近日
杭州网警成功破获一起侵犯公民个人信息案
该案手段新颖、涉众面广
利用皮包公司与企业开展虚假合作
骗取4亿余条公民个人信息,涉案资金3千万元
目前
警方已抓获犯罪嫌疑人12名
扣押计算机、手机、硬盘等
作案设备50余件
该团伙有技术、有案底、有野心,其首先伪装成大数据公司与企业开展业务合作,进而通过让企业方下载所谓技术包的形式,获取各种类型公民信息或其他关联信息,并通过组合加工的方式形成数据丰富、完整的公民个人信息进行出售。(资料来源:公安部网安局、浙江网警)
数字化浪潮下,无论是传统行业还是新兴行业、新型商业模式,各企业机构汇聚了海量个人信息。
作为个人信息保护领域的基本法,《个人信息保护法》全面规定了企业等个人信息处理者的义务及责任。其中第五十五条规定:有下列情形之一的,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录。
处理敏感个人信息;
利用个人信息进行自动化决策;
委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;
向境外提供个人信息;
其他对个人权益有重大影响的个人信息处理活动。
因此,企业作为“个人信息处理者”需尽快尽快梳理业务相关数据,建立健全安全合规体系,开展个人信息安全风险评估工作,充分了解个人信息保护现状和可能存在的影响,再通过相关处置措施,加强个人信息保护,以满足自身业务发展,实现监管合规。
美创个人信息安全风险评估:风险预估、合规遵从、责任减轻
美创个人信息安全风险评估服务可帮助客户有效评估在各项数据处理活动中的所存在个人信息、特别是个人敏感信息所可能存在的各项风险情况,同时结合对出现个人信息相关安全事件时所造成的影响进行分析的结果,给予相关的风险处置建议。
服务遵循以下流程:
1 评估准备
1)目标分析:或称必要性分析,以确定评估所要达成的目标,并根据设定目标确立评估过程的评判准则,作为风险处置依据的界定性要求。
2)实施计划:依据个人信息保护相关监管和规范要求,组建评估团队,明确各项职责,确定评估对象和范围,制定完整的评估实施计划等。
收集梳理
1)数据收集:通过现场访谈、工具探查、文档审阅等方式对评估范围的个人信息处理过程进行全面的调研。
2)活动梳理:对评估范围内的个人信息处理活动进行归纳整理,输出个人数据流向图,识别并确认所有活动是否被有效记录。
3)映射分析:对调研结果进行分析,对个人信息处理活动进行分类,并描述每类个人信息处理活动的具体情形,形成清晰的个人信息处理活动清单及个人信息映射表,其结果将用于影响分析和风险分析。
3 影响分析
1)风险源识别:对要素进行简化,归纳为数据环境和技术措施、个人信息处理流程、参与人员与第三方、业务特点和规模及安全趋势
2)安全措施有效性分析:根据前阶段收集的现有安全措施信息,结合威胁源识别情况,分析安全措施的有效性情况,例如当前采用身份鉴别和访问控制措施是否在个人信息处理各活动场景得到有效应用
3)个人权益影响分析:分析特定的个人信息处理活动是否会对个人信息主体合法权益产生影响,以及可能产生何种影响,主要包括四个维度:限制个人自主决定权、引发差别性待遇、个人名誉受损或遭受精神压力、人身财产受损。
4 风险分析
开展个人信息安全风险综合分析,评价安全事件发生的可能性等级,评价以及对个人权益影响的程度等级,综合考虑安全事件可能性和个人权益影响程度两个要素,最终分析得出个人信息处理活动的安全风险等级。
5 处置建议
根据风险等级,分别给予采取立即处置、限期处置、权衡影响和成本后处置、接受风险等处置方式的相关建议。
6 评估报告
1)编制报告:综合所有材料及分析结果,汇编输出个人信息安全风险评估报告,报告内容包括但不限于:评估目标、涉及业务场景、个人信息处理活动清单、风险清单、风险分析结果、安全控制措施清单、剩余风险一览表等。
2)报告发布:依据客户组织的报告发布管理策略,并选取适当内容,编制评估结果简报,报送相关监管单位,并依据实际需要向相关方进行披露。
7 处置跟踪
对客户单位采纳的处置建议等安全控制措施,周期性跟踪风险处置落实情况,评估剩余风险等,完成评估闭环。
个人网络信息数据泄露严重侵犯公民个人隐私,由此引发的衍生案件将直接损害公民人身财产安全。对此,公民需提高个人信息保护意识,美创建议:
1)养成良好的安全习惯
使用安全浏览器,减少遭遇挂马攻击、钓鱼网站的风险;重要的文档、数据定期进行非本地备份;使用高强度且无规律的密码,要求包括数字、大小写字母、符号,且长度至少为8位的密码;不使用弱口令,以防止攻击者破解......
2)减少危险的上网操作
浏览网页时提高警惕,不浏览来路不明的色情、赌博等不良信息网站;不要点击来源不明的邮件附件,不从不明网站下载软件......
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
