隨著大數據時代的到來,各行業(yè)侵犯公民個人信息的違法行為持續(xù)增多,個人信息安全問題已經成為一個嚴重的社會問題,正引發(fā)社會高度關注。
7月21日,國家互聯網信息辦公室公布了此前引發(fā)高度關注的“滴滴網絡安全審查”案件的處罰決定:對滴滴公司處人民幣80.26億元罰款,同時對滴滴董事長、總裁分別處人民幣100萬元罰款。
“滴滴網絡安全審查”案件回顧
據報道,滴滴公司共存在16項違法事實,主要為8個方面:
一是違法收集用戶手機相冊中的截圖信息1196.39萬條;二是過度收集用戶剪切板信息、應用列表信息83.23億條;三是過度收集乘客人臉識別信息1.07億條、年齡段信息5350.92萬條、職業(yè)信息1633.56萬條、親情關系信息138.29萬條、“家”和“公司”打車地址信息1.53億條;四是過度收集乘客評價代駕服務時、App后臺運行時、手機連接桔視記錄儀設備時的精準位置(經緯度)信息1.67億條;五是過度收集司機學歷信息14.29萬條,以明文形式存儲司機身份證號信息5780.26萬條;六是在未明確告知乘客情況下分析乘客出行意圖信息539.76億條、常駐城市信息15.38億條、異地商務/異地旅游信息3.04億條;七是在乘客使用順風車服務時頻繁索取無關的“電話權限”;八是未準確、清晰說明用戶設備信息等19項個人信息處理目的。
同時存在嚴重影響國家安全的數據處理活動,依據《網絡安全法》《數據安全法》《個人信息保護法》《行政處罰法》等有關規(guī)定,特對滴滴作出網絡安全審查相關行政處罰。
強監(jiān)管下,組織機構如何應對
在全球共同呼吁個人信息保護的趨勢下,繼歐盟頒布《General Data Protection Regulation (通用數據保護條例)》(簡稱“GDPR”)之后,我國在2021年頒布并施行了《個人信息保護法》。
《個人信息保護法》正式對個人信息處理規(guī)則、跨境提供、個人權利和義務等做出了明確的規(guī)定,第五十五條規(guī)定:有下列情形之一的,個人信息處理者應當事前進行個人信息保護影響評估,并對處理情況進行記錄。
處理敏感個人信息;利用個人信息進行自動化決策;委托處理個人信息、向其他個人信息處理者提供個人信息、公開個人信息;向境外提供個人信息;其他對個人權益有重大影響的個人信息處理活動。
對組織機構(個人信息處理者)而言,為避免個人信息的丟失、泄露、濫用,滿足監(jiān)管合規(guī)要求,盡快開展個人信息安全風險評估工作,充分了解個人信息保護現狀和可能存在的影響,再通過相關處置措施,加強個人信息保護,以實現監(jiān)管合規(guī)。
美創(chuàng)個人信息安全風險評估服務
美創(chuàng)個人信息安全風險評估服務旨在幫助客戶有效評估在各項數據處理活動中的所存在個人信息、特別是個人敏感信息所可能存在的各項風險情況,同時結合對出現個人信息相關安全事件時所造成的影響進行分析的結果,給予相關的風險處置建議。
服務以符合《個人信息保護法》為基線要求,以遵從《GB/T 35273-2020 信息安全技術 個人信息安全規(guī)范》為目的,利用美創(chuàng)個人信息安全風險評估模型,對客戶單位的個人信息相關處理活動進行評估。
服務遵循以下流程:
評估準備
1)目標分析:或稱必要性分析,以確定評估所要達成的目標,并根據設定目標確立評估過程的評判準則,作為風險處置依據的界定性要求。
2)實施計劃:依據個人信息保護相關監(jiān)管和規(guī)范要求,組建評估團隊,明確各項職責,確定評估對象和范圍,制定完整的評估實施計劃等。
收集梳理
1)數據收集:通過現場訪談、工具探查、文檔審閱等方式對評估范圍的個人信息處理過程進行全面的調研。
2)活動梳理:對評估范圍內的個人信息處理活動進行歸納整理,輸出個人數據流向圖,識別并確認所有活動是否被有效記錄。
3)映射分析:對調研結果進行分析,對個人信息處理活動進行分類,并描述每類個人信息處理活動的具體情形,形成清晰的個人信息處理活動清單及個人信息映射表,其結果將用于影響分析和風險分析。
影響分析
1)風險源識別:對要素進行簡化,歸納為數據環(huán)境和技術措施、個人信息處理流程、參與人員與第三方、業(yè)務特點和規(guī)模及安全趨勢。
2)安全措施有效性分析:根據前階段收集的現有安全措施信息,結合威脅源識別情況,分析安全措施的有效性情況,例如當前采用身份鑒別和訪問控制措施是否在個人信息處理各活動場景得到有效應用。
3)個人權益影響分析:分析特定的個人信息處理活動是否會對個人信息主體合法權益產生影響,以及可能產生何種影響,主要包括四個維度:限制個人自主決定權、引發(fā)差別性待遇、個人名譽受損或遭受精神壓力、人身財產受損。
風險分析
開展個人信息安全風險綜合分析,評價安全事件發(fā)生的可能性等級,評價以及對個人權益影響的程度等級,綜合考慮安全事件可能性和個人權益影響程度兩個要素,最終分析得出個人信息處理活動的安全風險等級。
處置建議
根據風險等級,分別給予采取立即處置、限期處置、權衡影響和成本后處置、接受風險等處置方式的相關建議。
評估報告
1)編制報告:綜合所有材料及分析結果,匯編輸出個人信息安全風險評估報告,報告內容包括但不限于:評估目標、涉及業(yè)務場景、個人信息處理活動清單、風險清單、風險分析結果、安全控制措施清單、剩余風險一覽表等。
2)報告發(fā)布:依據客戶組織的報告發(fā)布管理策略,并選取適當內容,編制評估結果簡報,報送相關監(jiān)管單位,并依據實際需要向相關方進行披露。
處置跟蹤
對客戶單位采納的處置建議等安全控制措施,周期性跟蹤風險處置落實情況,評估剩余風險等,完成評估閉環(huán)。
個人信息風險評估服務價值
實施個人信息安全風險評估,能夠有效加強對個人信息主體權益的保護,有利于組織對外展示其保護個人信息安全的努力,提升透明度,増進個人信息主體對其的信任。主要體現在以下三個方面:
風險預防:在開展個人信息處理前,組織可通過影響評估,識別可能導致個人信息主體權益遭受損害的風險,并據此釆用適當的個人信息安全控制措施。
合規(guī)遵從:個人信息安全風險評估及其形成的記錄文檔,可幫助組織在政府、相關機構或商業(yè)伙伴的調查、執(zhí)法、合規(guī)性審計中,證明其遵守了個人信息保護與數據安全等方面的法律、法規(guī)和標準的要求。
責任減輕:在發(fā)生個人信息安全事件時,個人信息安全風險評估及其形成的記錄文檔,可用于證明企業(yè)己經主動評估風險并釆取一定的安全保護措施,有助于減輕企業(yè)的相關責任和名譽損失。
申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機遇!