个人信息保护影响风险的计算方法、装置、设备及介质与流程

1.本发明涉及大数据应用技术领域，尤其涉及一种个人信息保护影响风险的计算方法、装置、设备及介质。


背景技术：

2.当前多数系统对于信息保护风险的评估多为数据合规性评估，且多以问卷调查形式呈现。在系统评估的整体过程中，用户主要通过回答“是”、“否”和“不适用”等，最终出具一份评估报告。但是最终的风险评判没有针对性，其风险结论由平台根据评估项给予指定的风险值。比如，国内市场存在网络安全政策法律综合管理平台的数据安全合规自查系统；国外市场主要包括由美国公司trustarc提供的privacyplatform(隐私平台)以及英国onetrust推出的piaautomation(个人影响评估自动化)平台。而国外产品评估主要依据为欧盟的gdpr(general data protection regulation，通用数据保护条例)以及美国的ccpa(california consumer privacyact，加州消费者隐私法案)。
3.从需求分析来看，《中华人民共和国个人信息保护法》要求满足相应条件的组织进行个人信息保护影响评估，但部分组织缺乏从专业和综合角度进行综合考量，比如未考虑法律因素等，未能有效地开展个人信息保护影响评估工作。


技术实现要素：

4.本发明实施例提供一种个人信息保护影响风险的计算方法、装置、设备及介质，以解决部分组织缺乏从专业和综合角度进行综合考量，未能有效地开展个人信息保护影响评估工作的问题。
5.一种个人信息保护影响风险的计算方法，包括：
6.获取二级个人信息保护影响风险参数，二级信息参数包括：安全事件发生可能性、安全事件发生后损失、法律法规残余风险值和个人信息类型重要程度；
7.基于安全事件发生可能性和安全事件发生后损失，采用两因素矩阵计算方式，获取技术安全风险值作为一级个人信息保护影响风险参数；
8.基于法律法规残余风险值和个人信息类型重要程度，采用因素最大值计算方式，获取合法合规风险值作为一级个人信息保护影响风险参数；
9.基于所有一级个人信息保护影响风险参数，采用因素最大值计算方式，获取个人信息保护影响风险值。
10.进一步地，在获取二级个人信息保护影响风险参数之前，还包括：
11.获取三级个人信息保护影响风险参数，三级信息参数包括：威胁出现的可能性、威胁利用脆弱性难易程度、已有合规措施和合法合规需求；
12.基于威胁出现的可能性和威胁利用脆弱性难易程度，采用两因素矩阵计算方式，获取安全事件发生可能性；
13.基于已有合规措施和所合法合规需求，通过给定预设值，获取法律法规残余风险
值。
14.进一步地，在获取二级个人信息保护影响风险参数之前，还包括：
15.获取四级个人信息保护影响风险参数，四级信息参数包括：限制个人自主决定权、引发差别性待遇、个人名誉受损或遭受精神压力、人身财产受损、已有安全措施和安全需求；
16.基于限制个人自主决定权、引发差别性待遇、个人名誉受损或遭受精神压力以及人身财产受损，采用因素最大值计算方式，获取三级个人信息保护影响风险参数中的对个人权益影响程度；
17.基于已有安全措施和安全需求，通过给定预设值，获取三级个人信息保护影响风险参数中的剩余脆弱性严重程度；
18.基于对个人权益影响程度和剩余脆弱性严重程度，采用两因素矩阵计算方式，获取安全事件发生后损失。
19.进一步地，在获取三级个人信息保护影响风险参数之前，还包括：
20.获取四级个人信息保护影响风险参数，四级信息参数包括：威胁能力和威胁频率；
21.基于威胁能力和威胁频率，采用两因素矩阵计算方式，获取威胁出现的可能性。
22.进一步地，在获取四级个人信息保护影响风险参数之前，还包括：
23.获取五级个人信息保护影响风险参数，五级信息参数包括：威胁来源和威胁动机；
24.基于威胁来源和威胁动机，采用两因素矩阵计算方式，获取威胁能力。
25.进一步地，在获取合法合规风险值作为一级个人信息保护影响风险参数之后，还包括：
26.基于所有一级个人信息保护影响风险参数，采用单个参数维度计算方式，获取个人信息保护影响风险值。
27.进一步地，在获取个人信息保护影响风险值之后，还包括：
28.基于个人信息保护影响风险值，生成可视化的个人信息保护影响风险报告。
29.一种个人信息保护影响风险的计算装置，包括：
