互联网信息时代让我们工作和生活便利的同时，也为我们的个人信息、个人隐私带来了安全隐患。来看看几个国内外数据泄露事件。

国外信息泄露事件

1、2018年3月 Facebook用户数据泄露，有8700万用户数据被“剑桥分析”不当利用。

2、2018年6月 美国Exactis公司因数据库配置错误泄露3.4亿条个人信息。

3、2019年2月 美国电子邮件验证公司Verifications.io的MongoDB数据库泄露超过8亿条电子邮件地址信息。

国内信息泄露事件

1、2018年5月 黑客入侵某快递公司后台盗取近1亿条客户信息。

2、2018年8月 华住集团旗下多个品牌酒店5亿条公民信息泄露。

3、2019年7月 智能家居公司欧瑞博（Orvibo）的数据库泄露涉及超过20亿条IoT日志，为年度报道的国内外最大数据泄露数量事件。

看看这些触目惊心的数据泄露事件，也许你想问国外数据泄露事件与国内有什么关系？不要忘了，跨国企业的存在，全数据互联时代，无法保证我们的个人数据不会流向国外。

那么，个人信息到底是如何被泄露的？

个人信息泄露原因

1、公司及企业APP数据违规搜集个人信息或管控个人信息不当

国家网信办某次统计的涉及个人信息违规搜集的应用App有384款，应用违反必要原则，比例超过70%，未征得用户同意违规搜集个人信息是次要高比例，占比39%。

下图为网信办统计的APP各种违规原因占比以及各类违规APP的分类占比。

图1

图2

2、随手丢掉包含个人信息的凭据：如飞机票、外卖单、快递单、火车票、银行票据等；

3、贪图便宜参与各种调查问卷或活动，随意相信公共场合的个人满意度调查等；

4、注册各类网站及应用；

5、连接免费公共Wifi。

越来越多个人信息被泄露，数量增多的各类APP违规窃取个人信息，骚扰电话不断增加，大数据“杀熟”变得不再陌生，我们的个人信息与在互联网中“裸奔”没有任何区别。

个人信息泄露的严峻性促使个人信息保护法催生和发展，于是《中华人民共和国个人信息保护法》于2021年11月1日正式施行，这项新的信息保护法将对企业和个人产生深远影响。宁盾作为资深的企业身份管理厂商，分享一下关于个人信息保护法的深度解读。（个人信息保护法，以下简称个保法）

《个保法》发展历程

《个保法》重要信息分解

1、个人信息

个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。

2、敏感个人信息

敏感个人信息一旦泄露或被非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。

3、个人信息处理者

是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。

4、个人信息涉及范围

境内所有企业及个人，境外需要获取境内个人信息数据的行为同样要受到监管。

5、自动化决策

是指通过计算机程序自动分析、评估个人的行为习惯、兴趣、爱好或者经济、健康、信用状况等，并进行决策的活动。也就是常说的大数据“杀熟”，个人有权拒绝大数据“杀熟”行为。

6、个人信息处理原则

• 去标识化：是指个人信息经过处理，使其在不借助额外信息的情况下无法识别特定自然人的过程。
• 匿名化：是指个人信息经过处理无法识别特定自然人且不能复原的过程。

第五十一条 对个人信息实行分类管理；采取相应的加密、去标识化等安全技术措施；合理确定个人信息处理的操作权限，并定期对从业人员进行安全教育和培训；制定并组织实施个人信息安全事件应急预案；

第六十二条 国家网信部门统筹协调有关部门依据本法推进下列个人信息保护工作：支持研究开发和推广应用安全、方便的电子身份认证技术，推进网络身份认证公共服务建设。

7、个人信息违规处罚

情节严重的，最高罚款上年营收的5%甚至会被吊销营业执照。

企业以及个人的保护措施·

1、规范使用企业及公用APP，避免个人信息泄露，对于各种隐秘权限说NO！

2、使用复杂的密码或者数据加密技术。

3、对来历不明的信息调查和免费填信息送礼物等“馅饼”或者陷阱说NO！

4、对于避免企业内部个人信息泄露，除了部署常规的防火墙、IPS、态势感知、终端安全、DLP等之外，建议企业整体使用身份管理体系，不限于重要服务器及终端主机MFA认证、有线无线MFA认证、网络设施AAA技术、单点登录SSO技术、终端设备准入控制技术等。

