个人信息保护合规难？了解下美创个人信息安全风险评估服务

随着大数据时代的到来，各行业侵犯公民个人信息的违法行为持续增多，个人信息安全问题已经成为一个严重的社会问题，正引发社会高度关注。

7月21日，国家互联网信息办公室公布了此前引发高度关注的“滴滴网络安全审查”案件的处罚决定：对滴滴公司处人民币80.26亿元罚款，同时对滴滴董事长、总裁分别处人民币100万元罚款。

据报道，滴滴公司共存在16项违法事实，主要为8个方面：

一是违法收集用户手机相册中的截图信息1196.39万条；二是过度收集用户剪切板信息、应用列表信息83.23亿条；三是过度收集乘客人脸识别信息1.07亿条、年龄段信息5350.92万条、职业信息1633.56万条、亲情关系信息138.29万条、“家”和“公司”打车地址信息1.53亿条；四是过度收集乘客评价代驾服务时、App后台运行时、手机连接桔视记录仪设备时的精准位置（经纬度）信息1.67亿条；五是过度收集司机学历信息14.29万条，以明文形式存储司机身份证号信息5780.26万条；六是在未明确告知乘客情况下分析乘客出行意图信息539.76亿条、常驻城市信息15.38亿条、异地商务/异地旅游信息3.04亿条；七是在乘客使用顺风车服务时频繁索取无关的“电话权限”；八是未准确、清晰说明用户设备信息等19项个人信息处理目的。　　

同时存在严重影响国家安全的数据处理活动，依据《网络安全法》《数据安全法》《个人信息保护法》《行政处罚法》等有关规定，特对滴滴作出网络安全审查相关行政处罚。

在全球共同呼吁个人信息保护的趋势下，继欧盟颁布《General Data Protection Regulation (通用数据保护条例)》（简称“GDPR”）之后，我国在2021年颁布并施行了《个人信息保护法》。

《个人信息保护法》正式对个人信息处理规则、跨境提供、个人权利和义务等做出了明确的规定，第五十五条规定：有下列情形之一的，个人信息处理者应当事前进行个人信息保护影响评估，并对处理情况进行记录。

对组织机构（个人信息处理者）而言，为避免个人信息的丢失、泄露、滥用，满足监管合规要求，需尽快开展个人信息安全风险评估工作，充分了解个人信息保护现状和可能存在的影响，再通过相关处置措施，加强个人信息保护，以实现监管合规。

美创个人信息安全风险评估服务旨在帮助客户有效评估在各项数据处理活动中的所存在个人信息、特别是个人敏感信息所可能存在的各项风险情况，同时结合对出现个人信息相关安全事件时所造成的影响进行分析的结果，给予相关的风险处置建议。

以符合《个人信息保护法》为基线要求，以遵从《GB/T 35273-2020 信息安全技术 个人信息安全规范》为目的，利用美创个人信息安全风险评估模型，对客户单位的个人信息相关处理活动进行评估。

服务遵循以下流程：

实施个人信息安全风险评估，能够有效加强对个人信息主体权益的保护，有利于组织对外展示其保护个人信息安全的努力，提升透明度，增进个人信息主体对其的信任。主要体现在以下三个方面：