30.获取二级参数模块，用于获取二级个人信息保护影响风险参数，二级信息参数包括：安全事件发生可能性、安全事件发生后损失、法律法规残余风险值和个人信息类型重要程度；
31.获取安全风险值模块，用于基于安全事件发生可能性和安全事件发生后损失，采用两因素矩阵计算方式，获取技术安全风险值作为一级个人信息保护影响风险参数；
32.获取合规风险值模块，用于基于法律法规残余风险值和个人信息类型重要程度，采用因素最大值计算方式，获取合法合规风险值作为一级个人信息保护影响风险参数；
33.获取影响风险值模块，用于基于所有一级个人信息保护影响风险参数，采用因素最大值计算方式，获取个人信息保护影响风险值。
34.一种设备，包括存储器、处理器以及存储在存储器中并可在处理器上运行的计算机程序，处理器执行计算机程序时实现上述个人信息保护影响风险的计算方法。
35.一种计算机可读介质，所述计算机可读介质存储有计算机程序，所述计算机程序被处理器执行时实现上述个人信息保护影响风险的计算方法。
36.上述个人信息保护影响风险的计算方法、装置、设备及介质，通过从合规性角度进
行考量的获取的多个二级个人信息保护影响风险参数进行分析后，可获取综合评估后得到的个人信息保护影响风险值，该风险评估模型仅需要提取组织多维度的现状的基础信息，从而经自动评估风险和风险判定后得出相应的个人信息保护影响风险值，使得信息尤其是个人信息的保护影响的评估工作变得更加高效和便捷，形成个人信息保护影响风险计算方法和模型；纳入法律因素的综合因素赋值可得到更准确和合法的风险判定结果，形成多维度的风险结论；创建多维度及最终整个评估对象风险评定方式，为用户提供更加精准、直观的风险评定结果。
附图说明
37.为了更清楚地说明本发明实施例的技术方案，下面将对本发明实施例的描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
38.图1绘示本发明一实施例中个人信息保护影响风险的计算方法的应用环境示意图；
39.图2绘示本发明一实施例中个人信息保护影响风险的计算方法的流程图；
40.图3绘示本发明另一实施例中个人信息保护影响风险的计算方法的第一流程图；
41.图4绘示本发明另一实施例中个人信息保护影响风险的计算方法的第二流程图；
42.图5绘示本发明另一实施例中个人信息保护影响风险的计算方法的第三流程图；
43.图6绘示本发明另一实施例中个人信息保护影响风险的计算方法的第四流程图；
44.图7绘示本发明另一实施例中个人信息保护影响风险的计算方法中采用单个参数维度计算方式的公式示意图；
45.图8绘示本发明另一实施例中个人信息保护影响风险的计算方法中整体流程的结构合成图；
46.图9绘示本发明一实施例中个人信息保护影响风险的计算装置的示意图；
47.图10绘示本发明一实施例中设备的示意图。
具体实施方式
48.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
49.本发明实施例提供的个人信息保护影响风险的计算方法，可应用在如图1的应用环境中，该个人信息保护影响风险的计算方法应用在个人信息保护影响风险的计算系统中，该个人信息保护影响风险的计算系统包括客户端和服务端，其中，客户端通过网络与服务端进行通信。客户端又称为用户端，是指与服务端相对应，为客户端提供本地服务的程序。进一步地，客户端为计算机端程序。该客户端可安装在但不限于各种个人计算机、笔记本电脑或平板电脑等设备上。服务端可以用独立的服务端或者是多个服务端组成的服务端集群来实现。
50.在本技术提供的一实施例中，如图2所示，提供一种个人信息保护影响风险的计算方法，以该方法应用在图1中的服务器为例进行说明，具体包括如下步骤：
51.s10.获取二级个人信息保护影响风险参数，二级信息参数包括：安全事件发生可能性、安全事件发生后损失、法律法规残余风险值和个人信息类型重要程度。
52.其中，本实施例提供的个人信息保护影响风险的计算方法用于获取个人信息保护影响风险值，主要是基于个人信息保护影响的风险值。该个人信息保护影响风险值是由多个一级个人信息保护影响风险参数来确定的。而每个一级个人信息保护影响风险参数又是通过多个二级个人信息保护影响风险参数来确定的。后续涉及的三级个人信息保护影响风险参数至五级个人信息保护影响风险参数同理。
