企業如何規避數據隱私風險?
隨著科技的發展,人們更加依賴網絡,但科技是把雙刃劍,網絡中留下的個人信息可能被不法商家利用,比如房產推銷、貸款理財、房屋裝修、輔導培訓等電話和短信,給我們的正常生活帶來了許多困擾。如何享受數據價值帶來的紅利并保護個人隱私,成為當下熱議的話題。在2022年的315晚會上,WiFi破解APP違規收集用戶信息、低配兒童智能手表存在隱私泄露風險等事件的曝光,讓我們不禁陷入思考,個人信息事件頻發的根本原因是什么?企業又該如何規避數據隱私風險?
消費者是指為滿足生活需要而購買或使用企業提供的商品或服務的自然人,做為單個的個體,相對于物力財力雄厚、信息資源豐富的公司,屬于弱勢群體,而企業利益至上,缺乏個人信息保護的內在動力,才是個人信息事件頻發的根本原因。315晚會上曝光的個人信息泄露事件只是冰山一角,大量的個人信息違規收集、“大數據殺熟”、非法買賣、泄露個人信息等行為屢禁不止,給消費者的個人信息安全帶來巨大隱患與影響。
在此背景下,《中華人民共和國個人信息保護法》自2021年11月1日起施行。這部法律為破解個人信息保護中的熱點難點問題提供了強有力的法律保障,標志我國進入了全面的個人信息保護時代。與此同時,國家網信辦、工信部、公安部等各行業主管部門釋放出強監管的信號,并在執法層面呈現出常態化趨勢,個人信息安全保護已經成為影響國家安全、社會秩序以及公民利益的焦點問題。企業作為個人信息的收集和處理者應積極履行信息保護義務,將個人信息保護作為企業發展的生命線。開展個人信息安全影響評估不僅是踐行個人信息安全保護相關國家法律法規的手段之一,而且能有效地發現企業個人信息保護過程中存在的隱患,為企業個人信息保護工作提供有力支撐。
個人信息安全影響評估將通過數據映射分析對個人信息處理行為進行梳理與分類,并對個人信息處理行為中的個人信息安全風險從危害性和可能性兩個維度進行評估,通過六個步驟來實現對個人信息安全影響的整體評估工作。根據評估結果,提供風險處置的建議,并在需要的情況下對風險處置的結果進行跟蹤。
步驟一:前期準備工作
前期準備工作包括確定評估對象和范圍、確定訪談對象以及制定評估計劃等內容。
步驟二:必要信息采集
評估團隊將針對評估對象系統進行必要信息采集,比如:業務中涉及個人信息的收集、傳輸、處理、存儲以及銷毀的全部業務流程以及其它相關信息;根據前期準備工作中收集的系統需求信息和系統設計信息制作調研表,進一步收集更加詳細的系統信息、個人信息處理流程及程序信息。
步驟三:數據流轉梳理
數據流轉梳理工作的主要內容為數據映射分析,根據數據映射分析的結果對目標系統的個人信息以及個人信息處理活動進行分類分級工作。個人信息和個人信息處理活動的分類能夠有效的提升后續風險分析工作的效果。同時得到的分類結果能夠幫助企業更加全面的認識其個人信息處理業務,并以此為基礎進一步提升企業的個人信息處理的業務表現。
步驟四:風險綜合分析
針對已分類的個人信息處理活動進行風險分析,風險分析將從風險所能夠造成的個人權益影響與該風險導致安全事件發生的可能性兩個方面入手,綜合考慮風險的威脅等級,并生成個人信息風險表(根據風險在影響級別和可能性級別兩個維度的得分,將其定位在相應的位置)。綜合考慮可能性和影響級別能夠有效提升資源分配的合理性,對于一些高風險低可能性的風險,評估團隊將會在處置建議中適當下調其優先級。
步驟五:出具評估報告
個人信息安全影響評估報告是個人信息安全影響評估最終成果,包含但不限于個人權益影響分析結果、可能性分析結果、風險判定的準則、合規性分析結果、風險分析過程及結果、風險處置建議等。
步驟六:風險處置跟蹤
評估團隊將對風險處置的結果進行跟蹤,并根據風險處置的結果分析剩余風險是否符合風險準則所定義的風險接受標準。在完成處置結果評估之后,評估團隊將出具獨立的處置結果評估報告。
個人信息安全影響評估不僅是簡單的合規性檢查,還可以幫助企業在持續合規性審計或調查中證明其遵守了相關個人信息與數據保護法律、法規和標準要求。如果發生個人信息安全風險或違規事件,個人信息安全影響評估報告可提供證據證明企業已經采取適當措施試圖阻止個人信息安全事件的發生,這可以有助于減輕、甚至免除相關責任和名譽損失。此外,評估服務還能為企業帶來內部管理制度健全、增強員工安全意識和提升消費者信任等額外收益。
