本书构建一套“法规—技术—场景”三维贯通的个人信息保护实战指南,以业务场景为载体,深化读者对个人信息保护的认知,助力组织完善个人信息保护体系、提升合规能级,确保个人信息处理活动安全合规。
本书共7章:第1章介绍个人信息保护的含义、发展历程、面临的挑战及未来发展趋势;第2章基于《中华人民共和国个人信息保护法》等法律法规提炼标准化合规控制点,构建涵盖组织、管理、技术、运营的治理框架;第3、4章进一步系统性阐释6项管理机制与10类技术原理及应用;第5章探索个人信息主体八大权益的响应机制与技术落地方案;第6、7章通过场景适配模块,横向覆盖人工智能、云计算、App、智能终端等新兴技术场景,纵向剖析医疗、政务、金融、电信等行业场景,构建矩阵式个人信息保护解决方案。
本书面向企业合规管理人员、法务从业者及信息安全技术人员,助力构建全链条防护体系;可作为高等学校法学、信息管理与信息系统、计算机科学与技术等专业的教学参考书,辅助培养复合型人才;也可供监管机构人员及数据隐私领域研究者参考,深化对个人信息保护领域的系统性认知。
合规响应
梳理全球法律法规脉络,厘清合规边界
解析个人信息主体八大权益内核
提炼标准化合规控制点与实施基准
实操指引
围绕个人信息全生命周期精准布防
融通六大管理机制,确保流程落地
深研十类技术原理,筑牢防御根基
场景实践
聚焦人工智能、云计算、App与智能终端等技术场景
剖析医疗、政务、金融、电信等典型行业实践
构建矩阵式个人信息保护解决方案
本书旨在为企业在复杂生态中实现个人信息保护与数据价值平衡提供系统性解决方案。本书以我国个人信息保护合规要求为基础,系统整合治理框架与技术路径,为企业提供“知行合一”的操作指南,既构建涵盖指导、评价、监督及沟通的治理体系,又提供覆盖各类个人信息保护场景的技术实践方法,最终形成“合规有依据、治理有框架、技术有路径、操作有方法”的完整实施体系。
本书作者为天融信科技集团的高管及技术管理者,具备丰富的个人信息保护实践经验,为各行业、各领域提供数据产品和数据安全治理咨询服务十余年。此外,本书特别邀请北京市盈科律师事务所的律师团队参与撰写,阐述各类个人信息主体权益的内涵,并提供响应机制和司法判例。
李雪莹
博士,正高级工程师,天融信科技集团董事长兼CEO,中国科学技术大学博士生实践导师,山东大学特聘教授,中国网络空间安全协会副理事长,全国网络安全标准化技术委员会委员,中国计算机学会计算机安全专业委员会常务委员。长期从事网络安全技术研究、产品开发和管理工作,致力于网络安全管理与安全防护体系构建、安全大数据分析、云安全、人工智能+安全等领域的技术创新和成果转化。先后负责十余项科技部、工业和信息化部、国家发展改革委的相关课题研究工作。曾获多项省部级科学技术进步奖和社会科技奖。
晋钢
博士,副高级工程师,天融信科技集团高级副总裁,英国曼彻斯特大学计算机科学学院访问学者,中国指挥与控制学会网络空间安全专业委员会常务委员,中国计算机学会计算机安全专业委员会执行委员。长期从事网络安全相关领域的技术管理工作,作为主要项目负责人承担多项国家级网络安全重大研发建设项目。曾获省部级科学技术进步奖一等奖1项、三等奖2项。
王玮
天融信科技集团数据安全治理咨询专家,国家工业信息安全发展研究中心数据安全所数据安全讲师库高级讲师,云安全联盟数据安全工作组成员,中国信息通信研究院数据安全推进计划专家库、“未成年人保护推进工作小组”成员,注册数据安全治理专业人员(CISP-DSG)、注册数据安全官(CISP-DSO)培训课件编制者和讲师。拥有十余年的咨询行业经验,为众多政府机构及电信、金融等行业提供网络安全和数据安全咨询服务,主导的多个项目被评为行业标杆案例。在数据安全和个人信息保护领域的核心期刊发表了多篇论文,参与多部(份)行业白皮书、研究报告、行业标准和团体标准的编写(制定)工作。
王鹏
天融信科技集团副总裁,网络空间新兴技术安全创新论坛(新安盟)理事,广东省网络空间安全标准化技术委员会首届委员,注册数据安全治理专业人员(CISP-DSG)、注册数据安全官(CISP-DSO)课程体系设计者及教材主要编撰者。深耕网络空间安全领域二十余年,主导完成多项重要网络安全建设项目。深入研究数据安全治理和人工智能安全两个前沿领域,发表多篇学术论文并授权多项专利,参与多部(份)研究报告、行业标准、团体标准和企业标准的编写(制定)工作。
艾龙
天融信科技集团数据安全治理中心总监,中国信息安全测评中心注册信息安全讲师,曾入选武汉英才计划培育支持专项人才项目。专注于网络及数据安全领域18年,对数据安全和个人信息保护实践有深入研究,发表多篇学术论文并授权多项专利,参与多部(份)研究报告、行业标准和团体标准的编写(制定)工作。
