盜賣上億條公民個人資訊，“安全刺客”怎麼防？

該團伙有技術、有案底、有野心，其首先偽裝成大資料公司與企業開展業務合作，進而透過讓企業方下載所謂技術包的形式，獲取各種型別公民資訊或其他關聯資訊，並透過組合加工的方式形成資料豐富、完整的公民個人資訊進行出售。（資料來源：公安部網安局、浙江網警）

數字化浪潮下，無論是傳統行業還是新興行業、新型商業模式，各企業機構匯聚了海量個人資訊。

作為個人資訊保護領域的基本法，《個人資訊保護法》全面規定了企業等個人資訊處理者的義務及責任。其中第五十五條規定：有下列情形之一的，個人資訊處理者應當事前進行個人資訊保護影響評估，並對處理情況進行記錄。

因此，企業作為“個人資訊處理者”需儘快儘快梳理業務相關資料，建立健全安全合規體系，開展個人資訊保安風險評估工作，充分了解個人資訊保護現狀和可能存在的影響，再透過相關處置措施，加強個人資訊保護，以滿足自身業務發展，實現監管合規。

美創個人資訊保安風險評估服務可幫助客戶有效評估在各項資料處理活動中的所存在個人資訊、特別是個人敏感資訊所可能存在的各項風險情況，同時結合對出現個人資訊相關安全事件時所造成的影響進行分析的結果，給予相關的風險處置建議。

服務遵循以下流程：

1)目標分析：或稱必要性分析，以確定評估所要達成的目標，並根據設定目標確立評估過程的評判準則，作為風險處置依據的界定性要求。

2)實施計劃：依據個人資訊保護相關監管和規範要求，組建評估團隊，明確各項職責，確定評估物件和範圍，制定完整的評估實施計劃等。

1)資料收集：透過現場訪談、工具探查、文件審閱等方式對評估範圍的個人資訊處理過程進行全面的調研。

2)活動梳理：對評估範圍內的個人資訊處理活動進行歸納整理，輸出個人資料流向圖，識別並確認所有活動是否被有效記錄。

3)對映分析：對調研結果進行分析，對個人資訊處理活動進行分類，並描述每類個人資訊處理活動的具體情形，形成清晰的個人資訊處理活動清單及個人資訊對映表，其結果將用於影響分析和風險分析。

1)風險源識別：對要素進行簡化，歸納為資料環境和技術措施、個人資訊處理流程、參與人員與第三方、業務特點和規模及安全趨勢。

2)安全措施有效性分析：根據前階段收集的現有安全措施資訊，結合威脅源識別情況，分析安全措施的有效性情況，例如當前採用身份鑑別和訪問控制措施是否在個人資訊處理各活動場景得到有效應用。

3)個人權益影響分析：分析特定的個人資訊處理活動是否會對個人資訊主體合法權益產生影響，以及可能產生何種影響，主要包括四個維度：限制個人自主決定權、引發差別性待遇、個人名譽受損或遭受精神壓力、人身財產受損。

開展個人資訊保安風險綜合分析，評價安全事件發生的可能性等級，評價以及對個人權益影響的程度等級，綜合考慮安全事件可能性和個人權益影響程度兩個要素，最終分析得出個人資訊處理活動的安全風險等級。

根據風險等級,分別給予採取立即處置、限期處置、權衡影響和成本後處置、接受風險等處置方式的相關建議。

1)編制報告：綜合所有材料及分析結果，彙編輸出個人資訊保安風險評估報告，報告內容包括但不限於：評估目標、涉及業務場景、個人資訊處理活動清單、風險清單、風險分析結果、安全控制措施清單、剩餘風險一覽表等。

2)報告發布：依據客戶組織的報告發布管理策略，並選取適當內容，編制評估結果簡報，報送相關監管單位，並依據實際需要向相關方進行披露。

對客戶單位採納的處置建議等安全控制措施，週期性跟蹤風險處置落實情況，評估剩餘風險等，完成評估閉環。

個人網路資訊資料洩露嚴重侵犯公民個人隱私，由此引發的衍生案件將直接損害公民人身財產安全。對此，公民需提高個人資訊保護意識，美建立議：