53.安全事件发生可能性是指各种生产事故，剖析事故发生的原由，都有它的有时性，更有它的必定性。用概率事件剖析，它是事物的必定性和有时性的对峙统一。事故的发生都是与该生产过程有关的各因素在必定条件下发生矛盾的结果。这类矛盾因素主要有人、物、作业环境、生产管理等，因为某因素或某几种因素存在不安全因素，在特别条件的激发下发生矛盾形成事故。
54.法律法规残余风险是指在实现了新的或增强的合法性的安全控制后还剩下的风险，任何系统都是有风险的，并且也不是所有安全控制都能完全消除风险。如果残余风险没有降低到可接受的级别，则必须重复风险管理过程，以找出一个将残余风险降低到可接受级别的方法。
55.个人信息类型重要程度中尤其是个人信息数据按照重要性和敏感程度可以分为5级：
56.1、第一级(自主保护级)：一般适用于小型私营、个体企业、中小学，乡镇所属信息系统、县级单位中一般的信息系统。
57.2、第二级(指导保护级)：一般适用于县级其些单位中的重要信息系统；地市级以上国家机关、企事业单位内部一般的信息系统。
58.3、第三级(监督保护级)：一般适用于地市级以上国家机关、企业、事业单位内部重要的信息系统，例如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统。
59.4、第四级(强制保护级)：一般适用于国家重要领域、重要部门中的特别重要系统以及核心系统。例如电力、电信、广电、铁路、民航、银行、税务等重要系统。
60.5、第五级(专控保护级)：一般适用于国家重要领域、重要部门中的极端重要系统。
61.s20.基于安全事件发生可能性和安全事件发生后损失，采用两因素矩阵计算方式，获取技术安全风险值作为一级个人信息保护影响风险参数。
62.具体地，两因素矩阵的计算方式主要为两影响因素进行相乘(或相加)形成矩阵得到结果。
63.s30.基于法律法规残余风险值和个人信息类型重要程度，采用因素最大值计算方式，获取合法合规风险值作为一级个人信息保护影响风险参数。
64.其中，合法合规风险值是指违反法律法规以及公司规章制度等而可能遭受法律制裁、监管处罚、重大财务损失和声誉损失的风险。
65.具体地，本实施例通过采用因素最大值计算方式法律法规残余风险值和个人信息类型重要程度，可获取合法合规风险值作为一级个人信息保护影响风险参数。因素最大值
计算方式为取影响因素中的最大值。
66.s40.基于所有一级个人信息保护影响风险参数，采用因素最大值计算方式，获取个人信息保护影响风险值。
67.其中，一级个人信息保护影响风险参数是直接决定个人信息保护影响风险值的所有参数，包括技术安全风险值和合法合规风险值。
68.个人信息保护影响风险值是通过本实施例提供的个人信息保护影响风险的计算方法进行评估后获得的可能影响个人信息保护影响风险的程度。
69.具体地，本实施例通过采用因素最大值计算方式计算合法合规风险值和技术安全风险值，可获取合法合规风险值作为一级个人信息保护影响风险参数。
70.运用“法律—社群规范—市场—架构”的网络法基本分析框架，告知同意应放在具体应用场景中进行分析，以判断这一机制是否与用户习惯、交易模式、数据处理技术相适应。告知同意获取个人信息无论是作为一种授权机制抑或视为一种免责/问责机制，均面临困境，实难以成为个人信息保护的基点。
71.首先，用户难以在获得有效信息的基础上作出同意的授权。为实现“告知—同意”，各类app、网页都会展示相关“隐私政策”，常常需要用户去点击同意相关条款。为避免用户不经阅读就直接点击，不少条款还需要用户下拉至底端或等待若干秒以后才允许点击同意。即便如此，实际上也并没有多少用户真正花费时间阅读这些条款。由此可见，“隐私政策”实际上也是不可读的。同时，若对“隐私政策”进行阅读便会发现，其条文充斥着各种“法言法语”，具有较强的专业性，对于普通群众而言，也是读不懂的。由此可见，“隐私政策”实际上无人读、不可读、读不懂，告知同意无法实现其应有功能，难以通过该机制保护个人信息。
72.其次，由于用户习惯不经阅读即点击同意，告知同意机制存在被滥用的危险。企业常常在“隐私政策”中设置不合理、不公平、侵害个人信息权益的条款。显然，这些条款在披上告知同意的外衣后，将对个人信息保护形成更大威胁。
