一、概要
《中华人民共和国个人信息保护法》(PIPL)对个人信息处理提出了严格要求,数据库产品应具备满足PIPL相关条款合规的功能。数据库提供商需与客户、应用开发者、第三方安全产品提供商及使用者共同落实PIPL合规要求。然而,目前国内在数据库个人信息保护技术规范方面仍属空白,亟待完善,以确认和提升数据库在个人信息保护方面所需的安全能力,保障企业和组织的合规运营。
截至2024年12月,国际上已有相关研究和工具开发,如GDPRbench对数据库在GDPR合规性与性能平衡进行了研究,并开发了评估工具。而国内尚未出台专门针对数据库在个人信息安全保护方面的技术规范或指导,数据库需要满足哪些技术要求以实现合规,仍缺乏明确指引。
为此,本文尝试通过对PIPL条款的分析,提出可供业内参考的技术要求,助力数据库产品PIPL合规。
二、合规需求分析
通过对《个人信息保护法》分析,结合数据库产品工作实践,提出数据库提供商、应用开发者和使用者在技术领域(非管理制度或使用规范)方面应提供的产品安全能力,侧重面向数据库提供商,具体如下:
| 序号 | 功能 | 功能描述 | 建议由谁来提供 | 数据库或软件功能建议方案 | 法条序号 | 法条概要 |
|---|---|---|---|---|---|---|
| 1 | 数据最小化和删除功能 | 应提供数据删除和匿名化功能,以便在不再需要个人信息或个人撤回同意时,能够及时删除或匿名化处理这些数据。 | 数据库提供商 | 数据脱敏 | 第六条 | 收集个人信息应限于最小范围,个人有权请求删除 |
| 2 | 个人信息处理规则公开 | 应提供清晰的用户界面,让用户能够轻松访问并理解个人信息处理规则。 | 客户与应用开发商 | 规则展示(系统) | 第七条 | 提供清晰的个人信息处理规则,并公开这些规则以便查阅 |
| 3 | 数据加密 | 应提供数据加密功能,确保存储和传输的数据安全,防止数据在未经授权的情况下被访问或泄露。 | 数据库提供商 | 数据加密 | 第九条 | 采取必要措施保障个人信息的安全 |
| 4 | 访问控制 | 应实现严格的访问控制机制,包括用户认证、权限分配和审计日志,以确保只有授权用户才能访问敏感数据。 | 数据库提供商 | 访问控制 | 第九条 | 实施访问控制以确保个人信息处理者对其活动负责 |
| 5 | 同意管理 | 应提供工具来获取、记录和存储个人的同意,包括同意的时间、方式和内容,并允许用户随时撤回同意。 | 应用开发商 | 个人信息处理意见征询子系统 | 第十三条、第十四条 | 个人信息处理者方处理个人信息;由个人在充分知情的前提下自愿、明确作出 |
| 6 | 信息披露与变更通知 | 应能够记录和存储个人信息处理活动的细节,并在处理规则变更时,提供更新通知的功能。 | 数据库提供商 | 提供审计功能,支持客户审计与报告 | 第十七条、第十八条 | 记录个人信息处理活动,并在必要时提供给个人或监管部门 |
| 7 | 自动化决策透明度 | 如果用于自动化决策,应提供透明度和解释能力,让用户了解决策的逻辑和依据。并允许用户选择不基于个人特征的信息推送。 | 应用开发商 | 个人信息的收集识别与告警 | 第二十四条 | 保证自动化决策的透明度和结果公平、公正 |
| 8 | 信息公开限制 | 应限制对个人信息的公开,并在获得个人单独同意时才允许公开。 | 应用开发商 | 个人信息处理意见征询子系统 | 第二十五条 | 个人信息处理者不得公开其处理的个人信息,取得个人单独同意的除外。 |
| 9 | 公共场所数据收集限制 | 若数据库涉及公共场所的图像采集或身份识别,应仅在维护公共安全所必需的情况下使用,并设置提示标识。 | 客户及法律工作者 | 客户安排 | 第二十六条 | 应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。 |
| 10 | 已公开信息处理 | 应允许在合理的范围内处理已公开的个人信息,但应尊重个人拒绝处理的意愿。 | 应用开发商 | 个人信息处理意见征询子系统 | 第二十七条 | 在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息 |
| 11 | 敏感信息特殊处理 | 应提供额外的安全措施来处理敏感个人信息,如加密、访问控制,并要求单独同意。 | 数据库提供商 | 同“数据脱敏、加密与安全” | 第二十八条至第三十一条 | 对于敏感个人信息,实施更严格的处理规则和保护措施 |
| 12 | 未成年人信息保护 | 提供专门的机制来识别和处理未成年人的个人信息,要求获得父母或监护人的同意,并可能需要有专门的数据处理规则和更高的安全保护措施。实现年龄验证功能,以确保在处理个人信息前确认用户是否为未成年人。提供工具来获取、记录和验证监护人的同意,以及在必要时撤回同意的能力。 | 数据库提供商 或应用开发商 | 年龄验证功能,提示增加监护人字段且禁止不为空(推荐) | 第三十一条 | 对未成年人的个人信息提供额外的保护措施 |
