個人信息安全的風險規避

隨著全球信息化的發展及人類社會的不斷進步，人與人之間的溝通和交流變得更加方便和快捷，為保證公民在社會環境下正常有序地生活，公民的個人信息無一例外地、或多或少地以各種形式保存于政府機構或相關業務部門，而信息及網絡技術的迅猛發展，使得大量的涉及個人隱私的信息可以被輕而易舉地獲取，因而引發了個人信息安全的危機。

個人信息的安全及風險管理是一個綜合性的研究領域，是對個人信息的生存環境可能遭遇的管理漏洞、技術缺陷及安全威脅的研究，評估威脅個人信息安全的風險因素，確定個人信息保護的安全策略，是個人信息管理者必須關注和解決的首要問題。

個人信息安全的主要特征

個人信息的安全涉及到計算機科學、網絡通信技術、信息安全技術以及管理學等諸多領域，是基于特定的、合法的目的管理和使用個人信息的行為，為防止因偶然的或惡意的原因導致個人信息遭到損毀和泄漏，個人信息安全的特征應具有如下主要特點：

合法性。個人信息管理者在收集個人信息時應將收集的目的和使用的權限告知信息主體，在得到信息主體的同意后合理合法的收集。

完整性。確定個人信息來源于信息主體，并與信息主體的自身狀況相符合，防止個人信息的不真實現象發生。

可用性。確保個人信息管理者使用的個人信息與信息主體的最新狀態保持一致，防止過期的個人信息被濫用，并依據信息主體的權力可隨時調用其個人信息。

可控性。個人信息管理者應建立有效的安全機制，以可靠的技術和物理保護措施及完善的內部管理制度，防止個人信息被濫用、篡改和丟失。

可查性。個人信息的保管、使用要有完整的記錄，防止對個人信息的使用行為被否認，為個人信息事件的調查和處理工作提供可靠的依據。

個人信息的風險控制及安全管理是個人信息生命周期（個人信息管理者從收集到廢棄全過程）內系統的安全防護措施，在制定個人信息安全策略時，不僅要考慮設備和技術的可靠性，也不能忽略了物理環境的影響和操作人員的行為，以實現對個人信息的安全管理。

風險評估過程

個人信息業務的安全風險程度主要取決于所涉及的各類資產（如：信息資產、軟硬件資產、物理資產、人員資產、無形資產、人員等等）的安全屬性，風險評估是識別、分析與個人信息業務相關的各類資產的風險威脅及脆弱性，因此風險評估的成敗是決定個人信息安全管理成敗的重要環節。風險評估的過程一般可分為業務分析、風險識別、風險分析及對策等幾個階段，其過程就是通過對業務流程的分解，明確與風險源關聯的風險因素，確定相應的防風險措施。由于個人信息的特殊性，風險評估過程不能忽略了一些其它相關的因素，如個人信息收集、使用的合法性也是需要考慮的風險。

首先是業務分析分析階段。個人信息業務分析的過程，是一個對業務進行梳理、過濾和細化的過程，目的是理解被評估的個人信息業務在收集、加工、使用、轉移、保管、廢棄各操作階段的工作流程，為正確識別風險源提供基礎材料。

業務分析應在細致的業務調研的基礎上進行的，不能疏漏任何一個環節。開展這項工作時，應根據業務的工作程序制定業務流程圖，制定業務流程圖可以采用兩種方式：一是將業務流程的全過程用一個流程圖表達；二是將業務流程按操作階段劃分為幾個圖表達。無論采用上述那一種表達方式，其原則是不可遺漏任何一個相關聯的資產。圖1的綠色框圖部分就是一個個人信息業務的“加工”階段業務流程圖，這個例子截取了“加工”階段的業務流程。

其次是風險識別階段。風險識別是對影響個人信息業務的資產風險的識別過程，是在業務分析的基礎上進行的，風險識別的主要目的是識別業務過程各環節面臨的安全威脅以及安全管理方面的脆弱性。個人信息業務面臨的安全威脅與業務的操作流程、管理機制以及其內部和外部的環境等因素密切相關，因此，風險識別階段要調查的內容至少包括如下內容：（1）所涉及的個人信息的收集方式及來源；（2）收集時使用的存儲媒介；（3）保管的介質及位置；（4）各階段關聯人員；（5）備份的管理方式及周期；（6）對外提供或委托的相關事項；（7）文檔廢棄管理；（8）相關記錄的登記管理；（9）技術安全方面，如：a.業務系統所涉及的設備和開發環境；b.訪問的權限及密碼設置狀況；c.系統升級及維護方法；d.與外網及其它系統的隔離方式，等等。

調查內容經整理后，應在業務流程圖上以清晰、簡潔的語言描述，可以以注解框圖的方式標注各環節可能面臨的風險及威脅，如圖1黃色框圖部分，描述了該業務階段各環節可能面臨的風險，它與業務流程圖（綠色框圖部分）組合后，構成一個完整的“加工”流程風險識別圖，也就完成了風險識別的全過程。

最后是風險分析及對策階段。風險分析的目的是分析個人信息業務可能發生的安全事件，并進一步分析這些安全事件與關鍵資產的安全風險的關系。風險分析階段應對已識別的安全威脅和脆弱性進行歸納和分析，分析其可能造成的威脅和脆弱性，確定防止風險發生的安全保護措施。

由于個人信息發生的可能性和頻度難以量化，風險分析一般采取定性的方法描述各類風險的特征、風險發生的可能性、潛在的影響及應對措施等，如表1所示。

風險源是風險因素的集合體，一個風險源，可能由多個風險因素構成的，這些風險因素可能是風險源固有的，也可能是相互關聯的。因此在風險分析時，應確定構成風險源的相關風險因素，個人信息關注的風險因素主要從是否有目的外使用、是否有發生泄露的可能性、是否存在丟失或損毀的危險、有無違反法律或規范的情況等幾方面考慮：

表1對XXXX業務在“傳送”流程中存在的風險做了示例，如：“業務處理的數據以電子郵件的方式傳送”，對照前述的風險因素（1）—（4），可判斷出風險內容有兩項（如表1所示），對應風險內容分別提出相應的防風險對策（如表1所示）。

個人信息安全管理策略

由于受資金、技術、社會環境等條件的影響和制約，個人信息的絕對安全是不存在的，將不安全因素或風險降到可接受范圍是一個相對安全的管理策略。個人信息安全管理的原則是以最小的經濟代價實現最大的安全保障，從而實現減少安全管理的脆弱性或降低安全事件發生的可能性。某些風險在選擇了適當的安全措施后仍有殘余風險存在的可能性，這是不可避免的，因此安全管理對策不是絕對地追求零風險。

值得注意的是，安全管理策略不是一成不變的，它隨著社會環境和業務流程等因素的變化而變化，應定期或根據需要對風險進行重新評估。對客觀存在的風險，應采取切實可行的對策進行管理；對目前無法規避的殘存風險，重要的是能夠認識到它的存在，并使其在我們的掌控之中。