73.本实施例提供的个人信息保护影响风险的计算方法，通过从合规性角度进行考量的获取的多个二级个人信息保护影响风险参数进行分析后，可获取综合评估后得到的个人信息保护影响风险值，该风险评估模型仅需要提取组织多维度的现状的基础信息，从而经自动评估风险和风险判定后得出相应的个人信息保护影响风险值，使得信息尤其是个人信息的保护影响的评估工作变得更加高效和便捷，形成个人信息保护影响风险计算方法和模型。纳入法律因素的综合因素赋值可得到更准确和合法的风险判定结果，形成多维度的风险结论。
74.在一具体实施例中，如图3所示，在步骤s10之前，即在获取二级个人信息保护影响风险参数之前，还具体包括如下步骤：
75.s1011.获取三级个人信息保护影响风险参数，三级信息参数包括：威胁出现的可能性、威胁利用脆弱性难易程度、已有合规措施和合法合规需求。
76.s1012.基于威胁出现的可能性和威胁利用脆弱性难易程度，采用两因素矩阵计算方式，获取安全事件发生可能性。
77.s1013.基于已有合规措施和所合法合规需求，通过给定预设值，获取法律法规残余风险值。
78.优选地，如图4所示，在步骤s1011之前，即在获取三级个人信息保护影响风险参数之前，还具体包括如下步骤：
79.s111.获取四级个人信息保护影响风险参数，四级信息参数包括：威胁能力和威胁频率。
80.s112.基于威胁能力和威胁频率，采用两因素矩阵计算方式，获取威胁出现的可能性。
81.优选地，如图5所示，在步骤s111之前，即在获取四级个人信息保护影响风险参数之前，还具体包括如下步骤：
82.s1111.获取五级个人信息保护影响风险参数，五级信息参数包括：威胁来源和威胁动机。
83.s1112.基于威胁来源和威胁动机，采用两因素矩阵计算方式，获取威胁能力。
84.具体地，威胁能力由威胁来源(赋值参考表1：威胁来源赋值表)及威胁动机(赋值参考表2：威胁动机赋值表)决定，威胁来源及威胁动机采用相乘(或相加)方式得到结果矩阵(可参考表3：威胁来源与动机结果矩阵表)，并参照表4：威胁能力等级进行归约找到对应的威胁能力等级。
85.赋值标识描述3高威胁来源为人为2中威胁来源为意外1低威胁来源为环境
86.表1
87.赋值标识描述2高威胁动力出于恶意，动机能力定为高1低威胁动力出于非恶意，动机能力定为低
88.表2
[0089][0090]
表3
[0091]
计算结果12346比例1/62/61/61/61/6赋值12345威胁能力等级很低低中高很高
[0092]
表4
[0093]
威胁出现的可能性由威胁能力、威胁频率(赋值参考表5：威胁频率赋值表)决定，两个影响因素采用相乘方式得到结果矩阵(可参考表6：威胁出现的可能性结果矩阵表)，并
参照表7：威胁出现的可能性等级，进行归约找到对应的威胁出现的可能性等级。
[0094][0095]
表5
[0096][0097]
表6
[0098][0099][0100]
表7
[0101]
安全事件发生的可能性由威胁出现的可能性及威胁利用脆弱性的难易程度(赋值可参考表8：威胁利用脆弱性的难易程度赋值表)决定，两个影响因素采用相乘方式得到结果矩阵(可参考表9：安全事件发生的可能性结果矩阵表)，并参照表10(安全事件发生的可能性等级)进行归约找对应的安全事件发生的可能性等级。
[0102]
等级标识定义5很高脆弱性很容易被威胁利用4高脆弱性较容易被威胁利用3中等脆弱性被威胁利用难易程度一般2低脆弱性难被威胁利用1很低脆弱性基本不可能被威胁利用
[0103]
表8
[0104][0105]
表9
[0106][0107][0108]
表10
[0109]
在一具体实施例中，如图6所示，在步骤s10之前，即在获取二级个人信息保护影响风险参数之前，还具体包括如下步骤：
[0110]
s1021.获取四级个人信息保护影响风险参数，四级信息参数包括：限制个人自主决定权、引发差别性待遇、个人名誉受损或遭受精神压力、人身财产受损、已有安全措施和安全需求。
[0111]
s1022.基于限制个人自主决定权、引发差别性待遇、个人名誉受损或遭受精神压力以及人身财产受损，采用因素最大值计算方式，获取三级个人信息保护影响风险参数中的对个人权益影响程度。
[0112]
s1023.基于已有安全措施和安全需求，通过给定预设值，获取三级个人信息保护影响风险参数中的剩余脆弱性严重程度。
[0113]
