當(dāng)前位置:首頁 >  IDC >  安全 >  正文

個(gè)人信息保護(hù)合規(guī)難?了解下美創(chuàng)個(gè)人信息安全風(fēng)險(xiǎn)評估服務(wù)

 2022-07-25 14:57  來源: 互聯(lián)網(wǎng)   我來投稿 撤稿糾錯(cuò)

  域名預(yù)訂/競價(jià),好“米”不錯(cuò)過

隨著大數(shù)據(jù)時(shí)代的到來,各行業(yè)侵犯公民個(gè)人信息的違法行為持續(xù)增多,個(gè)人信息安全問題已經(jīng)成為一個(gè)嚴(yán)重的社會問題,正引發(fā)社會高度關(guān)注。

7月21日,國家互聯(lián)網(wǎng)信息辦公室公布了此前引發(fā)高度關(guān)注的“滴滴網(wǎng)絡(luò)安全審查”案件的處罰決定:對滴滴公司處人民幣80.26億元罰款,同時(shí)對滴滴董事長、總裁分別處人民幣100萬元罰款。

“滴滴網(wǎng)絡(luò)安全審查”案件回顧

據(jù)報(bào)道,滴滴公司共存在16項(xiàng)違法事實(shí),主要為8個(gè)方面:

一是違法收集用戶手機(jī)相冊中的截圖信息1196.39萬條;二是過度收集用戶剪切板信息、應(yīng)用列表信息83.23億條;三是過度收集乘客人臉識別信息1.07億條、年齡段信息5350.92萬條、職業(yè)信息1633.56萬條、親情關(guān)系信息138.29萬條、“家”和“公司”打車地址信息1.53億條;四是過度收集乘客評價(jià)代駕服務(wù)時(shí)、App后臺運(yùn)行時(shí)、手機(jī)連接桔視記錄儀設(shè)備時(shí)的精準(zhǔn)位置(經(jīng)緯度)信息1.67億條;五是過度收集司機(jī)學(xué)歷信息14.29萬條,以明文形式存儲司機(jī)身份證號信息5780.26萬條;六是在未明確告知乘客情況下分析乘客出行意圖信息539.76億條、常駐城市信息15.38億條、異地商務(wù)/異地旅游信息3.04億條;七是在乘客使用順風(fēng)車服務(wù)時(shí)頻繁索取無關(guān)的“電話權(quán)限”;八是未準(zhǔn)確、清晰說明用戶設(shè)備信息等19項(xiàng)個(gè)人信息處理目的。

同時(shí)存在嚴(yán)重影響國家安全的數(shù)據(jù)處理活動(dòng),依據(jù)《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》《行政處罰法》等有關(guān)規(guī)定,特對滴滴作出網(wǎng)絡(luò)安全審查相關(guān)行政處罰。

強(qiáng)監(jiān)管下,組織機(jī)構(gòu)如何應(yīng)對

在全球共同呼吁個(gè)人信息保護(hù)的趨勢下,繼歐盟頒布《General Data Protection Regulation (通用數(shù)據(jù)保護(hù)條例)》(簡稱“GDPR”)之后,我國在2021年頒布并施行了《個(gè)人信息保護(hù)法》。

《個(gè)人信息保護(hù)法》正式對個(gè)人信息處理規(guī)則、跨境提供、個(gè)人權(quán)利和義務(wù)等做出了明確的規(guī)定,第五十五條規(guī)定:有下列情形之一的,個(gè)人信息處理者應(yīng)當(dāng)事前進(jìn)行個(gè)人信息保護(hù)影響評估,并對處理情況進(jìn)行記錄。

處理敏感個(gè)人信息;利用個(gè)人信息進(jìn)行自動(dòng)化決策;委托處理個(gè)人信息、向其他個(gè)人信息處理者提供個(gè)人信息、公開個(gè)人信息;向境外提供個(gè)人信息;其他對個(gè)人權(quán)益有重大影響的個(gè)人信息處理活動(dòng)。

