当前位置:首页 >  IDC >  安全 >  正文

个人信息保护合规难?了解下美创个人信息安全风险评估服务

 2022-07-25 14:57  来源: 互联网   我来投稿 撤稿纠错

  【推荐】海外独服/站群服务器/高防

随着大数据时代的到来,各行业侵犯公民个人信息的违法行为持续增多,个人信息安全问题已经成为一个严重的社会问题,正引发社会高度关注。

7月21日,国家互联网信息办公室公布了此前引发高度关注的“滴滴网络安全审查”案件的处罚决定:对滴滴公司处人民币80.26亿元罚款,同时对滴滴董事长、总裁分别处人民币100万元罚款。

“滴滴网络安全审查”案件回顾

据报道,滴滴公司共存在16项违法事实,主要为8个方面:

一是违法收集用户手机相册中的截图信息1196.39万条;二是过度收集用户剪切板信息、应用列表信息83.23亿条;三是过度收集乘客人脸识别信息1.07亿条、年龄段信息5350.92万条、职业信息1633.56万条、亲情关系信息138.29万条、“家”和“公司”打车地址信息1.53亿条;四是过度收集乘客评价代驾服务时、App后台运行时、手机连接桔视记录仪设备时的精准位置(经纬度)信息1.67亿条;五是过度收集司机学历信息14.29万条,以明文形式存储司机身份证号信息5780.26万条;六是在未明确告知乘客情况下分析乘客出行意图信息539.76亿条、常驻城市信息15.38亿条、异地商务/异地旅游信息3.04亿条;七是在乘客使用顺风车服务时频繁索取无关的“电话权限”;八是未准确、清晰说明用户设备信息等19项个人信息处理目的。

同时存在严重影响国家安全的数据处理活动,依据《网络安全法》《数据安全法》《个人信息保护法》《行政处罚法》等有关规定,特对滴滴作出网络安全审查相关行政处罚。

强监管下,组织机构如何应对

在全球共同呼吁个人信息保护的趋势下,继欧盟颁布《General Data Protection Regulation (通用数据保护条例)》(简称“GDPR”)之后,我国在2021年颁布并施行了《个人信息保护法》。

《个人信息保护法》正式对个人信息处理规则、跨境提供、个人权利和义务等做出了明确的规定,第五十五条规定:有下列情形之一的,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录。

处理敏感个人信息;利用个人信息进行自动化决策;委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;向境外提供个人信息;其他对个人权益有重大影响的个人信息处理活动。

对组织机构(个人信息处理者)而言,为避免个人信息的丢失、泄露、滥用,满足监管合规要求,尽快开展个人信息安全风险评估工作,充分了解个人信息保护现状和可能存在的影响,再通过相关处置措施,加强个人信息保护,以实现监管合规。

美创个人信息安全风险评估服务

美创个人信息安全风险评估服务旨在帮助客户有效评估在各项数据处理活动中的所存在个人信息、特别是个人敏感信息所可能存在的各项风险情况,同时结合对出现个人信息相关安全事件时所造成的影响进行分析的结果,给予相关的风险处置建议。

服务以符合《个人信息保护法》为基线要求,以遵从《GB/T 35273-2020 信息安全技术 个人信息安全规范》为目的,利用美创个人信息安全风险评估模型,对客户单位的个人信息相关处理活动进行评估。

服务遵循以下流程:

评估准备

1)目标分析:或称必要性分析,以确定评估所要达成的目标,并根据设定目标确立评估过程的评判准则,作为风险处置依据的界定性要求。

2)实施计划:依据个人信息保护相关监管和规范要求,组建评估团队,明确各项职责,确定评估对象和范围,制定完整的评估实施计划等。

收集梳理

1)数据收集:通过现场访谈、工具探查、文档审阅等方式对评估范围的个人信息处理过程进行全面的调研。

2)活动梳理:对评估范围内的个人信息处理活动进行归纳整理,输出个人数据流向图,识别并确认所有活动是否被有效记录。

3)映射分析:对调研结果进行分析,对个人信息处理活动进行分类,并描述每类个人信息处理活动的具体情形,形成清晰的个人信息处理活动清单及个人信息映射表,其结果将用于影响分析和风险分析。

影响分析

1)风险源识别:对要素进行简化,归纳为数据环境和技术措施、个人信息处理流程、参与人员与第三方、业务特点和规模及安全趋势。

2)安全措施有效性分析:根据前阶段收集的现有安全措施信息,结合威胁源识别情况,分析安全措施的有效性情况,例如当前采用身份鉴别和访问控制措施是否在个人信息处理各活动场景得到有效应用。

