錢偉峰-個人信息安全影響評估實踐分享（11頁）.pdf

1、錢偉峰錢偉峰安言 副總經理（照片部分由主辦方添加）個人信息安全影響分析實踐分享目錄個人金融信息保護合規要求總覽個人信息/隱私影響分析標準簡介個人信息安全影響評估實踐分享常見個人信息安全保護合規要求法律法規網絡安全法數據安全法（待頒布）個人信息保護法（待頒布）最高法、最高檢關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋App違法違規收集使用個人信息行為認定方法關于加強銀行卡安全管理預防和打擊銀行卡犯罪的通知個人信息和重要數據出境安全評估辦法（征求意見稿）個人信息出境安全評估辦法（征求意見稿）行業合規要求銀行業金融機構數據治理指引商業銀行信息科技風險管理指引銀行業金融機構信息科技外包風險監

2、管指引中國人民銀行關于進一步加強銀行卡風險管理的通知標準層面GB/T 35273-2020 個人信息安全規范GB/T 22239-2019 網絡安全等級保護基本要求GB/T 39335-2020信息安全技術 個人信息安全影響評估指南JR/T 0171-2020 個人金融信息保護技術規范JR/T 0197-2020 金融數據安全 數據安全分級指南GB/Z 28828-2012 信息安全技術公共及商用服務信息系統個人信息保護指南個人信息安全部影響評估參考標準ISO 29134:2017 Information technology-Security techniques-Guidelines fo

3、r privacy impact assessmentGB/T 39335:2020信息安全技術 個人信息安全影響評估指南ISO 29134 快速解讀確定PIA必要性（閾值分析）階段PIA 準備階段PIA執行階段PIA跟進階段評估PII受侵害后的影響分析現有控制的符合程度選定PII相關控制識別PIIPIA結果回顧報告編制實行隱私風險處理計劃風險處理措施設計隱私風險處理準備設立PIA小組準備PIA計劃并確定執行PIA的資源可用性描述評估內容確定評估流程當組織或項目涉及以下情景時，需要開展PIA：開發或處理PII的信息系統進行重大改變時，應該進行PIA；任何新項目的啟動都應觸發閾值分析，以確定是否

4、需要進行PIA；進行涉及PII資產和處理PII的所有系統的資產清單的建立、維護和更新時，需要參考PIA報告；開發和維護庫存時，需要從PIAS中提取關于信息系統處理PII 的信息元素；當組織正在處理PII，組織應該建立進行PIA所需的程序；為確保與PII處理相關的計劃和服務符合隱私保護要求，組織應該執行PIA并實施所產生的隱私處理計劃；識別現有控制措施何時需要做個人信息安全影響評估本次介紹的PIA工具適用于：合規要求（包括但不限于）：ISO/IEC 27701:2019 隱私信息管理體系 GB/T 35273:2020 個人信息安全規范 ISO/IEC 29151:2017 個人身份信息保護實踐

5、指南 落地要求：評估用于保護個人信息主體的各項控制措施的有效性，并根據評估結果改進控制措施，降低各項活動對個人信息主體權益造成的影響。觸發時機（合規要求）：每年一次 PII處理場景新增或發生變更時 內外部環境發生變化時 當發生重大個人信息安全事件時 信息安全領導小組確定有必要時（*注：不同的合規要求中，對“PII”的命名方式可能不同，實施時需根據實際情況調整）實施方法與步驟 PIA評估的不再是個人信息（PII數據）本身，而是對個人信息主體（PII主體）權益的影響。在一個完整的PIA中，對PII主體權益的影響有兩部分組成：1.數據處理活動本身對PII主體權益造成的影響；2.數據受泄露、篡改、不可

6、用、非授權訪問的威脅時，對PII主體權益造成的影響。針對PII處理活動，評估用于保護PII主體的各項控制措施的有效性，以判斷其對PII主體合法權益造成損害的各種影響。PII處理場景PII數據PII數據類型PII數據泄露、篡改、不可用、非授權訪問的可能性PII數據受到以上威脅后對PII主體權益的影響完整的PIAPII處理活動控制PII處理活動的控制措施有效性控制不足時對PII主體權益的影響當前工具所進行的PIA個人信息安全影響評估方法 Step 1：識別PII處理場景，識別各個場景下的PII字段、數據量、涉及的第三方等，同時分析所對應的PII主體是否存在需特別考慮的群體特征。Step 2：識別各

7、個PII處理場景下的數據處理活動（收集、存儲、傳輸、使用、第三方交互等）；同時根據各個標準、法律法規、發文要求，識別在各個PII處理活動下應有的控制要求。Step 3：分析對各個處理活動的控制是否能滿足應有控制的要求，如不滿足，則對相應的PII主體造成了何種權益影響（四個維度）。Step 4：針對“對PII主體造成中、高級別影響的處理活動”給出處置建議。個人信息個人信息處理場景個人信息主體數據處理活動（全生命周期）應有控制（來自于各個標準）影響個人信息主體權益（四個維度）給出對應處置建議關聯識別識別識別分析未做到時Step 1Step 2應做到Step 2Step 3Step 4個人信息字段及

8、場景識別基礎版底線要求：梳理客戶方PII現狀，形成一份PIA報告所必要的PII背景信息。評估對象涉及哪些PII數據？哪些部門/系統/系統模塊中使用到了這些數據？保有量分別是多少？（500條以上為入刑標準）是否涉及了第三方處理？Plus版數據地圖：顆粒度更細，能夠形成數據流向圖，以符合ISO27701要求，需基于場景調研結果更新工具。涉及的PII字段（參考GB/T 35273梳理）在什么場景下處理了該PII數據？數據上下游？個人信息影響分析 應有控制：參考各個標準、監管發文、法律法規中整理出在某一數據處理活動中應有的控制，如不涉及某一活動則不需要評定。以GB/T 35273 個人信息安全規范為主。有效等級：根據控制現狀進行評定，“基本符合”和“控制不足”的差異主要體現在“是否于客戶方或同行業內因此發生過安全事件”。無控制時對PII主體的影響：當前賦值暫未考慮PII主體群體特征，具有一定主觀性。個人信息安全影響評估的輸出與注意事項進行PIA需形成報告，以作為PIA的結果。PIA報告可參考風險評估報告進行，其中較為重要的兩部分為“PII背景信息”和“PIA處置建議”。PII背景信息：厘清客戶方PII的處理現狀和管理現狀，作為評估的輸入項之一，同時告知客戶方應傾斜的管理資源。PIA處置建議：針對“高”和“中”等級影響給出處置建議（某些情況下，即時“控制不足”也只會造成“低”等級影響）。