個人資訊保護合規難？瞭解下美創個人資訊保安風險評估服務

隨著大資料時代的到來，各行業侵犯公民個人資訊的違法行為持續增多，個人資訊保安問題已經成為一個嚴重的社會問題，正引發社會高度關注。

7月21日，國家網際網路資訊辦公室公佈了此前引發高度關注的“滴滴網路安全審查”案件的處罰決定：對滴滴公司處人民幣80.26億元罰款，同時對滴滴董事長、總裁分別處人民幣100萬元罰款。

“滴滴網路安全審查”案件回顧

據報導，滴滴公司共存在16項違法事實，主要為8個方面：

一是違法收集使用者手機相簿中的截圖資訊1196.39萬條； 二是過度收集使用者剪下板資訊、應用列表資訊83.23億條； 三是過度收集乘客人臉識別資訊1.07億條、年齡段資訊5350.92萬條、職業資訊1633.56萬條、親情關係資訊138.29萬條、“家”和“公司”叫車地址資訊1.53億條； 四是過度收集乘客評價代駕服務時、App後臺執行時、手機連線桔視記錄儀裝置時的精準位置（經緯度）資訊1.67億條； 五是過度收集司機學歷資訊14.29萬條，以明文形式儲存司機身份證號資訊5780.26萬條； 六是在未明確告知乘客情況下分析乘客出行意圖資訊539.76億條、常駐城市資訊15.38億條、異地商務/異地旅遊資訊3.04億條； 七是在乘客使用順風車服務時頻繁索取無關的“電話許可權”； 八是未準確、清晰說明使用者裝置資訊等19項個人資訊處理目的。

同時存在嚴重影響國家安全的資料處理活動，依據《網路安全法》《資料安全法》《個人資訊保護法》《行政處罰法》等有關規定，特對滴滴作出網路安全審查相關行政處罰。

強監管下，組織機構如何應對

在全球共同呼籲個人資訊保護的趨勢下，繼歐盟頒佈《General Data Protection Regulation (通用資料保護條例)》（簡稱“GDPR”）之後，我國在2021年頒佈並施行了《個人資訊保護法》。

《個人資訊保護法》正式對個人資訊處理規則、跨境提供、個人權利和義務等做出了明確的規定，第五十五條規定：有下列情形之一的，個人資訊處理者應當事前進行個人資訊保護影響評估，並對處理情況進行記錄。

• 處理敏感個人資訊；
• 利用個人資訊進行自動化決策；
• 委託處理個人資訊、向其他個人資訊處理者提供個人資訊、公開個人資訊；
• 向境外提供個人資訊；
• 其他對個人權益有重大影響的個人資訊處理活動。

對組織機構（個人資訊處理者）而言，為避免個人資訊的丟失、洩露、濫用，滿足監管合規要求，儘快開展個人資訊保安風險評估工作，充分了解個人資訊保護現狀和可能存在的影響，再透過相關處置措施，加強個人資訊保護，以實現監管合規。

美創個人資訊保安風險評估服務

美創個人資訊保安風險評估服務旨在幫助客戶有效評估在各項資料處理活動中的所存在個人資訊、特別是個人敏感資訊所可能存在的各項風險情況，同時結合對出現個人資訊相關安全事件時所造成的影響進行分析的結果，給予相關的風險處置建議。

服務以符合《個人資訊保護法》為基線要求，以遵從《GB/T 35273-2020 資訊保安技術 個人資訊保安規範》為目的，利用美創個人資訊保安風險評估模型，對客戶單位的個人資訊相關處理活動進行評估。

服務遵循以下流程：

評估準備：

1) 目標分析：或稱必要性分析，以確定評估所要達成的目標，並根據設定目標確立評估過程的評判準則，作為風險處置依據的界定性要求。

2) 實施計劃：依據個人資訊保護相關監管和規範要求，組建評估團隊，明確各項職責，確定評估物件和範圍，制定完整的評估實施計劃等。

收集梳理：

1) 資料收集：透過現場訪談、工具探查、文件審閱等方式對評估範圍的個人資訊處理過程進行全面的調研。

2) 活動梳理：對評估範圍內的個人資訊處理活動進行歸納整理，輸出個人資料流向圖，識別並確認所有活動是否被有效記錄。

3) 對映分析：對調研結果進行分析，對個人資訊處理活動進行分類，並描述每類個人資訊處理活動的具體情形，形成清晰的個人資訊處理活動清單及個人資訊對映表，其結果將用於影響分析和風險分析。

影響分析

1) 風險源識別：對要素進行簡化，歸納為資料環境和技術措施、個人資訊處理流程、參與人員與第三方、業務特點和規模及安全趨勢。

2) 安全措施有效性分析：根據前階段收集的現有安全措施資訊，結合威脅源識別情況，分析安全措施的有效性情況，例如當前採用身份鑑別和訪問控制措施是否在個人資訊處理各活動場景得到有效應用。

3) 個人權益影響分析：分析特定的個人資訊處理活動是否會對個人資訊主體合法權益產生影響，以及可能產生何種影響，主要包括四個維度：限制個人自主決定權、引發差別性待遇、個人名譽受損或遭受精神壓力、人身財產受損。

風險分析

開展個人資訊保安風險綜合分析，評價安全事件發生的可能性等級，評價以及對個人權益影響的程度等級，綜合考慮安全事件可能性和個人權益影響程度兩個要素，最終分析得出個人資訊處理活動的安全風險等級。

處置建議

根據風險等級,分別給予採取立即處置、限期處置、權衡影響和成本後處置、接受風險等處置方式的相關建議。

評估報告

1) 編制報告：綜合所有材料及分析結果，彙編輸出個人資訊保安風險評估報告，報告內容包括但不限於：評估目標、涉及業務場景、個人資訊處理活動清單、風險清單、風險分析結果、安全控制措施清單、剩餘風險一覽表等。

2) 報告發布：依據客戶組織的報告發布管理策略，並選取適當內容，編制評估結果簡報，報送相關監管單位，並依據實際需要向相關方進行披露。

處置跟蹤

對客戶單位採納的處置建議等安全控制措施，週期性跟蹤風險處置落實情況，評估剩餘風險等，完成評估閉環。

個人資訊風險評估服務價值

實施個人資訊保安風險評估，能夠有效加強對個人資訊主體權益的保護，有利於組織對外展示其保護個人資訊保安的努力，提升透明度，増進個人資訊主體對其的信任。主要體現在以下三個方面：

• 風險預防：在開展個人資訊處理前，組織可透過影響評估，識別可能導致個人資訊主體權益遭受損害的風險，並據此釆用適當的個人資訊保安控制措施。

• 合規遵從：個人資訊保安風險評估及其形成的記錄文件，可幫助組織在政府、相關機構或商業夥伴的調查、執法、合規性審計中，證明其遵守了個人資訊保護與資料安全等方面的法律、法規和標準的要求。

• 責任減輕：在發生個人資訊保安事件時，個人資訊保安風險評估及其形成的記錄文件，可用於證明企業己經主動評估風險並釆取一定的安全保護措施，有助於減輕企業的相關責任和名譽損失。