第 1章 个人信息保护的发展现状与未来趋势 001
1.1 个人信息保护是什么 002
1.1.1 个人信息的定义 002
1.1.2 个人信息的类型和范围 003
1.1.3 个人信息保护的内容 003
1.2 个人信息保护的发展历程 004
1.2.1 国外个人信息保护的发展历程 004
1.2.2 我国个人信息保护的发展历程 006
1.3 个人信息保护面临的挑战 007
1.4 个人信息保护的未来发展趋势 008
第 2章 个人信息保护治理体系 011
2.1 个人信息保护治理概述 012
2.1.1 个人信息保护工作的评价 012
2.1.2 个人信息保护工作的指导 013
2.1.3 个人信息保护工作的监督 013
2.1.4 个人信息保护工作的沟通 013
2.1.5 个人信息保护工作的保障 014
2.2 个人信息保护治理体系及运行机制 014
2.2.1 制定明确的个人信息保护治理方针和目标 015
2.2.2 个人信息保护组织 016
2.2.3 个人信息保护管理 016
2.2.4 个人信息保护技术 020
2.2.5 个人信息保护运营 020
第3章 个人信息保护管理机制 023
3.1 合规知识库的建立与维护 024
3.1.1 合规知识库的建立目标 024
3.1.2 合规知识库的建立与维护的实施机制和流程 025
3.2 个人信息保护影响评估 031
3.2.1 开展个人信息保护影响评估的意义 031
3.2.2 个人信息保护影响评估的实施机制和流程 032
3.3 个人信息保护合规审计 037
3.3.1 开展个人信息保护合规审计的意义 037
3.3.2 个人信息保护合规审计的实施机制和流程 038
3.4 投诉举报受理与反馈 042
3.4.1 开展投诉举报受理与反馈的意义 042
3.4.2 投诉举报受理与反馈的实施机制和流程 043
3.5 个人信息安全事件上报与告知 048
3.5.1 开展个人信息安全事件上报与告知的意义 048
3.5.2 个人信息安全事件上报与告知的实施机制和流程 049
3.6 个人信息跨境合规管理 052
3.6.1 开展个人信息跨境合规管理的意义 052
3.6.2 个人信息跨境合规管理的实施机制和流程 053
第4章 个人信息保护技术底座 059
4.1 个人信息保护以数据安全为基础 060
4.1.1 个人信息保护与数据安全的关系 060
4.1.2 个人信息全生命周期的数据安全保护需求 060
4.1.3 个人信息保护中的数据安全技术概述 063
4.2 个人信息保护以网络安全为前提 070
4.2.1 个人信息保护与网络安全的关系 070
4.2.2 个人信息保护以网络安全等级保护为前提 070
4.2.3 个人信息保护中的网络安全技术概述 071
4.3 个人信息去标识化与匿名化技术原理及应用 078
4.3.1 个人信息保护中的去标识化与匿名化需求 078
4.3.2 个人信息去标识化与匿名化技术概述 078
4.3.3 个人信息去标识化与匿名化技术应用场景 085
4.4 个人信息识别与分类分级技术原理及应用 087
4.4.1 个人信息保护中的个人信息识别与分类分级需求 087
4.4.2 个人信息识别与分类分级技术概述 087
4.4.3 个人信息识别与分类分级技术应用场景 094
4.5 安全多方计算技术原理及应用 095
4.5.1 个人信息保护中的安全多方计算需求 095
4.5.2 安全多方计算技术概述 096
4.5.3 安全多方计算技术应用场景 103
4.6 联邦学习技术原理及应用 106
4.6.1 个人信息保护中的联邦学习需求 106
4.6.2 联邦学习技术概述 107
4.6.3 联邦学习技术应用场景 113
4.7 可信执行环境技术原理及应用 116
4.7.1 个人信息保护中的可信执行环境需求 116
4.7.2 可信执行环境技术概述 116
4.7.3 可信执行环境技术应用场景 121
4.8 API数据安全监测技术原理及应用 123
4.8.1 个人信息保护中的API数据安全监测需求 123
4.8.2 API数据安全监测技术概述 126
4.8.3 API数据安全监测技术工具及应用场景 130
4.9 数据加密技术原理及应用 131
4.9.1 个人信息保护中的数据加密需求 131
4.9.2 数据加密技术概述 132