宁盾解决方案

通过对个保法的解读，我们发现除了个人要在工作和生活中加强风险意识、规范个人行为以外，企业尤其需要注重保护企业内部个人信息以及客户个人信息等绝密信息，避免企业因个人信息泄露而面临重大罚款，甚至停业整顿或吊销营业执照。

场景1、企业服务器及终端MFA认证

解决的问题：

企业内部服务器及终端密码过于简单，容易被暴力破解，匹配《个人信息保护法》关于加强身份认证。

亮点：

1. 宁盾MFA令牌形式广泛，包括硬件令牌、手机APP令牌、 短信令牌、邮件令牌以及企业微信/钉钉H5令牌；

2. 支持第三方令牌：RSA、Google Authenticator等；

3. 派发方式灵活：包括邮箱、短信、Excel批量派发等；

4. 广泛支持各种操作系统，包括Windows、Linux、麒麟、统信等。

方案价值：

1. 满足企业应对《个人信息保护法》要求，避免因为企业服务器及终端被入侵而导致的个人信息泄露，并避免因此带来的巨额罚款甚至停业风险；

2. 减轻运维工作强度；

3. 满足审计合规要求。

场景2、企业内部网络设备AAA认证

解决的问题：

企业内部网络设备密码过于简单容易被暴力破解及网络运维难，匹配个人信息保护法关于要加强身份认证，推进网络身份认证。

亮点：

1. AAA认证技术的认证方向匹配宁盾MFA技术；

2.无缝对接市面主流网络设备：思科、华为、新华三、Aruba、ZTE、博达、锐捷等。

方案价值：

1. 满足企业应对个人信息保护法要求，避免因为网络设备被穿透而导致的个人信息泄露，并避免因此带来的巨额罚款甚至停业风险；

2. 减轻运维工作强度；

3. 满足审计合规要求。

场景3、有线无线MFA认证

解决的问题：

企业有线和无线网络没有认证或者认证方式过于简单、密码过于简单容易被暴力破解，匹配《个人信息保护法》关于加强身份认证的要求。

亮点：

1. 有线认证通过镜像流量后重定向，不影响客户网络；

2. 支持Portal页面定制，定制周期短；

3. 广泛对接市面主流网络设备，包括思科、华为、新华三、锐捷、Aruba等。

方案价值：

1. 满足企业应对个人信息保护法要求，避免企业因为无线和有线被入侵而导致的个人信息泄露，并避免因此带来的巨额罚款甚至停业风险；

2. 加强网络设备入网安全的同时，操作配置步骤简单；

3. 满足审计合规要求。

场景4、单点登录SSO+宁盾身份目录服务

解决的问题：

企业应用登录账户杂乱，密码多、密码简单，管理困难，员工入职离职账户增减混乱，匹配《个人信息保护法》关于加强身份认证的要求。

亮点：

1. 定制周期短；

2. 广泛对接市面主流协议，如SAML、OAuth、OIDC、CAS等标准协议，并有自研Easy sso快速对接应用；

3. 使用MFA强认证技术，保证数据安全访问； 

4. 统一身份认证来源。

方案价值：

1. 满足企业应对个人信息保护法要求，避免企业大量应用管理不当而导致的个人信息泄露，并避免因此带来的巨额罚款甚至停业风险；

2. 加强应用登录安全的同时，操作配置步骤简单；

3. 满足审计合规要求；

4. 接近自动化的管理操作；

5. 统一身份认证来源。

场景5、NDACE终端准入

解决的问题：

企业终端安装了桌管、DLP、杀毒等管控软件，但是却不能保证这些软件到底能否正常运行以及甚至会面对员工主动卸载的行为。

亮点：

1. 轻量级客户端；

2. 终端识别准确并且广泛，除了常用的PC、平板、手机，还可以精准的识别打印机、摄像头等IOT泛终端设备；

3. 旁观网络，对于客户的业务网络零影响；

4. 审计日志等可以对接市面主流安全设备，包括防火墙、IPS、态势感知系统等等。

方案价值：

1. 满足企业应对个人信息保护法要求，避免企业大量非法终端接入以及终端非安全运行而导致的个人信息泄露，并避免因此带来的巨额罚款甚至停业风险；

2. 加强终端安全管控的同时，操作配置步骤简单；

3. 满足审计合规要求。

《个人信息保护法》的颁布彰显了国家对个人信息安全的重视，个人与企业都应当承担起相应的责任，为个人信息安全保护贡献力量。对个人而言，保护个人信息全靠自觉。但对企业而言，采取必要的措施，如专业的身份管理体系以加强信息保护非常必要。