活动掠影 | 《“个人敏感信息”的安全工程构建要点》活动圆满结束！

▲活动花絮

大数据分析的普遍应用给公民隐私带来严峻威胁,公民隐私保障与数据价值商业利用的矛盾日渐升级。其中个人的金融信息、医疗健康信息、生物识别信息等敏感信息的滥用和安全风险会对公民的人身和财产权益的危害度升级，“徐玉玉”等案件的曝光增加了公众的警觉性。但相较于欧美等成熟法律体系，目前中国法律对个人敏感信息的保护和使用监管尚在路上。

8月17日，“律簇法律论坛”联合“深圳市法荟企业法律研究中心”，共同邀请到北京德和衡律师事务所高级联席合伙人辛小天女士和全知科技华南区域技术负责人包亚鹏先生带来《“个人敏感信息”的安全工程构建要点》主题讲座分享。

本次活动有来自平安集团、工商银行、前海开源基金、顺丰速运、谷熙国际、深圳日报、政府单位、锦天城律所等各大机构及个人参加了本次讲座研讨。

▲讲师风采

辛小天律师主要从“个人敏感信息界定”“儿童数据保护”“个人金融信息保护”及“健康数据及生物识别”等四大方面主要阐述了当前个人信息在泛互联网传播背景下，监管机构通过法律制定对机构及个人的法律监管及保护要求。

个人敏感信息的主要风险来自于泄露、非法提供及滥用。美国学者Paul Ohm指出“‘多重因素监测’可以通过伤害可能性、引发伤害几率、信任关系、多数人关心的风险等确立个人敏感信息”。个人信息保护流程可以从“授权-隐私政策-传输和储存-披露-备案-人员管理和内控-安全事件应对”等环节分别介入应对。

▲活动现场

谈到“儿童信息保护”，美国《儿童在线隐私保护法》(COPPA) 为在线服务运营商针对儿童提供服务进行了详细的规定， 以保护儿童的个人信息不被非法收集和滥用；欧盟一般数据保护条例则通过数字年龄、被遗忘权、Child-Appropriate、禁止自动化决策等要素进行监管实施；而我国《儿童个人信息网络保护规定（征求意见稿）》则通过正当、必要、知情同意、目的明确、安全保障、依法利用、授权、安全评估、加强行业自律、存储措施、纠正和删除措施、组织和管理、数据转移和披露及应急和补救等环节加强儿童数据信息的保护和防范。

个人金融信息是我国公民财产的重要线索资料，人行、银监会等异常重视对金融信息的监管和保护要求。出台了包括《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》、《中国人民银行金融消费者权益保护实施办法》、《中国银监会关于加强电子银行客户信息管理工作的通知》、《中国人民银行关于银行业金融机构进一步做好客户个人金融信息保护工作的通知》、《银行业金融机构数据治理指引》、《个人信用信息基础数据库管理暂行办法》等若干法律法规。从数据在集团内的汇聚融合流程、关键信息基础设施企业的控制系统、个人金融信息的分类管理等几个层面加强信息加密，防止金融信息泄露。

随着医疗大健康产业的发展，医疗健康和生物特征识别也成为采集公民个人信息的重要渠道，甚至涉及公民个人隐私。由此，国家陆续出台了《国务院办公厅关于促进和规范健康医疗大数据应用发展的指导意见》《国家健康医疗大数据标准、安全和服务管理办法（试行）》《国务院办公厅关于促进“互联网+医疗健康”发展的意见 》《互联网医院管理办法（试行） 》《互联网诊疗管理办法（试行）》《电子病历应用管理规范（试行）》《中华人民共和国人类遗传资源管理条例》《远程医疗服务管理规范（试行）》《信息安全技术 健康医疗数据安全指南（征求意见稿）》，对涉及个人属性数据、健康状态数据、医疗应用数据、医疗支付数据、卫生资源数据、公共卫生数据及全员人口信息/电子健康档案/电子病历等三大数据库的信息来源，针对院互联通、远程医疗、二次利用、临床研究、健康传感数据管理、移动应用、患者查询、商保对接及医疗器械远程维护等数据应用场景加强目标数据的重点监管。但鉴于信息技术保护的前沿及技术发展的迅速，当前监管法律法规还存在不完善、数据开发规则与利益相关者权责不明、标准化体系不健全、术语编码影响数据互联互通的信息学标准、隐私泄露风险于数据流通规则管理经验不足、匿名化于去标识化在大数据应用及应用边界等诸多操作性问题。

▲问答环节讲师与学员交流

技术层面，全知科技华南技术负责人包亚鹏先生谈到，2018-2019年，个人敏感信息安全事件不断爆发，Facebook第三方外包公司“剑桥分析”利用Facebook应用API接口对5000万用户资料进行分析，推送“专属”政治广告，左右选民投票；谷歌应用API安全漏洞允许第三方开发访问用户资料造成5000万条用户账户、姓名、年龄、职业、关系等信息被泄露；非法牟利人利用互联网贩卖470余万条疑似12306订票网站用户数据，包含60余万条用户注册信息和410余万条铁路乘客信息；申女士通过携程购买机票后遭骗子获取个人信息，并一天内骗取10余万，通过对以上安全事件及全球数据泄露事件统计，外媒Verizon在已确认数据泄露事件中统计得出，web应用排名第一。

互联网时代是共享经济，云化、网络化、信息化对个人敏感信息安全带来新的挑战和机遇。数据从数据库/大数据平台等数据运维流动域、pc/笔记本/手机等终端数据流动域、前置系统/CRM系统/内部应用系统/内部数据处理系统等内部流动域、开放API/合作伙伴API/手机APP/web网页应用等外部应用流动域等完成数据流动，在营销系统背后的黑灰色产业链外部人员非法取得并加以非法利用。

当前的解决方案从流动现状到数据脆弱性评估到数据安全措施保障通过应用数据重要接口梳理/应用数据接口风险梳理/制定风险整改措施和加固实施等“事前管理”、违规数据使用发现及预警/数据接口违规对外开放监控/实时异常数据流动和传输预警/UEBA用户异常行为分析/重点人员高危行为审计等“事中监控”、数据泄露事件溯源/违规操作事件溯源/数据泄露影响面评估等“事后追溯”等环节进行针对性解决。

两个小时的交流研讨活动，在众多业内关心并积极参与个人数据保护工作的业内人士实务交流之后，伴随着大家的掌声结束。

支撑律簇公益法律论坛不断前行的是全国法律行业资深从业者及金融、技术从业者们无私的分享精神及孜孜不倦的学习精神，又一期法律论坛伴随着衷心的感谢与感激声结束，感谢律簇百余位主讲嘉宾无私无畏的支持、感谢律簇线上线下粉丝们一如既往的支持，律簇将跟你们一起变得更好！

往期回顾

关注和分享，总有一个在路上~