| 13 | 跨境数据传输安全措施 | 提供工具来评估跨境数据传输的合规性,包括安全评估和合规性认证。 管理与跨境数据传输相关的协议,如标准合同条款,并确保符合所有相关法律要求。支持与国际合作伙伴的合作,以确保个人信息在全球范围内得到适当的保护。 | 数据库提供商 或应用开发商 | 跨境数据传输安全评估能力或工具支持 | 第三十八条至第四十三条 | 对于跨境数据传输,采取必要的安全措施以保护个人信息 |
| 14 | 数据主体权利支持 | 应支持数据主体行使权利,如数据访问、更正、删除等,提供相应的接口和工具,以便数据主体可以轻松地管理自己的个人信息。 | 应用开发商 | 数据访问处理与审计 | 第四十四条至第四十九条 | 支持个人行使知情权、决定权以及更正、删除个人信息 |
| 15 | 个人信息主体查询和复制 | 实现一个系统来接收和处理个人的数据访问请求,允许用户查看存储在数据库中的个人信息。提供一个安全的方法来允许用户下载或复制其个人信息。 | 应用开发商 | 数据访问处理 | 第四十五条 | 允许个人信息主体查询和复制其个人信息 |
| 16 | 个人信息主体权利行使机制 | 应提供一个机制,允许个人请求更正或补充其个人信息,并确保这些请求得到及时处理。实现一个系统来处理个人的数据删除请求,包括“被遗忘的权利”。允许用户轻松地将其个人信息从一个服务提供商转移到另一个服务提供商。 | 应用开发商 | 数据访问处理 | 第四十六条至第五十条 | 提供机制以支持个人信息主体行使更正、删除等权利 |
| 17 | 合规性报告和审计 | 应支持生成合规性报告和审计日志,以证明数据处理活动的合规性,并帮助组织进行自我评估和外部审计。 | 数据库提供商 | 合规性报告和审计日志 | 第五十一条、第五十四条 | 支持生成合规性报告和审计日志,进行合规审计 |
| 18 | 数据分类和标签化 | 为了更好地管理和保护个人信息,应支持数据分类和标签化,特别是对于敏感信息,以便实施不同的保护措施。 | 应用开发者 | 支持内建标签系统,或与外部数据分类和治理工具集成,如 Apache Atlas,以实现更复杂的数据分类和标签化需求。 | 第五十一条 | 对个人信息实行分类管理,采取相应安全技术措施 |
| 19 | 个人信息保护负责人职责 | 实现一个系统来支持个人信息保护负责人监督数据处理活动,并报告任何违规行为。 | 应用开发商 | 开发个人信息保护监督系统 | 第五十二条 | 指定个人信息保护负责人,负责监督个人信息处理活动 |
| 20 | 个人信息保护合规审计 | 提供工具来定期进行个人信息保护的合规审计,包括数据处理活动的记录和评估。能够生成和存储合规审计报告,以证明符合个人信息保护法规的要求。 | 数据库提供商 | 审计功能,支持客户审计与报告 | 第五十四条 | 定期进行个人信息保护合规审计,确保数据处理活动的合规性 |
| 21 | 数据保护影响评估(DPIA)工具 | 应提供工具来帮助组织进行数据保护影响评估,以识别和减轻数据处理活动可能带来的风险。 | 数据库提供商或第三方提供商 | 提供个人信息保护影响评估系统或支持该系统的实现 | 第五十五条 | 提供工具帮助进行个人信息保护影响评估。 |
| 22 | 安全事件响应机制 | 应提供监测和响应安全事件的工具,如入侵检测系统、异常行为监测等,以便在发生安全事件时迅速采取行动。 | 数据库提供商或第三方提供商 | 提供入侵检测系统、异常行为监测系统或支持该系统的实现 | 第五十七条 | 在发生个人信息泄露等情况时,立即采取补救措施 |
| 23 | 个人信息安全事件通知 | 实现监测系统来识别潜在的个人信息安全事件,并提供响应计划以减轻影响。 在发生安全事件时,提供自动通知受影响个人和监管机构的功能。 | 应用开发商 | 个人信息安全巡检系统 | 第五十七条 | 在发生个人信息安全事件时,向受影响的个人和监管部门提供通知 |
| 24 | 约谈和合规审计要求 | 应能够响应监管部门的约谈和合规审计要求,并提供必要的信息和支持。 | 数据库提供商或第三方提供商 | 提供相应工具、制度、纪录和报告 | 第六十四条 | 发现个人信息处理活动存在较大风险或者发生个人信息安全事件 |
三、合规技术要求分析
针对上述需求和分析,我们从数据库提供商角度提出以下数据库技术要求,以满足PIPL合规需求。对部分需要制度支持或可能由应用开发商、第三方提供商提供的能力,进行了裁剪。如第2、8、9、19、21、23、24条等。
1. 个人信息收集的最小化原则(第6条)
PIPL 要求收集个人信息应限于最小范围,个人有权请求删除。数据库需要支持:
- 数据最小化:只存储必要信息,可结合 RLS、列级访问控制实施
- 匿名化/去标识化:使用 加密模块、哈希算法等方式避免直接存储敏感数据
