1、刘顺/安全专家/某金融机构某金融机构安全专家、诸子云百家智库安全专家、诸子云广州分会常务理事、TTSP智库安全专家。10多年网络安全从业经验，曾就职于宇通、唯品会、华为等企业，曾担任安全负责人、资深安全工程师、高级安全架构师等职位。主导过安全团队建设、企业安全治理规划、企业安全体系建设、应用安全体系建设、数据安全与隐私保护建设、终端安全管控建设、安全防御项目建设、安全运营监控建设、物联网安全服务建设、网络安全司法预防与追责项目建设等众多安全领域的项目建设，在网络安全与隐私保护方面具有丰富的管理与实践经验。演讲大纲：基于研发生命周期的个人信息保护实践基于研发安全生命周期的个人信息保护实践刘顺 某

2、金融机构个人信息保护现状1研发安全生命周期体系2个人信息保护方针策略3个人信息保护实践举措4目 录Contents一、个人信息保护现状合规要求严泄露事件多安全工程复杂个人信息保护的现状保安全、促价值二、研发安全生命周期体系研发安全生命周期体系研发安全生命周期体系需求分析需求设计开发编码测试发布运行安全需求分析安全需求分析【产品经理】安全需求设计编码安全安全测试安全运行安全需求审核【安全BP】安全需求设计【平台自动化】安全编码规范安全框架组件源码静态扫描人工渗透安全测试用例发布审核漏洞监控应急处置安全架构设计安全测试工具三、个人信息保护方针策略个人信息保护方针策略外规内规基线产品功能验证测试应用

3、系统安全设计通用规范个人金融信息保护安全设计规范安全需求等于安全基线安全风险规避安全基线安全基线安全基线安全基线1:1安全风险规避N:1基线属性基线名称与描述基线适用范围对应风险或漏洞基线安全设计安全测试用例对应安全组件安全测试工具对应风险或漏洞等级网络安全法个人信息保护法个人信息安全规范四、个人信息保护实践举措外规解读外规解读原则了解规范的背景、过程和目的同领域拉通对比，找出相同与差异上下文关联，基于某种维度汇总归类外规解读|个人信息保护法立法背景看形势我国互联网用户已达9.89亿，互联网网站超过443万个、应用程序数量超过345万个，个人信息的收集、使用更为广泛。现实中一些企业、机构甚至个

4、人，从商业利益等出发，随意收集、违法获取、过度使用、非法买卖个人信息，利用个人信息侵扰人民群众生活安宁、危害人民群众生命健康和财产安全等问题仍十分突出。看别人美国 1974年隐私权法、2018年加利福尼亚州消费者隐私保护法案（CCPA）加拿大 2001年个人信息保护法日本 2003 个人信息保护法欧盟 1995年计算机数据保护法 2016年通用数据保护条例 俄罗斯 2006年数据保护法韩国 2019年个人信息保护法（PIPA）新加坡 2012年个人数据保护方案（PDPA）巴西 2018年 通用数据保护法（LGPD）目前已经有128个国家通过立法保护个人信息和隐私外规解读|个人信息保护法立法背景

5、看自己本图来源：炼石网络长久以来，我国都缺少一部专门针对个人信息保护的立法。个人信息保护法出台，可大大提升国际领域对中国个人信息保护的认可度和信心。外规解读|个人信息保护法立法过程2017年3月人大两会提交议案2018年9月列入立法规划2020年10月13日审议草案2020年10月21日草案公开征求意见2021年4月二次审议稿2021年4月29日二次审稿征求意见2021年8月20日公开颁布2021年11月1日实施中华人民共和国网络安全法2017年6月1日颁布中华人民共和国数据安全法2021年6月10日颁布中华人民共和国个人信息保护法2021年8月20日颁布关键信息基础设施安全保护条例 2021

6、年7月30日颁布常见类型移动互联网应用程序必要个人信息范围规定2021年3月12日、儿童个人信息网络保护规定2019年10月1日、个人信息出境安全评估办法（意见征集中）、电信和互联网用户个人信息保护规定互联网个人信息保护指南2019年4月10日最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定2021年GB/T35273-2020 个人信息安全规范（35272-2017）、JR/T0171-2020个人金融信息保护技术规范、JR/T0223-2021 金融数据安全 数据生命周期安全规范、信息安全技术人脸识别数据安全要求（意见）关于开展APP违法违规收集使用个人信

7、息专项治理的公告2019年1月23日APP违规违规收集使用个人信息自评估指南2019年3月1日APP违法违规收集使用个人信息行为认定方法191号文 2019年12月30日关于开展纵深推进APP侵犯用户权益专项整治行动的通知164号文 2020年7月22日外规解读|个人信息保护领域法规标准外规解读个人信息保护法第一条 为了保护个人信息权益，规范个人信息处理活动，促进个人信息合理利用，根据宪法，制定本法。为什么是“根据宪法”宪法规定了人的尊严和一般人格权，个人信息受保护是作为一般人格权内容的个人自我决定权之产物。个人信息受保护权应作为宪法的基本权利。个人信息保护本质隐私个人信息权益数据安全个人信息安全外规解读外规解读内规建设安全基线建设个人信息保护轻量化威胁建模声纹认证安全基线业务场景安全基线库基线基线基线基线基线基线基线基线基线基线基线基线业务场景某某应用声纹认证基线基线基线基线属性标签场景视图合规标准标签声纹认证基线基线收集生物信息基线基线个人信息保护轻量化威胁建模集中身份认证统一会话统一权限控制统一过滤会话Token强制预编译统一文件上传个人信息保护安全能力统一开发框架敏感信息脱敏加密解密组件个人信息保护安全产品与能力加解密平台密钥管理平台动态脱敏平台隐私计算平台个人信息保护安全验证安全厂商工具验证 人工验证