22.8%网民遭遇个人信息泄漏，如何合规治理数据安全“重灾区”？

导读：“近日，中国互联网络信息中心（CNNIC）发布了第48次《中国互联网络发展状况统计报告》（以下简称《报告》）。《报告》显示，截至2021年6月，我国网民规模达到10.11亿；超10亿的庞大网民规模，为推动我国数字经济快速、高质发展提供了强大内生动力。”

1、你的隐私安全吗？

在互联网安全状况方面，《报告》指出了4类常见的网络安全问题，包括个人信息泄露、网络诈骗、设备中病毒或木马，账号或者密码被盗。其中，个人信息泄露是占比最高、最为突出的网络安全问题，占比22.8%。

在大数据时代，网民规模正在不断扩大，数字化应用服务日益丰富，消费流通、生活服务、文娱内容、医疗教育等领域的数据体系也在持续完善，数据的价值得到释放和肯定；然而，在享受数字化便利的过程中，我们的个人信息也在被广泛收集和使用，由此诱发的个人信息泄漏数据风险已悄然成为数据安全的“重灾区”。

随意收集、违法获取、过度索权、强制同意、大数据“杀熟”、非法买卖个人信息等突出安全问题，正在侵扰人们的生活，危害人们的生命健康和财产安全，更甚者也会危及社会治安和国家安全。

2021年8月20日，基于个人隐私信息保护的首部法律《个人信息保护法》应势发布，这意味着国家层面的数据安全监管环境良性向好，个人隐私泄漏乱象丛生的问题也将得到持续、强力的清理整治。

《个人信息保护法》对个人信息保护遵循原则、处理规则、跨境信息提供规则、风险评估规范等提出了更为具体和严格的要求，也为企业处理个人信息数据划定了边界和红线。

●《个人信息保护法》企业侧要求概述：

1、个人信息收集原则

（第六条）收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息。

2、个人信息保护义务

（第五十一条）应根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等，采取措施确保个人信息处理活动合法合规，并防止未经授权的访问以及个人信息泄露、篡改、丢失。

3、数据分级分类要求

（第五十一条第二款）个人信息分类处理：对个人信息实行分类管理。

（第二十八条）敏感个人信息分类处理：主要包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。

（第三十一条）个人信息处理者处理不满十四周岁未成年人个人信息，应当取得未成年人的父母或者其他监护人的同意，并制定专门的信息处理规则。

4、保护影响评估规范

（第五十五、五十六条）个人信息处理者应当事前进行个人信息保护影响评估，并对处理情况进行记录；确保合法合规的情况下，对①个人信息的处理目的、处理方式等是否合法、正当、必要；②对个人权益的影响及安全风险；③所采取的保护措施是否合法、有效并与风险程度相适应3点进行评估，以降低或规避潜在风险。

《个人信息保护法》的落地，将对敏感信息滥用、大数据杀熟、个人信息泄露等突出安全问题进行有力规制，为企业破解个人信息保护的痛难点提供法律依据，也为促进数据经济健康发展持续加码。

3、企业正面临着什么？

《个人信息保护法》明确了企业个人信息数据处理的权利范围和义务边界。在数据的采集、存储、传输、加工、使用、共享、删除销毁等全生命周期的数据安全保护能力上，对各大企业提出了更为严峻的要求。

●个人信息保护上企业面临的挑战：

1、外部API接口风险

API作为承载数据交互的关键载体，如果安全措施做的不足，个人信息会存在过量数据暴露、数据被爬取、恶意篡改、第三方违规留存等安全风险，进而导致数据泄露。

2、内部权限边界不明

企业内部人员角色与可访问的系统、系统相关的权限、权限绑定的相关数据边界模糊，人-数据-风险无法闭环链接，企业内部人员能够轻易借助工作之便，进行信息倒卖的非法利用。

3、数据资产杂乱无章

很多企业业务多，数据量大且复杂，企业无法清晰梳理并掌握库内数据情况和关系映射，敏感数据没有标识且分布不明，企业无法做出针对性的重点数据安全防护。

4、数据库风险后知后觉

数据库是企业存储数据的重要载体，库内数据的流动面临着各种数据风险，如果不做好全时态数据库风险监测，无法对风险进行预警，容易造成敏感数据泄漏，不满足数据安全合规要求。

在强监管的环境下，合规即企业竞争力。全力保障个人信息安全，是大数据时代的迫切需求，也是数据安全新形势下企业的合理义务。企业应当全面建设数据安全治理能力，以达到保护个人信息安全的目标。

作为新一代数据安全的引领者，全知科技率先提出了“以数据为中心，风险为驱动”的数据流动安全治理理念，旗下知形-应用数据风险监测系统、知影-API风险监测系统、知踪-数据库风险监测系统、知源-数据资产地图系统等数据安全产品已在政务、金融、互联网企业、运营商等各行业得到广泛布局应用，在数据安全治理领域拥有丰富的实践经验。

基于《数据安全法》、《个人信息保护法》等法律的合规要求，全知科技将以数据分级分类为基础，配套丰富、高效的产品，通过数据风险测评服务、数据安全评估服务等服务的重要补充，为企业提供数据安全治理框架，帮助企业积极应对个人信息安全保护的挑战。