1 月 29 日，上海市网信办在全国范围内首次依据《个人信息保护法》自主办理的系列行政处罚案件。部分典型案件通报如下：

如某火锅品牌企业 1.5 亿条会员个人信息（包括手机号码、邮箱号码）及 18 万条员工个人信息（包括姓名、身份证号码、手机号码、家庭住址等敏感信息）；某停车扫码 SaaS 平台存储的 8000 条包括手机号码在内的车主信息、196 万条车牌信息；某大型商超购物企业存储的39万条家庭卡用户的手机号码、身份证号码等个人信息；某房产中介企业收集的 200 万条用户数据中的 20 万条客户手机号码等个人信息，以及某少儿培训机构存储的 4 万条学生姓名、监护人手机号码等个人信息；均未按规定采取安全保护措施，易存在被“内鬼”盗取、泄露等风险。

某房产中介企业经纪人在查看后台客源信息时，可以看到跨区域的用户手机号码等个人信息，因企业内部访问操作权限设置不合理，在无需授权审批流程的情况下，相关工作人员可以导出包括手机号码在内的用户个人信息；员工私下转售给同业造成数据泄露、滥用，引发社会事件。

检查发现，这批被处罚的企业普遍存在个人信息保护制度不完善的问题，大多未制定个人信息数据分类分级管理、数据访问权限管理、安全应急预案等制度，部分未按照法律规定确定个人信息保护责任人，建立数据资产管理、数据安全人员管理、数据合作方管理等制度。

由上述案例可以看出，企业在数据库开发运维管理、大数据分析使用、前端业务系统展示等不同场景中存在数据安全保护薄弱环节。原点安全建议企业应积极采用敏感数据动态脱敏、细粒度数据访问权限管控、风险指令访问控制、数据安全审计等产品技术手段，保护好企业以及消费者个人信息，满足个人信息保护、数据安全等合规要求。

动态脱敏技术能够在访问敏感数据的同时实时进行脱敏处理，在上述多个案例中，企业可以采取动态脱敏的方式，无需业务及应用改造，来快速满足敏感数据保护要求。如应用前端脱敏展示、未经授权查询数据自动脱敏、BI 数据分析及数据报告按需自动脱敏敏感数据等，既能满足数据交付的合规要求，同时确保数据使用安全高效。

企业可根据业务情况自定义数据集以及用户/用户组；按敏感数据类型、安全级别来配置访问控制策略。进而允许、拒绝或告警特定用户对特定数据集的访问，具备对高风险SQL指令的阻断能力。帮助企业实现数据访问的最小授权。

过于严格复杂的权限审批流程滋生权限管理的混乱。企业应考虑数据安全管理平台与外部授权审批流程系统的集成支持能力，实现数据访问权限策略的自动化配置，实现审批即授权、承诺即授权。降低数据权限审批流程复杂度，提升数据权限管理效率。

全面审计数据访问活动，详细记录应用用户访问数据的日志， 包括时间戳、应用用户、应用访问路径、数据库用户、数据源、 数据位置、访问类型、SQL请求、数据量、敏感数据等相关信息。当企业发生数据安全事件后，能够通过全链路数据安全审计提供的详细日志，结合用户的访问行为和数据访问痕迹，为进一步采取相关措施提供充分依据。

原点安全一体化数据安全平台 uDSP 通过以“敏感数据保护”为核心的数据安全管控措施，能够有效增强企业的重要信息、敏感数据的保护能力，助力企业“多快好省”落地个人信息保护工作。