s1024.基于对个人权益影响程度和剩余脆弱性严重程度，采用两因素矩阵计算方式，获取安全事件发生后损失。
[0114]
具体地，对个人权益影响程度由限制个人自主决定权(赋值可参考表11：限制个人自主决定权赋值表)、引发差别性待遇(赋值可参考表12：引发差别性待遇赋值表)、个人名誉受损或遭受精神压力(赋值可参考表13：个人名誉受损或遭受精神压力赋值表)、人身财产受损决定(赋值可参考表14：人身财产受损赋值表)，四个影响因素取最大值得到个人权益影响程度等级，并参照表15：对个人权益影响程度等级，进行归约找对应的对个人权益影响程度等级。
[0115][0116][0117]
表11
[0118][0119]
表12
[0120][0121]
表13
[0122][0123]
表14
[0124][0125]
表15
[0126]
安全事件发生后的损失由对个人权益影响程度及剩余脆弱性严重程度(可参考表16：剩余脆弱性严重程度赋值)决定，两个影响因素采用相乘方式得到结果矩阵(可参考表17：安全事件发生后的损失结果矩阵表)，并参照表18：安全事件发生后的损失等级，进行归约找对应的安全事件发生后的损失等级。
[0127]
等级标识定义
5很高实施了控制措施后，脆弱性仍然很严重4高实施了控制措施后，脆弱性仍然严重3中等实施了控制措施后，脆弱性仍然较为严重2低实施了控制措施后，脆弱性能造成一定程度的损害1很低实施了控制措施后，脆弱性基本不可能造成损害
[0128]
表16
[0129][0130]
表17
[0131][0132]
表18
[0133]
技术安全风险值由安全事件发生的可能性及安全事件发生后的损失决定，两个影响因素采用相乘方式得到结果矩阵(可参考表19：技术安全风险值结果矩阵表)，并参照表20：技术安全风险值等级，进行归约找对应的技术安全风险值等级。
[0134]
[0135]
表19
[0136][0137]
表20
[0138]
技术安全风险值由安全事件发生的可能性及安全事件发生后的损失决定，两个影响因素采用相乘方式得到结果矩阵(可参考表21：技术安全风险值结果矩阵表)，并参照表22：技术安全风险值等级，进行归约找对应的技术安全风险值等级。
[0139][0140][0141]
表21
[0142][0143]
表22
[0144]
个人信息保护影响风险值由技术安全风险值及合法合规风险值(赋值可参考表23：合法合规风险赋值表)决定，两影响因素采用取其最大值得到结果(可参考表24：个人信息保护影响风险值结果矩阵表)，并参照表25：个人信息保护影响风险值等级，进行归约找对应个人信息保护影响风险值等级。
[0145][0146]
表23
[0147][0148]
表24
[0149][0150]
表25
[0151]
在一具体实施例中，在步骤s30之后，即在获取合法合规风险值作为一级个人信息保护影响风险参数之后，还具体包括如下步骤：
[0152]
s301.基于所有一级个人信息保护影响风险参数，采用单个参数维度计算方式，获取个人信息保护影响风险值。
[0153]
具体地，如图7所示，单个评估项会划分成不同的维度(管理、数据生命周期)，并通过算法计算出单个维度及总体的评分。单个维度的评分主要是根据5个风险等级赋予相应的分数并按满分100分进行折算；总体评分则会根据维度的不同赋予不同的权重后再按满分100分进行折算。
[0154]
第一步，在得到所有单个评估项的风险结果后需要计算出单个维度的分数，具体
公式如图7所示。图中符号分别的定义为：
[0155]
s：单个维度分数；α：风险值分数；k：评估项；n：评估项项数。
[0156]
第二步，在得到每个维度的分数后，给予每个维度一个权重或称作影响因子，进行计算得到最后的评估结果，公式如图7所示。图中符号分别的定义为：
[0157]
β：单个维度权重；r：被评估对象分数。
[0158]
在一具体实施例中，在步骤s40之后，即在获取个人信息保护影响风险值之后，还具体包括如下步骤：
[0159]
s401.基于个人信息保护影响风险值，生成可视化的个人信息保护影响风险报告。
[0160]
具体地，本实施例可基于个人信息保护影响风险值，生成可视化的个人信息保护影响风险报告，便于直观地获知个人信息保护影响风险值的评估结果。
[0161]
本实施例提供的个人信息保护影响风险的计算方法的整体流程方法如下，如图8所示：