對組織機(jī)構(gòu)(個(gè)人信息處理者)而言,為避免個(gè)人信息的丟失、泄露、濫用,滿足監(jiān)管合規(guī)要求,盡快開展個(gè)人信息安全風(fēng)險(xiǎn)評估工作,充分了解個(gè)人信息保護(hù)現(xiàn)狀和可能存在的影響,再通過相關(guān)處置措施,加強(qiáng)個(gè)人信息保護(hù),以實(shí)現(xiàn)監(jiān)管合規(guī)。

美創(chuàng)個(gè)人信息安全風(fēng)險(xiǎn)評估服務(wù)

美創(chuàng)個(gè)人信息安全風(fēng)險(xiǎn)評估服務(wù)旨在幫助客戶有效評估在各項(xiàng)數(shù)據(jù)處理活動(dòng)中的所存在個(gè)人信息、特別是個(gè)人敏感信息所可能存在的各項(xiàng)風(fēng)險(xiǎn)情況,同時(shí)結(jié)合對出現(xiàn)個(gè)人信息相關(guān)安全事件時(shí)所造成的影響進(jìn)行分析的結(jié)果,給予相關(guān)的風(fēng)險(xiǎn)處置建議。

服務(wù)以符合《個(gè)人信息保護(hù)法》為基線要求,以遵從《GB/T 35273-2020 信息安全技術(shù) 個(gè)人信息安全規(guī)范》為目的,利用美創(chuàng)個(gè)人信息安全風(fēng)險(xiǎn)評估模型,對客戶單位的個(gè)人信息相關(guān)處理活動(dòng)進(jìn)行評估。

服務(wù)遵循以下流程:

評估準(zhǔn)備

1)目標(biāo)分析:或稱必要性分析,以確定評估所要達(dá)成的目標(biāo),并根據(jù)設(shè)定目標(biāo)確立評估過程的評判準(zhǔn)則,作為風(fēng)險(xiǎn)處置依據(jù)的界定性要求。

2)實(shí)施計(jì)劃:依據(jù)個(gè)人信息保護(hù)相關(guān)監(jiān)管和規(guī)范要求,組建評估團(tuán)隊(duì),明確各項(xiàng)職責(zé),確定評估對象和范圍,制定完整的評估實(shí)施計(jì)劃等。

收集梳理

1)數(shù)據(jù)收集:通過現(xiàn)場訪談、工具探查、文檔審閱等方式對評估范圍的個(gè)人信息處理過程進(jìn)行全面的調(diào)研。

2)活動(dòng)梳理:對評估范圍內(nèi)的個(gè)人信息處理活動(dòng)進(jìn)行歸納整理,輸出個(gè)人數(shù)據(jù)流向圖,識別并確認(rèn)所有活動(dòng)是否被有效記錄。

3)映射分析:對調(diào)研結(jié)果進(jìn)行分析,對個(gè)人信息處理活動(dòng)進(jìn)行分類,并描述每類個(gè)人信息處理活動(dòng)的具體情形,形成清晰的個(gè)人信息處理活動(dòng)清單及個(gè)人信息映射表,其結(jié)果將用于影響分析和風(fēng)險(xiǎn)分析。

影響分析

1)風(fēng)險(xiǎn)源識別:對要素進(jìn)行簡化,歸納為數(shù)據(jù)環(huán)境和技術(shù)措施、個(gè)人信息處理流程、參與人員與第三方、業(yè)務(wù)特點(diǎn)和規(guī)模及安全趨勢。

2)安全措施有效性分析:根據(jù)前階段收集的現(xiàn)有安全措施信息,結(jié)合威脅源識別情況,分析安全措施的有效性情況,例如當(dāng)前采用身份鑒別和訪問控制措施是否在個(gè)人信息處理各活動(dòng)場景得到有效應(yīng)用。

3)個(gè)人權(quán)益影響分析:分析特定的個(gè)人信息處理活動(dòng)是否會對個(gè)人信息主體合法權(quán)益產(chǎn)生影響,以及可能產(chǎn)生何種影響,主要包括四個(gè)維度:限制個(gè)人自主決定權(quán)、引發(fā)差別性待遇、個(gè)人名譽(yù)受損或遭受精神壓力、人身財(cái)產(chǎn)受損。

