个人信息保护合规难?了解下美创个人信息安全风险评估服务
随着大数据时代的到来,各行业侵犯公民个人信息的违法行为持续增多,个人信息安全问题已经成为一个严重的社会问题,正引发社会高度关注。
7月21日,国家互联网信息办公室公布了此前引发高度关注的“滴滴网络安全审查”案件的处罚决定:对滴滴公司处人民币80.26亿元罚款,同时对滴滴董事长、总裁分别处人民币100万元罚款。
01“滴滴网络安全审查”案件回顾据报道,滴滴公司共存在16项违法事实,主要为8个方面:
一是违法收集用户手机相册中的截图信息1196.39万条;二是过度收集用户剪切板信息、应用列表信息83.23亿条;三是过度收集乘客人脸识别信息1.07亿条、年龄段信息5350.92万条、职业信息1633.56万条、亲情关系信息138.29万条、“家”和“公司”打车地址信息1.53亿条;四是过度收集乘客评价代驾服务时、App后台运行时、手机连接桔视记录仪设备时的精准位置(经纬度)信息1.67亿条;五是过度收集司机学历信息14.29万条,以明文形式存储司机身份证号信息5780.26万条;六是在未明确告知乘客情况下分析乘客出行意图信息539.76亿条、常驻城市信息15.38亿条、异地商务/异地旅游信息3.04亿条;七是在乘客使用顺风车服务时频繁索取无关的“电话权限”;八是未准确、清晰说明用户设备信息等19项个人信息处理目的。
同时存在严重影响国家安全的数据处理活动,依据《网络安全法》《数据安全法》《个人信息保护法》《行政处罚法》等有关规定,特对滴滴作出网络安全审查相关行政处罚。
02强监管下,组织机构如何应对在全球共同呼吁个人信息保护的趋势下,继欧盟颁布《General Data Protection Regulation (通用数据保护条例)》(简称“GDPR”)之后,我国在2021年颁布并施行了《个人信息保护法》。
《个人信息保护法》正式对个人信息处理规则、跨境提供、个人权利和义务等做出了明确的规定,第五十五条规定:有下列情形之一的,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录。
处理敏感个人信息;
利用个人信息进行自动化决策;
委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;
向境外提供个人信息;
其他对个人权益有重大影响的个人信息处理活动。
对组织机构(个人信息处理者)而言,为避免个人信息的丢失、泄露、滥用,满足监管合规要求,需尽快开展个人信息安全风险评估工作,充分了解个人信息保护现状和可能存在的影响,再通过相关处置措施,加强个人信息保护,以实现监管合规。
03美创个人信息安全风险评估服务美创个人信息安全风险评估服务旨在帮助客户有效评估在各项数据处理活动中的所存在个人信息、特别是个人敏感信息所可能存在的各项风险情况,同时结合对出现个人信息相关安全事件时所造成的影响进行分析的结果,给予相关的风险处置建议。
以符合《个人信息保护法》为基线要求,以遵从《GB/T 35273-2020 信息安全技术 个人信息安全规范》为目的,利用美创个人信息安全风险评估模型,对客户单位的个人信息相关处理活动进行评估。
服务遵循以下流程:
评估准备
1)目标分析:或称必要性分析,以确定评估所要达成的目标,并根据设定目标确立评估过程的评判准则,作为风险处置依据的界定性要求。
2)实施计划:依据个人信息保护相关监管和规范要求,组建评估团队,明确各项职责,确定评估对象和范围,制定完整的评估实施计划等。
收集梳理
1)数据收集:通过现场访谈、工具探查、文档审阅等方式对评估范围的个人信息处理过程进行全面的调研。
2)活动梳理:对评估范围内的个人信息处理活动进行归纳整理,输出个人数据流向图,识别并确认所有活动是否被有效记录。
3)映射分析:对调研结果进行分析,对个人信息处理活动进行分类,并描述每类个人信息处理活动的具体情形,形成清晰的个人信息处理活动清单及个人信息映射表,其结果将用于影响分析和风险分析。
影响分析
1)风险源识别:对要素进行简化,归纳为数据环境和技术措施、个人信息处理流程、参与人员与第三方、业务特点和规模及安全趋势。
2)安全措施有效性分析:根据前阶段收集的现有安全措施信息,结合威胁源识别情况,分析安全措施的有效性情况,例如当前采用身份鉴别和访问控制措施是否在个人信息处理各活动场景得到有效应用。
3)个人权益影响分析:分析特定的个人信息处理活动是否会对个人信息主体合法权益产生影响,以及可能产生何种影响,主要包括四个维度:限制个人自主决定权、引发差别性待遇、个人名誉受损或遭受精神压力、人身财产受损。
风险分析
开展个人信息安全风险综合分析,评价安全事件发生的可能性等级,评价以及对个人权益影响的程度等级,综合考虑安全事件可能性和个人权益影响程度两个要素,最终分析得出个人信息处理活动的安全风险等级。
处置建议
根据风险等级,分别给予采取立即处置、限期处置、权衡影响和成本后处置、接受风险等处置方式的相关建议。
评估报告
1)编制报告:综合所有材料及分析结果,汇编输出个人信息安全风险评估报告,报告内容包括但不限于:评估目标、涉及业务场景、个人信息处理活动清单、风险清单、风险分析结果、安全控制措施清单、剩余风险一览表等。
2)报告发布:依据客户组织的报告发布管理策略,并选取适当内容,编制评估结果简报,报送相关监管单位,并依据实际需要向相关方进行披露。
处置跟踪
对客户单位采纳的处置建议等安全控制措施,周期性跟踪风险处置落实情况,评估剩余风险等,完成评估闭环。
实施个人信息安全风险评估,能够有效加强对个人信息主体权益的保护,有利于组织对外展示其保护个人信息安全的努力,提升透明度,增进个人信息主体对其的信任。主要体现在以下三个方面:
风险预防:在开展个人信息处理前,组织可通过影响评估,识别可能导致个人信息主体权益遭受损害的风险,并据此釆用适当的个人信息安全控制措施。
合规遵从:个人信息安全风险评估及其形成的记录文档,可帮助组织在政府、相关机构或商业伙伴的调查、执法、合规性审计中,证明其遵守了个人信息保护与数据安全等方面的法律、法规和标准的要求。
责任减轻:在发生个人信息安全事件时,个人信息安全风险评估及其形成的记录文档,可用于证明企业己经主动评估风险并釆取一定的安全保护措施,有助于减轻企业的相关责任和名誉损失。
请输入标题
请输入标题