4.9.3 数据加密技术工具及应用场景 135
4.10 数据安全审计技术原理及应用 140
4.10.1 个人信息保护中的数据安全审计需求 140
4.10.2 数据安全审计技术概述 141
4.10.3 数据安全审计技术工具及应用场景 146
4.11 数据防泄露技术原理及应用 149
4.11.1 个人信息保护中的数据防泄露需求 149
4.11.2 数据防泄露技术概述 150
4.11.3 数据防泄露技术工具及应用场景 155
4.12 数据水印技术原理及应用 158
4.12.1 个人信息保护中的数据水印需求 158
4.12.2 数据水印技术概述 159
4.12.3 数据水印技术工具及应用场景 165
4.13 个人信息保护管理平台 167
4.13.1 个人信息保护管理平台的建设需求 167
4.13.2 个人信息保护管理平台简介 168
第5章 个人信息主体权益的响应及落地 173
5.1 知情权的响应机制及技术落地 174
5.1.1 知情权的定义及立法目的 174
5.1.2 行使知情权的范围 174
5.1.3 知情权的响应实现方式 175
5.1.4 知情权的司法实践 177
5.2 查阅权的响应机制及技术落地 178
5.2.1 查阅权的定义及立法目的 178
5.2.2 行使查阅权的范围 179
5.2.3 查阅权的响应实现方式 179
5.2.4 查阅权的司法实践 182
5.3 复制权的响应机制及技术落地 183
5.3.1 复制权的定义及立法目的 183
5.3.2 行使复制权的范围 184
5.3.3 复制权的响应实现方式 185
5.3.4 复制权的司法实践 186
5.4 更正权的响应机制及技术落地 187
5.4.1 更正权的定义及立法目的 187
5.4.2 行使更正权的范围 187
5.4.3 更正权的响应实现方式 187
5.4.4 更正权的司法实践 189
5.5 可携带权的响应机制及技术落地 190
5.5.1 可携带权的定义及立法目的 190
5.5.2 行使可携带权的范围 190
5.5.3 可携带权的响应实现方式 190
5.5.4 可携带权的司法实践 192
5.6 删除权的响应机制及技术落地 192
5.6.1 删除权的定义及立法目的 192
5.6.2 行使删除权的范围 193
5.6.3 删除权的响应实现方式 194
5.6.4 删除权的司法实践 195
5.7 未成年人个人信息保护机制及技术落地 197
5.7.1 未成年人个人信息保护的定义及立法目的 197
5.7.2 未成年人个人信息保护的范围 197
5.7.3 未成年人个人信息保护的实现方式 198
5.7.4 未成年人个人信息保护的司法实践 200
5.8 适老化机制及技术落地 201
5.8.1 适老化的定义及立法目的 201
5.8.2 行使适老化机制的范围 202
5.8.3 适老化机制的实现方式 202
5.8.4 适老化机制的司法实践 206
第6章 浅析不同承载环境下的个人信息保护 207
6.1 人工智能个人信息保护 208
6.1.1 人工智能个人信息保护需求 208
6.1.2 人工智能个人信息保护框架 210
6.1.3 人工智能个人信息保护的安全管理机制 212
6.1.4 人工智能个人信息保护的安全技术措施 220
6.2 云计算个人信息保护 225
6.2.1 云计算个人信息保护需求 225
6.2.2 云计算个人信息保护框架 228
6.3 App个人信息保护 232
6.3.1 App个人信息保护需求 232
6.3.2 App个人信息保护框架 235
6.4 智能终端个人信息保护 240
6.4.1 智能终端个人信息保护需求 240
6.4.2 智能终端个人信息保护框架 243
第7章 浅析各行业及其典型场景下的个人信息保护 249
7.1 医疗行业个人信息保护 250
7.1.1 医疗行业个人信息保护概述 250
7.1.2 医疗行业个人信息保护的典型场景 252
7.2 政务行业个人信息保护 259
7.2.1 政务行业个人信息保护概述 259
7.2.2 政务行业个人信息保护的典型场景 260
7.3 金融行业个人信息保护 267
7.3.1 金融行业个人信息保护概述 267
7.3.2 金融行业个人信息保护的典型场景 268
7.4 电信行业个人信息保护 276
7.4.1 电信行业个人信息保护概述 276
7.4.2 电信行业个人信息保护的典型场景 277
参考文献 283
术语解释 285
缩略语表 287
书单推荐
