从案件被告人情况看,超过半数案件的被告人供职于公司企业、事业单位或系个体企业经营者。其中,包括中高级管理层、法定代表人在内的公司职员占比最大,为50.3%。被告人中不乏拥有较高学历水平,在互联网公司、金融投资企业、房产中介等任较高职务者。
上述单位通过用户授权获得了处理公民个人信息的合法权限,而部分被告人非法出售这些信息并从中牟利;部分被告人通过各种渠道向他人购买或与他人互换信息以达到拓展业务的目的;部分被告人与外单位人员合谋,“内鬼”负责收集,再由他人负责出售以牟取共同利益;部分被告人离职后将自己在原公司获取的个人信息用于同业竞争、非法经营等活动。
个人敏感信息为侵权的主要内容
涉案信息要素中手机号码、身份证件占比最大。在全市法院已审结的侵犯公民个人信息罪案件当中,涉案信息主要包含了手机号码、身份证件、互联网数据、地址位置四种基本的要素,且大部分案件涉及多种信息要素。
泄露数据量规模日渐庞大
相关案件侵犯公民个人信息的数量规模庞大,常涉批量信息甚至海量信息。在179起侵犯公民个人信息罪的一审案件中,有162起是以信息条数作为定罪量刑的主要依据,其中超半数案件信息数量超过5万条,约1/4的案件信息数量超过50万条,少数案件查获的信息多达数百万、数千万条,甚至过亿条。
互联网、金融、教育成为泄露前三
根据个人信息的来源及流向,侵犯公民个人信息犯罪涵盖了互联网、金融、教育、交通、房地产、购物、通信、物流、求职、法律、差旅、医疗等各行各业,其中互联网和金融业的占比最大。
企业如何防“内鬼”,做好个人信息保护?
收敛敏感数据暴露面
数据生命周期中的”数据使用“环节存在最大的数据安全风险,因此要基于数据权限最小化原则收敛敏感数据暴露面,降低在数据使用环节中的风险。例如在数据库运维场景中,针对研发人员、数据库运维人员、外包人员采用虚拟账号口令代替数据源真实账号口令,降低数据源口令(数据库弱口令)的泄露风险。同时,可实施细粒度到人(不同角色)的访问权限即时管控,实时监控、及时发现高危特权账户,数据访问留痕至真实数据操作者。
细化敏感数据的访问权限
采用灵活配置权限工具,企业可以结合业务、数据保护、安全合规要求等维度的要求,将企业敏感数据、消费者个人信息纳入逻辑数据集合,根据敏感数据类型、控制动作、数据访问类型、有效时间、主体位置、执行路径等条件实施数据访问控制,依据“业务必需、最小权限、职责分离”的原则,只返回必要的敏感数据。如禁止特权账号访问业务数据、业务系统账号越权访问、机构人员违规篡改消费者个人信息等行为。
敏感数据动态脱敏
动态脱敏能够在访问敏感数据的同时实时进行脱敏处理,选用可根据业务具体需求自定义脱敏模板灵活组合脱敏策略,既能满足数据交付的合规要求,同时确保数据使用安全高效。如应用前端脱敏展示、机构人员未经授权查询数据自动脱敏、BI 数据分析及数据报告按需自动脱敏敏感数据等,根据业务应用用户名、应用访问路径配置不同的脱敏策略,灵活满足业务需求与监管要求。同时可基于敏感数据类型配置脱敏策略数量级降低脱敏策略的条数,极大提高运维效率。