3)个人权益影响分析:分析特定的个人信息处理活动是否会对个人信息主体合法权益产生影响,以及可能产生何种影响,主要包括四个维度:限制个人自主决定权、引发差别性待遇、个人名誉受损或遭受精神压力、人身财产受损。

风险分析

开展个人信息安全风险综合分析,评价安全事件发生的可能性等级,评价以及对个人权益影响的程度等级,综合考虑安全事件可能性和个人权益影响程度两个要素,最终分析得出个人信息处理活动的安全风险等级。

处置建议

根据风险等级,分别给予采取立即处置、限期处置、权衡影响和成本后处置、接受风险等处置方式的相关建议。

评估报告

1)编制报告:综合所有材料及分析结果,汇编输出个人信息安全风险评估报告,报告内容包括但不限于:评估目标、涉及业务场景、个人信息处理活动清单、风险清单、风险分析结果、安全控制措施清单、剩余风险一览表等。

2)报告发布:依据客户组织的报告发布管理策略,并选取适当内容,编制评估结果简报,报送相关监管单位,并依据实际需要向相关方进行披露。

处置跟踪

对客户单位采纳的处置建议等安全控制措施,周期性跟踪风险处置落实情况,评估剩余风险等,完成评估闭环。

个人信息风险评估服务价值

实施个人信息安全风险评估,能够有效加强对个人信息主体权益的保护,有利于组织对外展示其保护个人信息安全的努力,提升透明度,増进个人信息主体对其的信任。主要体现在以下三个方面:

风险预防:在开展个人信息处理前,组织可通过影响评估,识别可能导致个人信息主体权益遭受损害的风险,并据此釆用适当的个人信息安全控制措施。

合规遵从:个人信息安全风险评估及其形成的记录文档,可帮助组织在政府、相关机构或商业伙伴的调查、执法、合规性审计中,证明其遵守了个人信息保护与数据安全等方面的法律、法规和标准的要求。

责任减轻:在发生个人信息安全事件时,个人信息安全风险评估及其形成的记录文档,可用于证明企业己经主动评估风险并釆取一定的安全保护措施,有助于减轻企业的相关责任和名誉损失。

申请创业报道,分享创业好点子。点击此处,共同探讨创业新机遇!

相关文章

  • 百望云获评“中国大数据独角兽” 数实相融 算启未来

    随着数字中国战略的步步落实,大数据已经成为锚定战略定位、抢得市场先机的重要基础元素。为彰显行业发展现状,遴选、推荐优秀企业,长城战略咨询近日在2023中国国际大数据产业博览会期间,重磅发布《中国大数据独角兽企业榜单》,根据独角兽企业国家推荐性标准,筛选出259家2022年中国大数据(潜在)独角兽企业

    标签:
    大数据
  • 学术引领 数智健康:2023北京健康医疗大数据论坛六月北京盛大开启

    2023年6月15日至18日,2023北京健康医疗大数据论坛、医促会华夏健康数据与数字医学高峰论坛、第三届中华预防医学会肾脏病预防与控制专业委员会学术会议将同期于北京举行。论坛以“学术引领数智健康”为主题,着眼国家战略需求,聚焦前沿科技在健康医疗领域的发展与实践,荟萃全球顶尖学术观点,促进多方跨界融

    标签:
    大数据
  • 擎起科技自强旗帜,引领产业智造未来——谷器数据入库北京市科技型中小企业

    近日,北京市科学技术委员会、中关村科技园区管理委员会公示了北京市2023年第2批科技型中小企业名单,谷器数据借助优秀的科技自主创新能力成功入选。此次评价指标围绕科研人员、研发投入、科技成果等三个维度,成功入选科技型中小企业是对谷器数据专业化发展、自主创新能力、产品技术实力的激励与肯定。科技型中小企业

    标签:
    大数据
  • 获中国科学院褒奖 | 谷器数据产品荣膺2022年度最佳!

    评审寄语面向车间现场生产制造过程的数字化管理,谷器数据SupplyX·MES通过推动更有效的工厂运行和现场效率,提供从接收生产计划到制成最终产品全过程的生产活动实现优化的信息,成为新型工业化的标杆力量!近日,由中国科学院《互联网周刊》、中国社会科学院信息化研究中心等机构联合主办的“2023(第八届)

    标签:
    大数据
  • 四方伟业优秀的大数据产品和服务获得了行业荣誉

    在如今这个数字化转型时代,大数据在企业发展的过程中发挥了至关重要的作用,大数据技术以更高效和有效的方式提供最好的服务,同时还可以提高生产力、提高客户满意度和更高效的智慧化运营。其中,成都四方伟业软件股份有限公司(以下简称“四方伟业”)以优秀的大数据产品和服务获得了多项行业荣誉。去年,2022数博会数

热门排行

信息推荐