身份体系理当被期待。上海CA在此方面已先试先行：通过构建行之有效的技术信任、治理信任、第三方评估框架，结合区块链技术，将数据信任框架贯穿其中，以搭建一个「个人可控、数据可验、信息受保护」的数字身份信任机制，而这正符合了《个保法》的五大原则、四大要求。

形成更安全、更高效、更便捷的数据处理机制，让社会教育、资本流通、政务处理的成本更低，是我们不变的追求。未来，我们将在现有成果的基础上，与更多高校、研究院、技术厂商等增进交流促进发展，推动多维信任机制尽快更大范围落地，在驱动经济快速发展的同时，为个人信息撑起一把保护伞。

▲本文部分内容来源于：信息安全与通信保密杂志社