風(fēng)險(xiǎn)分析

開展個(gè)人信息安全風(fēng)險(xiǎn)綜合分析,評價(jià)安全事件發(fā)生的可能性等級,評價(jià)以及對個(gè)人權(quán)益影響的程度等級,綜合考慮安全事件可能性和個(gè)人權(quán)益影響程度兩個(gè)要素,最終分析得出個(gè)人信息處理活動(dòng)的安全風(fēng)險(xiǎn)等級。

處置建議

根據(jù)風(fēng)險(xiǎn)等級,分別給予采取立即處置、限期處置、權(quán)衡影響和成本后處置、接受風(fēng)險(xiǎn)等處置方式的相關(guān)建議。

評估報(bào)告

1)編制報(bào)告:綜合所有材料及分析結(jié)果,匯編輸出個(gè)人信息安全風(fēng)險(xiǎn)評估報(bào)告,報(bào)告內(nèi)容包括但不限于:評估目標(biāo)、涉及業(yè)務(wù)場景、個(gè)人信息處理活動(dòng)清單、風(fēng)險(xiǎn)清單、風(fēng)險(xiǎn)分析結(jié)果、安全控制措施清單、剩余風(fēng)險(xiǎn)一覽表等。

2)報(bào)告發(fā)布:依據(jù)客戶組織的報(bào)告發(fā)布管理策略,并選取適當(dāng)內(nèi)容,編制評估結(jié)果簡報(bào),報(bào)送相關(guān)監(jiān)管單位,并依據(jù)實(shí)際需要向相關(guān)方進(jìn)行披露。

處置跟蹤

對客戶單位采納的處置建議等安全控制措施,周期性跟蹤風(fēng)險(xiǎn)處置落實(shí)情況,評估剩余風(fēng)險(xiǎn)等,完成評估閉環(huán)。

個(gè)人信息風(fēng)險(xiǎn)評估服務(wù)價(jià)值

實(shí)施個(gè)人信息安全風(fēng)險(xiǎn)評估,能夠有效加強(qiáng)對個(gè)人信息主體權(quán)益的保護(hù),有利于組織對外展示其保護(hù)個(gè)人信息安全的努力,提升透明度,増進(jìn)個(gè)人信息主體對其的信任。主要體現(xiàn)在以下三個(gè)方面:

風(fēng)險(xiǎn)預(yù)防:在開展個(gè)人信息處理前,組織可通過影響評估,識別可能導(dǎo)致個(gè)人信息主體權(quán)益遭受損害的風(fēng)險(xiǎn),并據(jù)此釆用適當(dāng)?shù)膫€(gè)人信息安全控制措施。

合規(guī)遵從:個(gè)人信息安全風(fēng)險(xiǎn)評估及其形成的記錄文檔,可幫助組織在政府、相關(guān)機(jī)構(gòu)或商業(yè)伙伴的調(diào)查、執(zhí)法、合規(guī)性審計(jì)中,證明其遵守了個(gè)人信息保護(hù)與數(shù)據(jù)安全等方面的法律、法規(guī)和標(biāo)準(zhǔn)的要求。

責(zé)任減輕:在發(fā)生個(gè)人信息安全事件時(shí),個(gè)人信息安全風(fēng)險(xiǎn)評估及其形成的記錄文檔,可用于證明企業(yè)己經(jīng)主動(dòng)評估風(fēng)險(xiǎn)并釆取一定的安全保護(hù)措施,有助于減輕企業(yè)的相關(guān)責(zé)任和名譽(yù)損失。

申請創(chuàng)業(yè)報(bào)道,分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!

相關(guān)標(biāo)簽
大數(shù)據(jù)
個(gè)人信息安全

相關(guān)文章

  • 百望云獲評“中國大數(shù)據(jù)獨(dú)角獸” 數(shù)實(shí)相融 算啟未來

    隨著數(shù)字中國戰(zhàn)略的步步落實(shí),大數(shù)據(jù)已經(jīng)成為錨定戰(zhàn)略定位、搶得市場先機(jī)的重要基礎(chǔ)元素。為彰顯行業(yè)發(fā)展現(xiàn)狀,遴選、推薦優(yōu)秀企業(yè),長城戰(zhàn)略咨詢近日在2023中國國際大數(shù)據(jù)產(chǎn)業(yè)博覽會期間,重磅發(fā)布《中國大數(shù)據(jù)獨(dú)角獸企業(yè)榜單》,根據(jù)獨(dú)角獸企業(yè)國家推薦性標(biāo)準(zhǔn),篩選出259家2022年中國大數(shù)據(jù)(潛在)獨(dú)角獸企業(yè)

