22.8%网民遭遇个人信息泄漏,企业如何合规治理数据安全“重灾区”?
2021-09-08 17:07:38 Author: www.aqniu.com(查看原文) 阅读量:48 收藏

近日,中国互联网络信息中心(CNNIC)在京发布第48次《中国互联网络发展状况统计报告》(以下简称《报告》)。《报告》显示,截至2021年6月,我国网民规模达到10.11亿;超10亿的庞大网民规模,为推动我国数字经济快速、高质发展提供了强大内生动力。

1、你的隐私安全吗?

在互联网安全状况方面,《报告》指出了4类常见的网络安全问题,包括个人信息泄露、网络诈骗、设备中病毒或木马,账号或者密码被盗。其中,个人信息泄露是占比最高、最为突出的网络安全问题,占比22.8%

在大数据时代,网民规模正在不断扩大,数字化应用服务日益丰富,消费流通、生活服务、文娱内容、医疗教育等领域的数据体系也在持续完善,数据的价值得到释放和肯定;然而,在享受数字化便利的过程中,我们的个人信息也在被广泛收集和使用,由此诱发的个人信息泄漏数据风险已悄然成为数据安全的“重灾区”。

随意收集、违法获取、过度索权、强制同意、大数据“杀熟”、非法买卖个人信息等突出安全问题,正在侵扰人们的生活,危害人们的生命健康和财产安全,更甚者也会危及社会治安和国家安全。

2个保法在要求什么?

针对个人信息问题乱象丛生的现象,基于个人隐私信息保护的首部法律《个人信息保护法》应势出台。2021年8月20日,《个人信息保护法》重磅发布,意味着国家层面的数据安全监管环境良性向好,个人隐私泄漏乱象丛生的问题也将得到持续、强力的清理整治。

《个人信息保护法》对个人信息保护遵循原则、处理规则、跨境信息规则、风险评估规范等提出了更为具体和严格的要求,也为企业处理个人信息数据划定了边界和红线。

*《个人信息保护法》企业侧要求概述:

  1. 个人信息收集原则

·(第六条)收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。

  • 个人信息保护义务

·(第五十一条)应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取下列措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失:

  • 数据分级分类要求

·(第五十一条第二款)个人信息分类处理:对个人信息实行分类管理。

·(第二十八条)敏感个人信息分类处理:主要包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。

·(第三十一条)个人信息处理者处理不满十四周岁未成年人个人信息,应当取得未成年人的父母或者其他监护人的同意,并制定专门的信息处理规则。

  • 保护影响评估规范

·(第五十五、五十六条)个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录;确保合法合规的情况下,对①个人信息的处理目的、处理方式等是否合法、正当、必要;②对个人权益的影响及安全风险;③所采取的保护措施是否合法、有效并与风险程度相适应3点进行评估,以降低或规避潜在风险。

《个人信息保护法》的落地,对敏感信息滥用、大数据杀熟、个人信息泄露等突出问题进行了有力规制,为企业破解个人信息保护的难点提供法律依据,也为促进数据经济健康发展持续加码。

3企业正面临着什么?

《个人信息保护法》明确了企业个人信息数据处理的权利范围和义务边界。在数据的采集、存储、加工、使用、共享、删除销毁等全生命周期的数据安全保护能力上,对各大企业提出了更为严峻的要求。

*个人信息保护上企业面临的挑战:

  1. 外部API接口风险:API作为承载数据交互的关键载体,如果安全措施做的不足,个人信息就会存在过量数据暴露、数据被爬取、恶意篡改、第三方违规留存等安全风险,进而导致数据泄露。
  2. 内部权限边界不明:企业内部人员角色与可访问的系统、系统相关的权限、权限绑定的相关数据边界模糊,人-数据-风险无法闭环链接,企业内部人员能够轻易借助工作之便,进行信息倒卖的非法利用。
  3. 数据资产杂乱无章:很多企业业务多,数据量大且复杂,企业无法清晰梳理并掌握库内数据情况和关系映射,敏感数据没有标识且分布不明,企业无法做出针对性的重点数据安全防护。
  4. 数据库风险后知后觉:数据库是企业存储数据的重要载体,库内数据的流动面临着各种数据风险,如果不做好全时态数据库风险监测,无法对风险进行预警,容易造成敏感数据泄漏,不满足数据安全合规要求。

在强监管的环境下,合规即企业竞争力。全力保障个人信息安全,是大数据时代的迫切需求,也是数据安全新形势下企业的合理义务。企业应当全面建设数据安全治理能力,以达到保护个人信息安全的目标。

作为新一代数据安全的引领者,全知科技率先提出了“以数据为中心,风险为驱动”的数据流动安全治理理念,旗下知形-应用数据风险监测系统、知影-API风险监测系统、知踪-数据库风险监测系统、知源-数据资产地图系统等数据安全产品已在政务、金融、互联网企业、运营商等各行业得到广泛布局应用,在数据安全治理领域拥有丰富的实践经验。

基于《数据安全法》、《个人信息保护法》等法律的合规要求,全知科技将以数据分级分类为基础,配套丰富、高效的产品,通过数据风险测评服务、数据安全评估服务等服务的重要补充,为企业提供数据安全治理框架,帮助企业积极应对个人信息安全保护的挑战。


文章来源: https://www.aqniu.com/industry/77409.html
如有侵权请联系:admin#unsafe.sh