数安智库 | 浅谈在数据流通过程中的个人信息保护

admin 2022年11月7日21:36:40安全闲碎评论4 views2204字阅读7分20秒阅读模式

 数安智库 

  专家简介   

范东媛:DSI数安智库专家,中国移动数据安全合规专家,信息安全工程师。长期从事数据安全、大数据业务合规工作,有丰富的大数据安全合规项目经验,参与多项国家和行业标准编制,牵头多项数字政府类标准编制,发表1篇数据安全合规流通类学术论文,参与申报科技部重点研发项目。


随着国家加快培育数据要素市场的决策部署,大数据产业不断发展,数据资产作为重要的生产要素,在数据价值实现过程中快速流转,大数据服务给人们的生产生活带来了极大便利,个人信息作为数据资产的重要组成部分,蕴藏着巨大价值,若企业管理不当,则面临个人信息滥用、泄露、非法贩卖/转卖、个人信息主体权益被侵害等风险。近年来,个人信息相关安全合规案件屡见不鲜,如疫情期间,确诊患者和疫情返乡人员信息被管理不当,被转发传播,导致多次发生网暴事件;某招聘网站简历信息大量泄漏等。个人信息保护已经成为当前社会和人民非常关注的问题,也是企业面临大数据业务发展的重点问题。

目前在法律法规层面,《中华人民共和国民法典》中规定自然人对个人信息的利用有知情同意权、依法查阅和复制权、更正权等,奠定了个人信息主体权益地位,对个人信息保护具有里程碑的意义。《中华人民共和国个人信息保护法》,是我国以保护个人信息主体权益为核心的法律,从个人信息主体权益保护的视角进一步明确个人信息处理者的责任和义务等。在国家标准层面《信息安全技术 个人信息安全规范》(GB/T35273 - 2020)为企业个人信息保护合规实务工作提供方向性的指导和建议,以及各行业主管和监管单位发布的个人信息保护相关要求。

企业在个人信息保护过程中面临诸多痛点问题


痛点一:分子公司、业务条线、合作方较多,个人信息保护职责不清。

痛点二:除了国家层面要求外,还有电信、旅游、金融、政务等十多个行业监管部门发布的相关要求,跨行业的个人信息保护合规要求追踪难。

痛点三:数据相关业务场景复杂,不同个人信息处理场景下个人信息主体权益面临的风险难以识别,各参与方的个人信息保护责任和义务难以厘清,可能存在个人信息主体权益未能及时响应的风险。

痛点四:个人信息保护能力未能覆盖所有业务场景。个人信息的保护重点环节从全生命周期到具体的复杂多样的业务场景全面铺开,导致个人信息保护环节众多,可能因为管理不当、技术局限等原因导致个人信息保护能力未能覆盖全量业务场景。

痛点五:仅基于规则的策略难以识别关联处理后的个人信息,个人信息识别不精确,数据交互方式复杂,若未进行有效监测和管理,可能导致个人信息泄露;

为应对当前的主要问题,本文以理清业务为前提,提出了一套个人信息保护体系。

在建立个人信息保护体系前,企业应根据业务流程,采用“自底向上”和“自顶向下”相结合的方法,全面梳理业务风险。先“自顶向下”识别每个产品或服务的多个业务场景,然后由业务场景识别多个具体的活动,业务活动会涉及到访问者(业务受理人员)、访问对象(查询平台)、访问行为(查询)、访问行为权限(查询权限、可查询行数)、访问时间(执行业务时间)、受保护主体(用户个人信息主体),从而可精细地识别各活动所面临的个人信息保护的风险,最后再“自底向上”的分析出各产品或服务所面临的风险。

在充分识别风险的前提下,从个人权益影响和安全措施有效性两个维度和组织机制、管理制度、技术建设和运营机制四个方面建立个人信息保护体系。
数安智库 | 浅谈在数据流通过程中的个人信息保护
图 1:个人信息保护体系

1.建立集团式个人信息保护组织机构,加强跨单位、差异化角色联动,充分考虑内外部各单位、各部门及外部合作方作为参与层,在组织机构内建立决策层、管理层、执行层和监督层。

2. 建立覆盖业务场景“两类四层”个人信息保护制度,两类包括个人信息安全和个人信息权益,四层包括总则、办法、规范/指南及记录/模板工具,在实际建设过程中管理制度框架的设置,可结合企业自身的管理特点进行调整,优先满足适宜性。

3. 以通用数据安全技术能力为基础,构建数智化、精细化、全面化的个人信息保护技术能力,对关键节点部署技术手段实施监测个人信息风险,如导出、对外交互等环节,采用机器学习算法,将业务行为活动的各项要素作为计算因子能对未来可能发生的个人信息安全事件进行有效的预判。建立合规平台支撑个人信息共享披露机制、个人信息删除权、查询权、请求权等权益的维护。

 4. 在基础数据安全运营的基础上,结合业务情况,建立数智融合、高效协同、生态发展的个人信息保护运营机制,主要包括个人信息保护隐私政策的建立和维护机制、个人信息标签维护机制、个人信息安全影响评估机制、个人信息权益保障机制及个人信息保护合规资料库的建立与更新机制等。


声明:本文仅代表作者个人观点,不代表本公众号及其运营单位意见或立场。

 数安智库简介


数安智库是数据安全推进计划(DSI)于2021年4月20日成立的专家库,旨在整合专家资源,实现优势互补,推动行业发展。首批共有130余位专家加入DSI数安智库。截至目前,数安智库专家已产出多篇数据安全方面的高质量文章(均已发布在DSI公众号)。未来数安智库将致力于研究行业痛点问题,凝聚行业共识,探索应对方案,不断提升自身专业性。


往期精选

1

一图读懂“可信数安”评估评测

2

数据安全推进计划简介!

3

一图读懂“数据安全治理能力评估”

4

数安智库 | 以密码为核心构建数据安全防护能力

原文始发于微信公众号(数据安全推进计划):数安智库 | 浅谈在数据流通过程中的个人信息保护

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年11月7日21:36:40
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  数安智库 | 浅谈在数据流通过程中的个人信息保护 http://cn-sec.com/archives/1395930.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: