《数据安全风险评估白皮书》
400-100-9516
news
全知动态

站内搜索

22.8%网民遭遇个人信息泄漏,如何合规治理数据安全“重灾区”?
2021-09-07 2621 全知动态

图怪兽_c8e897ddc00f773859355d9e0e2397c6_35545.png

 

近日,中国互联网络信息中心(CNNIC)发布了第48次《中国互联网络发展状况统计报告》(以下简称《报告》)。《报告》显示,截至2021年6月,我国网民规模达到10.11亿;超10亿的庞大网民规模,为推动我国数字经济快速、高质发展提供了强大内生动力。
 
 

 Part 1  你 的 隐 私 安 全 吗 ?

在互联网安全状况方面,《报告》指出了4类常见的网络安全问题,包括个人信息泄露、网络诈骗、设备中病毒或木马,账号或者密码被盗。其中,个人信息泄露是占比最高、最为突出的网络安全问题,占比22.8%。
 

undefined

 
在大数据时代,网民规模正在不断扩大,数字化应用服务日益丰富,消费流通、生活服务、文娱内容、医疗教育等领域的数据体系也在持续完善,数据的价值得到释放和肯定;然而,在享受数字化便利的过程中,我们的个人信息也在被广泛收集和使用,由此诱发的个人信息泄漏数据风险已悄然成为数据安全的“重灾区”。
随意收集、违法获取、过度索权、强制同意、大数据“杀熟”、非法买卖个人信息等突出安全问题,正在侵扰人们的生活,危害人们的生命健康和财产安全,更甚者也会危及社会治安和国家安全。
 
 

 Part 2  个 保 法 在 要 求 什 么 ?

2021年8月20日,基于个人隐私信息保护的首部法律《个人信息保护法》应势发布,这意味着国家层面的数据安全监管环境良性向好,个人隐私泄漏乱象丛生的问题也将得到持续、强力的清理整治。
 

undefined

 
《个人信息保护法》对个人信息保护遵循原则、处理规则、跨境信息提供规则、风险评估规范等提出了更为具体和严格的要求,也为企业处理个人信息数据划定了边界和红线。
 
● 《个人信息保护法》业侧要求概述:
1、个人信息收集原则
  • (第六条)收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息
2、个人信息保护义务
 
  • (第五十一条)应根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取措施确保个人信息处理活动合法合规,并止未经授权的访问以及个人信息泄露、篡改、丢失
3、数据分级分类要求
  • (第五十一条第二款)个人信息分类处理对个人信息实行分类管理。
  • (第二十八条)敏感个人信息分类处理主要包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
  • (第三十一条)个人信息处理者处理不满十四周岁未成年人个人信息,应当取得未成年人的父母或者其他监护人的同意,并制定专门的信息处理规则
4、保护影响评估规范
  • (第五十五、五十六条)个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录;确保合法合规的情况下,对①个人信息的处理目的、处理方式等是否合法、正当、必要;②对个人权益的影响及安全风险;③所采取的保护措施是否合法、有效并与风险程度相适应3点进行评估,以降低或规避潜在风险
《个人信息保护法》的落地,将对敏感信息滥用、大数据杀熟、个人信息泄露等突出安全问题进行有力规制,为企业破解个人信息保护的痛难点提供法律依据,也为促进数据经济健康发展持续加码。

 

undefined

 

 Part 3  企 业 正 面 临 什 么 ?

《个人信息保护法》明确了企业个人信息数据处理的权利范围和义务边界。在数据的采集、存储、传输、加工、使用、共享、删除销毁等全生命周期的数据安全保护能力上,对各大企业提出了更为严峻的要求。
● 个人信息保护上企业面临的挑战:
1、外部API接口风险
  • API作为承载数据交互的关键载体,如果安全措施做的不足,个人信息会存在过量数据暴露、数据被爬取、恶意篡改、第三方违规留存等安全风险,进而导致数据泄露。
2、内部权限边界不明
  • 企业内部人员角色与可访问的系统、系统相关的权限、权限绑定的相关数据边界模糊,人-数据-风险无法闭环链接,企业内部人员能够轻易借助工作之便,进行信息倒卖的非法利用。
3、数据资产杂乱无章
  • 很多企业业务多,数据量大且复杂,企业无法清晰梳理并掌握库内数据情况和关系映射,敏感数据没有标识且分布不明,企业无法做出针对性的重点数据安全防护。
4、数据库风险后知后觉
  • 数据库是企业存储数据的重要载体,库内数据的流动面临着各种数据风险,如果不做好全时态数据库风险监测,无法对风险进行预警,容易造成敏感数据泄漏,不满足数据安全合规要求
 
在强监管的环境下,合规即企业竞争力。全力保障个人信息安全,是大数据时代的迫切需求,也是数据安全新形势下企业的合理义务。企业应当全面建设数据安全治理能力,以达到保护个人信息安全的目标。

 

undefined

 

作为新一代数据安全的引领者,全知科技率先提出了“以数据为中心,风险为驱动”的数据流动安全治理理念,旗下知形-应用数据风险监测系统、知影-API风险监测系统、知踪-数据库风险监测系统、知源-数据资产地图系统等数据安全产品已在政务、金融、互联网企业、运营商等各行业得到广泛布局应用,在数据安全治理领域拥有丰富的实践经验。
基于《数据安全法》、《个人信息保护法》等法律的合规要求,全知科技将以数据分级分类为基础,配套丰富、高效的产品,通过数据风险测评服务、数据安全评估服务等服务的重要补充,为企业提供数据安全治理框架帮助企业积极应对个人信息安全保护的挑战。
 

undefined

咨询电话:400-100-9516

官方微信 :全知科技

undefined

【原创文章】如需转载请注明来源和原作者。 

在线客服