一般数据保护条例（个人信息保护法）

随着中国《个人信息保护法》(PIPL)的颁布与实施，金融服务和其他行业的企业需要在创造良好的客户体验的同时，进一步加强用户数据安全和隐私保护。

中国是世界上人口最多的国家，因此，一旦发生数据泄露事件，往往涉及人数众多。2011年，中国访问量最高的网站之一，天涯社区遭黑客攻击，导致 4000万用户密码泄露[1]；2018年年底，MongoDB 数据库由于没有采取任何安全保护措施,导致共计2 亿份中国求职者简历泄露[2]。

随着越来越多的企业将数据视为最重要的资产之一，这一领域的个人隐私和权利保护亟需加强。近年来，中国政府部门正在大力推进个人数据使用的保护与监管。例如，自2021年11月1日起正式施行的《个人信息保护法》[3]。“《个人信息保护法》只是个人数据保护领域的重要法规之一，”作为全球专业服务机构，安永[4]中国金融服务科技咨询服务主管阮祺康表示。2021年实施的《数据安全法》[5]以及2017年实施的《网络安全法》[6]构成了中国不断加强安全和隐私保护的另两大支柱，所有企业，包括希望招揽中国客户的国外企业都必须熟悉并遵守这些法律。

安永[4]中国金融服务科技咨询服务主管阮祺康表示：

“监管机构对个人信息保护要求日趋严格，大众对自身隐私保护意识不断提升。 金融机构做好个人信息与隐私保护工作，是与客户构建长期信任关系的重要基石。”

《个人信息保护法》规定了各类组织，包括金融服务公司，如何处理其接收并存储的敏感性个人数据。它类似于欧盟的《通用数据保护条例》，但更为严格。[《个人信息保护法》第66条]对情节严重的违法行为处以人民币五千万元或者上一年度营业额百分之五的罚款，超出了欧盟《通用数据保护条例》中规定的4%的处罚比例，对直接负责的主管人员和其他直接责任人员的罚款可达人民币100,000元。中国政府还要求，组织必须就用户个人数据的使用和分享方式征得用户的明示同意。存在相关违法行为的组织将被公示，藐视规定的企业，声誉将会受损。

紧跟基于原则的立法要求

《个人信息保护法》是一种“基于原则”的立法，会根据现实情况的变化不断进行修订。相关政府部门以及中国银行保险监督管理委员会(CBIRC)等监管机构有权在《个人信息保护法》的原则基础上，进一步制定更细化的指南和标准，企业同样必须遵守这些指南和标准并作出相应的调整。有关个人数据使用的法规不仅有多种类别，而且会持续更新。对于金融服务公司和其它大型机构而言，为满足合规要求，往往需要作出技术调整，而如果能借助专业顾问的帮助，则可以少走很多弯路。“我们实时关注所有指导方针和国家标准的变化，能够第一时间帮助客户实施必要的调整，”阮先生表示。

《个人信息保护法》的一大特点是，客户需要针对不同方式的个人数据收集和使用提供单独的同意，由此导致的繁杂要求往往令企业无所适从。“隐私不仅仅是 IT部门需要关注的事项，它还涉及业务端、风险管理、法务和审计部门，”阮先生解释说。要协调所有这些方面，企业不仅要有统领性的管治框架，还要具备实施框架所需的技术。安永团队在长期服务众多客户的过程中积累了丰富的专业知识与经验，可以满足企业在这两方面的需求。

安永[4]中国金融服务科技咨询服务主管阮祺康表示：

“数据是企业的重要资产，不仅仅是从合规和风险角度而言，企业还需要预见未来数字经济中蕴藏的价值。”

“从法规要求的理解到评估、设计和实施，再到帮助客户与技术供应商的合作，实施完整的隐私保护框架需要大量的实践经验。”阮先生说。《个人信息保护法》合规项目涉及隐私计算、管理和数据保护等不同的解决方案和不同的供应商，因此一定要全面了解供应商的能力和服务。安永团队可以根据客户的具体要求，帮助客户选择并整合可用的选项。

满足隐私和安全要求的实用性方法

针对《个人信息保护法》相关的项目，安永团队首先从面向整个组织的培训开始。培训对象上至董事会和高级管理团队，下至每一名基层员工，培训主题涵盖法律及其要求的解读，以及隐私惯例涉及的技术方面。安永团队还会为客户执行差距分析，帮助客户了解存在哪些不足，以及为满足法规要求需要采取哪些行动。在对需采取的行动进行优先性排序并考量成本因素后，便进入实施环节。具体的实施包括组织变革、政策制定、重新设计隐私系统和流程，以及应用新技术和新工具。阮先生称，根据经验，整个项目过程通常需要四个月到一年。

安永[4]中国金融服务科技咨询服务主管阮祺康表示：

“我们实时关注所有指导方针和国家标准的变化，能够第一时间帮助客户实施必要的调整。”

企业如果不采取类似的行动，最终往往会违反安全或合规要求，并造成商誉和财务损失。陷入类似困境的企业理所当然需要专业性的支持。“我们的事件响应团队能够为客户开展违规根本原因调查，并制定事件抑制方案，包括止损、修复系统和帮助业务恢复等，”阮先生表示。企业遭遇勒索软件攻击等事件后，往往会陷入惊恐与混乱之中。在某些情况下，可以及时解决问题并恢复丢失的数据，但并非总是如此幸运。但无论如何，必须修补导致违规的漏洞。

安永[4]中国金融服务科技咨询服务主管阮祺康表示：

“从法规要求的理解到评估、设计和实施，再到技术供应商的合作，实施完整的隐私保护框架需要大量的实践经验。”

隐私保护转型中存在的机遇

新法规的出台，往往要求企业进行相应的转型，而专业顾问可以帮助企业发现转型中存在的机遇。“数据是企业的重要资产，不仅仅是从合规和风险角度而言，”阮先生说，“企业还需要预见未来数字经济中蕴藏的价值。”通过建立加密、身份验证和同意管理等技术，组织不仅可以提升数据安全能力，满足《个人信息保护法》的潜在要求，还可以积累大量的数据，并在法规限定的范围内，自信地使用这些数据，推动基于分析、人工智能和自动化的创新。

企业还可以通过以用户友好的方式满足《个人信息保护法》的统一管理要求建立业务优势。相反，如果处理不当，收集数据使用中所需的特定许可会变得极其棘手。“我们可以帮助客户确保在满足法律要求的同时，为客户营造良好的体验，”阮先生说。在安永团队的协助下，组织不仅可以避免客户因感到麻烦而流失，还可以通过顺畅的体验吸引更多客户。

注：

[1]. “天涯社区承认用户密码泄露或涉及四千万用户”央视网，2011年12月26日

[2]. Ivan Mehta，“大规模数据泄露导致2亿份中国求职者简历外泄”，TNW，2019年1月11日

[3]. “中国已成为数字技术监管的实验室”

[4]. 安永（中国）企业咨询有限公司

[5]. “《中华人民共和国数据安全法》”2021年6月10日

[6]. “中国的《网络安全法》：你需要知道什么”2017年6月1日

本文是为提供一般信息的用途所撰写，并非旨在成为可依赖的会计、税务、法律或其他专业意见。请向您的顾问获取具体意见。