    標(biāo)簽:
    大數(shù)據(jù)
  • 學(xué)術(shù)引領(lǐng) 數(shù)智健康:2023北京健康醫(yī)療大數(shù)據(jù)論壇六月北京盛大開啟

    2023年6月15日至18日,2023北京健康醫(yī)療大數(shù)據(jù)論壇、醫(yī)促會華夏健康數(shù)據(jù)與數(shù)字醫(yī)學(xué)高峰論壇、第三屆中華預(yù)防醫(yī)學(xué)會腎臟病預(yù)防與控制專業(yè)委員會學(xué)術(shù)會議將同期于北京舉行。論壇以“學(xué)術(shù)引領(lǐng)數(shù)智健康”為主題,著眼國家戰(zhàn)略需求,聚焦前沿科技在健康醫(yī)療領(lǐng)域的發(fā)展與實(shí)踐,薈萃全球頂尖學(xué)術(shù)觀點(diǎn),促進(jìn)多方跨界融

    標(biāo)簽:
    大數(shù)據(jù)
  • 擎起科技自強(qiáng)旗幟,引領(lǐng)產(chǎn)業(yè)智造未來——谷器數(shù)據(jù)入庫北京市科技型中小企業(yè)

    近日,北京市科學(xué)技術(shù)委員會、中關(guān)村科技園區(qū)管理委員會公示了北京市2023年第2批科技型中小企業(yè)名單,谷器數(shù)據(jù)借助優(yōu)秀的科技自主創(chuàng)新能力成功入選。此次評價(jià)指標(biāo)圍繞科研人員、研發(fā)投入、科技成果等三個(gè)維度,成功入選科技型中小企業(yè)是對谷器數(shù)據(jù)專業(yè)化發(fā)展、自主創(chuàng)新能力、產(chǎn)品技術(shù)實(shí)力的激勵(lì)與肯定??萍夹椭行∑髽I(yè)

    標(biāo)簽:
    大數(shù)據(jù)
  • 獲中國科學(xué)院褒獎(jiǎng) | 谷器數(shù)據(jù)產(chǎn)品榮膺2022年度最佳!

    評審寄語面向車間現(xiàn)場生產(chǎn)制造過程的數(shù)字化管理,谷器數(shù)據(jù)SupplyX·MES通過推動(dòng)更有效的工廠運(yùn)行和現(xiàn)場效率,提供從接收生產(chǎn)計(jì)劃到制成最終產(chǎn)品全過程的生產(chǎn)活動(dòng)實(shí)現(xiàn)優(yōu)化的信息,成為新型工業(yè)化的標(biāo)桿力量!近日,由中國科學(xué)院《互聯(lián)網(wǎng)周刊》、中國社會科學(xué)院信息化研究中心等機(jī)構(gòu)聯(lián)合主辦的“2023(第八屆)

    標(biāo)簽:
    大數(shù)據(jù)
  • 四方偉業(yè)優(yōu)秀的大數(shù)據(jù)產(chǎn)品和服務(wù)獲得了行業(yè)榮譽(yù)

    在如今這個(gè)數(shù)字化轉(zhuǎn)型時(shí)代,大數(shù)據(jù)在企業(yè)發(fā)展的過程中發(fā)揮了至關(guān)重要的作用,大數(shù)據(jù)技術(shù)以更高效和有效的方式提供最好的服務(wù),同時(shí)還可以提高生產(chǎn)力、提高客戶滿意度和更高效的智慧化運(yùn)營。其中,成都四方偉業(yè)軟件股份有限公司(以下簡稱“四方偉業(yè)”)以優(yōu)秀的大數(shù)據(jù)產(chǎn)品和服務(wù)獲得了多項(xiàng)行業(yè)榮譽(yù)。去年,2022數(shù)博會數(shù)

熱門排行

信息推薦