信息安全|关注安言

当下,个人信息保护已成为企业运营中不可忽视的重要议题。随着技术的飞速发展,个人信息的收集、处理、存储与传输日益便捷,但随之而来的隐私泄露风险和事件也在不断增加,个人信息保护体系的建设还需要更完善的指引。为了有效应对这一挑战,全国网络安全标准化技术委员会秘书处于2024年9月14日正式发布了《网络安全标准实践指南——敏感个人信息识别指南》(以下简称《识别指南》),为企业识别与保护敏感个人信息提供了明确的指导。与此同时,ISO27701隐私信息管理标准(PIMS)作为国际公认的隐私管理体系标准,也为企业构建全面的隐私保护框架提供了有力支持。本文结合我司在ISO27701 PIMS体系建设咨询服务及数据安全咨询服务方面的经验,浅析《识别指南》如何助力国内企业组织ISO27701 PIMS体系建设。

01

敏感个人信息识别痛点

1.1 个人信息泄露现状

个人信息泄露在近年来愈演愈烈。据相关报告显示,2023年,“公民个人信息”是全年数据泄露的主要类型之一,占比高达90%以上。其中,包含“手机号”的公民个人信息泄露超过80%,“姓名+手机号+身份证号+银行卡号”这类数据字段组合出现的频率最高。此外,还有灰黑产二次拼接“历史个人数据信息”,并进行多次贩卖。

由此可以看出,即便有相关法律法规的制约,依然无法全面抑制个人信息泄露事件的发生。实际上,这不仅是组织、企业等数据的采集者没有做好安全防护,个人信息特别是敏感个人信息难以识别,也是导致泄露频发的主要原因。

1.2 个人信息概念的不确定性