《中华人民共和国个人信息保护法》(下称《个人信息保护法》)历经三次审议及两次公开征求意见后,由第十三届全国人民代表大会表决通过,正式于2021年11月1日起施行。《个人信息保护法》在当前网络环境中个人信息不断被非法获取、滥用的背景下出台,完善了我国在网络安全和数据保护领域的顶层设计,作为个人信息保护领域的基础性法律,与《数据安全法》、《网络安全法》、《密码法》共同构建了我国数据治理法律框架,是我国数字经济时代重要法律基石。
《个人信息保护法》规定了对个人信息处理的保护要求及各方的责任与权力,其中个人信息处理者负有个人信息安全保护的主体责任。这就意味着将有更多的信息处理者需要用密码技术来约束数据处理,密码技术的应用领域将被拓宽。个人信息处理者在个人信息的处理中,将用到数据加密、数据去标识化、数据匿名化、数据防篡改等技术,密码技术的引入将使个人信息的处理应用更规范,推动数据的安全应用。
一、《个人信息保护法》对于个人信息处理的相关法律规定
《个人信息保护法》第四条指出:“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”第五十一条规定了通过加密、去标识化等安全技术措施保护信息。第七十三条专门解释了去标识化和匿名化两种信息保护技术的含义。根据《个人信息保护法》的要求,以及《信息安全技术个人信息安全规范》GB/T 35273-2020的相关规定,对个人信息进行处理时应以密码技术为基础,实现数据存储、传输、处理中的加密与防篡改要求、实现个人信息去标记化和匿名化要求。以数据去标记化和匿名化实现数据脱敏或有条件脱敏,扩大数据的安全应用范围,推动个人信息的安全应用。
相关法律条文:
个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取下列措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失: (三)采取相应的加密、去标识化等安全技术措施; (三)去标识化,是指个人信息经过处理,使其在不借助额外信息的情况下无法识别特定自然人的过程。 (四)匿名化,是指个人信息经过处理无法识别特定自然人且不能复原的过程。
数据加密 去标识化 数据匿名化 防篡改 《个人信息保护法》五十一条还点名了个人信息的“篡改”问题。个人信息处理者需要保证其所处理的个人信息保证其完整性、真实性和不可否认性。一般来说,在信息的存储和传输中最容易出现非法篡改的问题,需要通过数字指纹、数字签名等密码技术来实现。 传统数据加密:通过数据加密,实现数据无法与个人关联。 技术分享:标识化和匿名化的相关密码技术