2. 个人信息的存储安全(第51条)
PIPL 要求对个人信息实行分类管理,并采取相应安全技术措施。数据库需要支持:
- 数据加密:提供 TLS/SSL 传输加密、存储加密(结合 TDE)
- 访问控制:采用 RBAC、RLS 确保数据访问权限的精细化管理
- 日志记录:通过 审计模块或 日志 记录数据访问情况
3. 个人信息跨境传输(第38条)
PIPL 要求对于跨境数据传输,采取必要的安全措施以保护个人信息,数据库需要支持:
- 数据驻留:如果数据涉及跨境存储,数据库需配合本地化存储策略
- 脱敏处理:在跨境前进行加密或去标识化存储
4. 个人信息删除权(第47条)
PIPL 要求个人信息处理者应当主动删除个人信息;个人信息处理者未删除的,个人有权请求删除等。数据库需要支持:
- 物理删除:确保 删除操作后,结合清理模块彻底移除数据
- 日志记录:保留删除操作日志,以便审计
5. 未成年人信息保护(第31条)
PIPL 要求个人信息处理者应当主动删除个人信息;个人信息处理者未删除的,个人有权请求删除,数据库需要支持:
- 自动识别用户是否为未成年人(计算年龄)。
- 对未成年人的数据实施基于角色的访问控制,确保只有授权用户可以访问敏感数据。
- 为未成年人信息提供加密保护,防止未经授权的访问
- 记录访问审计日志,确保符合合规要求。
6. 数据泄露通知(第57条)
PIPL 要求发生或者可能发生个人信息泄露、篡改、丢失的,个人信息处理者应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人。
- 审计日志:通过审计记录所有数据访问,快速溯源。
- 异常检测:结合监控系统识别异常访问行为。
7. 个人信息授权与同意管理(第13条)
PIPL 要求处理个人信息必须获得用户同意,并提供撤回同意的机制。数据库需要支持:
- 用户授权管理表:存储用户的同意状态。
- 撤回同意:如果用户撤回同意,则必须停止处理其数据。
- 数据访问控制:在应用层检查授权状态,或在数据库中实现 RLS 限制查询。
8. 自动化合规审计(第58条)
PIPL 要求企业定期审计个人信息处理活动。数据库需要:
-
日志监控:使用审计模块 记录所有 DML操作。
-
异常检测:结合视图监测异常访问行为。
-
自动化合规报告:
- 定期检查是否有未加密存储的敏感字段。
- 记录数据导出。
-
可通过第三方应用监控系统进行可视化。
9. 特殊个人信息的保护(第28条)
PIPL 要求 敏感个人信息(如生物识别数据、医疗数据、财务信息)需要额外保护。数据库需要:
-
单独存储敏感数据:可以使用独立的表或数据库存储敏感信息。
-
列级加密:使用加密模块或外部 KMS进行加密存储。
-
数据屏蔽:防止普通用户看到完整数据。
-
只有授权用户可以解密数据。
-
通过接口,将敏感数据存储到专用数据库。
10. 个人信息分类与生命周期管理(第19条、第47条)
PIPL 要求企业管理个人数据的生命周期,包括存储时长、到期自动删除。数据库需要:
-
分类存储不同类型的数据。
-
设置数据过期机制。
-
定期删除过期数据(彻底清理)。
-
搭配自动管理分区管理。
-
定时任务以定期删除过期数据。
11. 组织级数据安全管理(第51条)
PIPL 还要求数据处理者承担数据安全责任,数据库产品需配合组织级合规策略:
-
数据加密管理:使用 HSM(硬件安全模块)或 KMS(密钥管理系统)。
-
分布式审计日志:日志不可篡改,存储在多个节点(如基于区块链存储审计日志)。
-
数据库访问分层:
- 普通用户:只能查询脱敏数据。
- 认证用户:可访问完整数据。
- 审计管理员:可查看访问记录。
-
数据库通过 加密模块 调用 KMS 解密数据。
四、总结
本方案可作为数据库符合PIPL相关条款的基础。为数据库对PIPL合规的一次尝试,抛砖引玉,不代表必要和充分的PIPL合规要求。细节还有待业界进一步的研究和讨论。
五、参考文献
https://www.gov.cn/xinwen/2021-08/20/content_5632486.htm
https://m.21jingji.com/article/20240227/herald/d1fa30dc571ee33b94646beaf584c369.htmlhttps://gdpr-info.eu/
https://www.enforcementtracker.com/
https://www.secrss.com/articles/64736
http://tlky.lncourt.gov.cn/article/detail/2024/07/id/8029408.shtml
https://www.enterprisedb.com/postgresql-compliance-gdpr-soc-2-pci-dss-data-privacy-security#section3
