尊敬的各位领导、各位嘉宾、各位同事、朋友，上午好！刚才有幸聆听了领导的致辞、嘉宾的演讲，深受启发。很高兴有机会受到邀请，参加这样一次重要的论坛，交流学习，我演讲的题目是《正确理解〈中华人民共和国个人信息保护法〉规定  落实个人信息安全保护义务》。

一、《中华人民共和国个人信息保护法》关于个人信息安全的规定

《中华人民共和国个人信息保护法》在第51条对技术安全层面的个人信息处理者保护个人信息安全的义务做出了规定。“第五十一条　个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等，采取下列措施确保个人信息处理活动符合法律、行政法规的规定，并防止未经授权的访问以及个人信息泄露、篡改、丢失”

如何认识这个规定的主要内容？我个人认为关键通过风险路径（risk-based approach）来理解和认识。所谓的风险路径，就是摒弃原来的静态的合规思路——即机械性地要求个人信息处理者采取提前确定好的技术措施，而是要求个人信息处理者内部采取一个流程。具体来说，企业应做到以下四个方面：

一是辨别出可合理预期到的内部和外部风险，这些风险有可能个人信息遭未经授权的访问、使用、修改和公布等。

二是建立、落实、保持合理设计的个人信息安全保护策略。

三是定期评估保护措施是否足以应对可合理预期到的内部和外部风险，并根据评估结构调整保护措施。

四是在商业运作和模式产生实质性变化，对个人信息安全或隐私造成实质性影响的情况下，对保护措施进行评估并调整。

二、风险路径是我国网络安全和数据安全的基本理念

在2016年4月19日在网络安全和信息化工作座谈会讲话中，习近平总书记对风险治理作出了非常系统的论述。首先，识别风险、认识风险，对网络安全工作，乃至于关键信息基础设施的保护，具有先导性的意义。习近平总书记指出，“知己知彼，才能百战不殆”；“维护网络安全，首先要知道风险在哪里，是什么样的风险，什么时候发生风险”；“没有意识到风险是最大的风险”，无法识别风险的后果只能是“谁进来了不知道、是敌是友不知道、干了什么不知道”。

三、国际上的个人信息保护法，如欧盟GDPR，坚持了基于风险的路径

以GDPR第24条为例，该条总体规定了数据控制者的保护义务。该条文的写法也突出风险管理的路径。你要干什么事，就要考虑会对外界造成什么风险；为了降低这些风险，需要提出与面临风险相称的保护措施；这些保护措施还必须经常评估和更新，以适应风险态势的变化。

对于高风险的数据处理行为，GDPR还专门规定数据控制者应当开展数据保护影响评估（data protection impact assessment）。这些规定再一次体现了GDPR对风险的审慎态度。

四、落实基于风险路径规定的个人信息安全保护义务

总的来说，风险路径要求建立一套完整的风险管理流程，大致由四个步骤组成：一是识别风险；二是评估风险第三是应对风险；四是持续不断地监控环境和风险的变化。这四个步骤构成反馈循环（feedback loop）以不断提升组织管理风险的水平。

首先，网络安全等级保护制度是所有网络运营者应当落实的。其基本逻辑是不同风险等级的运营者应当承当强度不同的安全义务。包括App，其不是终端程序本身，还包括App背后连接的后端服务器体系，都应当按照相应的等级（以及配套技术标准）落实安全措施。

再次，关键信息基础设施保护是在网络安全等级保护制度的基础上，实行重点保护。因为关键信息基础设施对国家安全、社会公共利益至关重要。对此，《关键信息基础设施安全保护条例》有专门的设计。

最后，国家有关部门还对风险巨大的数据处理活动、产品或服务，开展安全审查制度。

总的来说，数据处理者应当实实在在落实风险管理制度，并时刻根据风险变化来调整自己的措施，才能切实地保障个人信息的安全。谢谢大家！

（以上内容根据嘉宾发言速记整理）