22.8%网民遭遇个人信息泄漏,如何合规治理数据安全“重灾区”? - 嘶吼 RoarTalk – 回归最本质的信息安全,互联网安全新媒体,4hou.com

22.8%网民遭遇个人信息泄漏,如何合规治理数据安全“重灾区”?

全知科技 行业 2021-09-08 17:29:56
收藏

导语:企业如何建设数据安全治理能力,以达到保护个人信息安全的目标?

导读:“近日,中国互联网络信息中心(CNNIC)发布了第48次《中国互联网络发展状况统计报告》(以下简称《报告》)。《报告》显示,截至2021年6月,我国网民规模达到10.11亿;超10亿的庞大网民规模,为推动我国数字经济快速、高质发展提供了强大内生动力。”

1、你的隐私安全吗?

在互联网安全状况方面,《报告》指出了4类常见的网络安全问题,包括个人信息泄露、网络诈骗、设备中病毒或木马,账号或者密码被盗。其中,个人信息泄露是占比最高、最为突出的网络安全问题,占比22.8%。

个人信息泄露.png

在大数据时代,网民规模正在不断扩大,数字化应用服务日益丰富,消费流通、生活服务、文娱内容、医疗教育等领域的数据体系也在持续完善,数据的价值得到释放和肯定;然而,在享受数字化便利的过程中,我们的个人信息也在被广泛收集和使用,由此诱发的个人信息泄漏数据风险已悄然成为数据安全的“重灾区”。

随意收集、违法获取、过度索权、强制同意、大数据“杀熟”、非法买卖个人信息等突出安全问题,正在侵扰人们的生活,危害人们的生命健康和财产安全,更甚者也会危及社会治安和国家安全。

2、个保法在要求什么?

2021年8月20日,基于个人隐私信息保护的首部法律《个人信息保护法》应势发布,这意味着国家层面的数据安全监管环境良性向好,个人隐私泄漏乱象丛生的问题也将得到持续、强力的清理整治。

WechatIMG2890.jpeg

《个人信息保护法》对个人信息保护遵循原则、处理规则、跨境信息提供规则、风险评估规范等提出了更为具体和严格的要求,也为企业处理个人信息数据划定了边界和红线。

●《个人信息保护法》企业侧要求概述:

1、个人信息收集原则

(第六条)收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。

2、个人信息保护义务

(第五十一条)应根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取措施确保个人信息处理活动合法合规,并防止未经授权的访问以及个人信息泄露、篡改、丢失。

3、数据分级分类要求

(第五十一条第二款)个人信息分类处理:对个人信息实行分类管理。

(第二十八条)敏感个人信息分类处理:主要包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。

(第三十一条)个人信息处理者处理不满十四周岁未成年人个人信息,应当取得未成年人的父母或者其他监护人的同意,并制定专门的信息处理规则。

4、保护影响评估规范

(第五十五、五十六条)个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录;确保合法合规的情况下,对①个人信息的处理目的、处理方式等是否合法、正当、必要;②对个人权益的影响及安全风险;③所采取的保护措施是否合法、有效并与风险程度相适应3点进行评估,以降低或规避潜在风险。

《个人信息保护法》的落地,将对敏感信息滥用、大数据杀熟、个人信息泄露等突出安全问题进行有力规制,为企业破解个人信息保护的痛难点提供法律依据,也为促进数据经济健康发展持续加码。

ÉãͼÍø_500889734_wx_Á¢·¨£¨ÆóÒµÉÌÓã©.jpg

3、企业正面临着什么?

《个人信息保护法》明确了企业个人信息数据处理的权利范围和义务边界。在数据的采集、存储、传输、加工、使用、共享、删除销毁等全生命周期的数据安全保护能力上,对各大企业提出了更为严峻的要求。

●个人信息保护上企业面临的挑战:

1、外部API接口风险

API作为承载数据交互的关键载体,如果安全措施做的不足,个人信息会存在过量数据暴露、数据被爬取、恶意篡改、第三方违规留存等安全风险,进而导致数据泄露。

2、内部权限边界不明

企业内部人员角色与可访问的系统、系统相关的权限、权限绑定的相关数据边界模糊,人-数据-风险无法闭环链接,企业内部人员能够轻易借助工作之便,进行信息倒卖的非法利用。

3、数据资产杂乱无章

很多企业业务多,数据量大且复杂,企业无法清晰梳理并掌握库内数据情况和关系映射,敏感数据没有标识且分布不明,企业无法做出针对性的重点数据安全防护。

4、数据库风险后知后觉

数据库是企业存储数据的重要载体,库内数据的流动面临着各种数据风险,如果不做好全时态数据库风险监测,无法对风险进行预警,容易造成敏感数据泄漏,不满足数据安全合规要求。

在强监管的环境下,合规即企业竞争力。全力保障个人信息安全,是大数据时代的迫切需求,也是数据安全新形势下企业的合理义务。企业应当全面建设数据安全治理能力,以达到保护个人信息安全的目标。

ÉãͼÍø_400241849_wx_Êý×Ö°²È«Ëø£¨ÆóÒµÉÌÓã©.jpg

作为新一代数据安全的引领者,全知科技率先提出了“以数据为中心,风险为驱动”的数据流动安全治理理念,旗下知形-应用数据风险监测系统、知影-API风险监测系统、知踪-数据库风险监测系统、知源-数据资产地图系统等数据安全产品已在政务、金融、互联网企业、运营商等各行业得到广泛布局应用,在数据安全治理领域拥有丰富的实践经验。

基于《数据安全法》、《个人信息保护法》等法律的合规要求,全知科技将以数据分级分类为基础,配套丰富、高效的产品,通过数据风险测评服务、数据安全评估服务等服务的重要补充,为企业提供数据安全治理框架,帮助企业积极应对个人信息安全保护的挑战。

产品图谱.jpeg

如若转载,请注明原文地址
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论