第二部分:风险识别与分析
一、风险源识别
风险源识别是数据合规的关键步骤,旨在评估个人信息处理活动可能遭遇的安全威胁,并分析现有安全措施是否充分以抵御这些威胁。这一过程涉及识别潜在的脆弱性,这些脆弱性可能因未采取足够防护措施而被利用,从而引发安全事件。
决定个人信息安全事件发生的因素众多,它们可能源自内部或外部。例如,内部威胁可能包括员工的疏忽或滥用权限,而外部威胁则可能涉及恶意攻击者的蓄意窃取数据。脆弱性方面,包括物理安全措施不足导致的设备损坏,技术缺陷导致的数据处理不当,如数据泄露、篡改或丢失,以及管理缺陷导致的权限滥用等问题。具体可以归类为以下四类:
1、网络环境和技术措施;
2、个人信息处理流程;
3、参与人员与第三方;
4、业务特点和规模及安全态势。
二、风险分析
(一)风险发生可能性分析
接下来,综合上述四个维度(网络环境和技术措施、个人信息处理流程、参与人员与第三方、业务特点和规模及安全态势),可以采用定性、半定量或定量方式,对已采取的安全措施进行综合分析,将分析结果结合如下表格(图4、5),得出安全事件发生的可能性评价结果。
图4:来源自GB/T39335-2020《信息安全技术 个人信息安全影响评估指南》
图5:来源自GB/T39335-2020《信息安全技术 个人信息安全影响评估指南》
(二)个人权益影响分析
除了安全事件的可能性,还需要分析个人信息处理活动可能对个人权益造成的影响。
1. 个人权益影响包括下列四个维度:
(1) 限制个人自主决定权:评估数据处理是否侵犯了个人的选择权。
(2) 引发差别性待遇:分析数据使用是否可能导致不公平的待遇。
(3) 个人名誉受损或遭受精神压力:考虑数据泄露对个人名誉和心理健康的影响。
(4) 人身财产受损:评估数据安全事件对个人财产安全的潜在威胁。
2. 个人权益影响分析过程包括下列四个阶段:
(1) 个人信息敏感程度分析阶段:可参照国家有关法律、法规、标准,依据数据映射分析结果,分析个人信息的敏感程度对个人权益可能产生的影响。例如健康生理信息的泄露、滥用等可能会对个人生理、心理产生较严重的影响。
(2) 个人信息处理活动特点分析阶段:可参照与国家有关法律、法规、标准,依据数据映射分析结果,分析个人信息处理活动是否涉及限制个人自主决定权、引发差别性待遇、个人名誉受损或遭受精神压力、人身财产受损等。例如公开披露个人经历的行为可能会对个人声誉产生影响。
(3) 个人信息处理活动问题分析:可参照与国家有关法律、法规、标准,依据数据映射分析结果,分析个人信息处理活动可能存在的弱点、差距和问题,其中风险源识别个人信息处理流程对个人信息流程规范性的分析结果可以支撑该阶段的分析过程,对问题严重程度的分析有助于分析个人权益的影响程度;
(4) 个人权益影响程度分析:在最后阶段,综合前三个阶段的分析结果,评估个人信息处理活动对个人权益可能造成的影响及其严重程度。
最后将分析结果结合如下表格(图6、7),得出个人权益影响程度的评价结果。
图6:来源自GB/T39335-2020《信息安全技术 个人信息安全影响评估指南》
图7:来源自GB/T39335-2020《信息安全技术 个人信息安全影响评估指南》
(三)安全风险综合分析
进行安全风险综合分析时,综合考虑安全事件可能性和个人权益影响程度两个要素,综合分析得出下列个人信息处理活动的安全风险等级(图8)。
图8:来源自GB/T39335-2020《信息安全技术 个人信息安全影响评估指南》
未完待续......