[0162]
1).根据威胁来源以及动机确定威胁能力。
[0163]
2).根据威胁能力、威胁频率确定威胁出现的可能性。
[0164]
3).根据脆弱性的实际情况(如脆弱性访问路径、脆弱性触发条件、已有安全措施的有效性、可访问时间、设计、操作知识公开程度等)进行综合分析，确定威胁利用脆弱性的难易程度。
[0165]
4).根据威胁出现的可能性结合威胁利用脆弱性的难易程度确定安全事件发生的可能性。
[0166]
5).根据限制个人自主决定权、引发差别性待遇、个人名誉受损或遭受精神压力、人身财产受损确定对个人权益影响程度。
[0167]
6).根据安全需求及已有技术措施识别确定残余脆弱性的严重程度。
[0168]
7).根据对个人权益影响程度及剩余脆弱性严重程度确定安全事件发生后的损失。
[0169]
8).根据安全事件发生的可能性与安全事件发生后的损失确定技术安全风险值；
[0170]
9).根据识别出的个人信息及个人信息处理活动所涉及的合法合规需求，结合已有合规措施进行综合分析，确定出法律法规残余风险。
[0171]
10).根据识别出的个人信息类型，结合法律法规对不同类型个人信息的要求，进行综合分析，确定各个人信息重要程度。
[0172]
11).根据法律法规残余风险以及个人信息类型重要程度进行综合分析，确定合法合规风险值。
[0173]
12).根据技术安全风险值及合法合规风险值确定个人信息保护影响风险值。
[0174]
本技术提供的实施例是基于《gb/t20984-2007信息安全技术信息安全风险评估规范》及《gb/t39335-2020信息安全技术个人信息安全影响评估指南》，建立了新的个人信息保护影响评估计算模型，包括增加了影响因素、改进了影响因素间的算法方式、创建了各维度，包括：管理和数据生命周期等，及最终整个评估对象的风险评定方式。
[0175]
本实施例提供的个人信息保护影响风险的计算方法，通过从合规性角度进行考量的获取的多个二级个人信息保护影响风险参数进行分析后，可获取综合评估后得到的个人信息保护影响风险值，该风险评估模型仅需要提取组织多维度的现状的基础信息，从而经
自动评估风险和风险判定后得出相应的个人信息保护影响风险值，使得信息尤其是个人信息的保护影响的评估工作变得更加高效和便捷，形成个人信息保护影响风险计算方法和模型。纳入法律因素的综合因素赋值可得到更准确和合法的风险判定结果，形成多维度的风险结论。
[0176]
进一步地，本实施例建立新的个人信息保护影响评估风险计算模型，增加了影响因素、改进了影响因素间的算法方式、创建了各维度及最终整个评估对象风险评定方式，为用户提供更加精准、直观的风险评定结果。
[0177]
进一步地，本实施例提供的个人信息保护影响风险的计算方法丰富了个人信息保护影响风险的影响因素；通过对各种因素的情况划分，进而映射到量级，从而计算个人信息保护影响风险值，能够相对降低主观判定导致的风险计算不准确的问题；将评估要求与数据生命周期进行关联；通过算法计算出各数据生命周期环节的风险值，能协助企业快速识别脆弱的数据生命周期环节。
[0178]
应理解，上述实施例中各步骤的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本发明实施例的实施过程构成任何限定。
[0179]
在一实施例中，提供一种个人信息保护影响风险的计算装置，该个人信息保护影响风险的计算装置与上述实施例中个人信息保护影响风险的计算方法一一对应。如图9所示，该个人信息保护影响风险的计算装置包括获取二级参数模块10、获取安全风险值模块20、获取合规风险值模块30和获取影响风险值模块40。各功能模块详细说明如下：
[0180]
获取二级参数模块10，用于获取二级个人信息保护影响风险参数，二级信息参数包括：安全事件发生可能性、安全事件发生后损失、法律法规残余风险值和个人信息类型重要程度。
[0181]
获取安全风险值模块20，用于基于安全事件发生可能性和安全事件发生后损失，采用两因素矩阵计算方式，获取技术安全风险值作为一级个人信息保护影响风险参数。
[0182]
获取合规风险值模块30，用于基于法律法规残余风险值和个人信息类型重要程度，采用因素最大值计算方式，获取合法合规风险值作为一级个人信息保护影响风险参数。
[0183]
获取影响风险值模块40，用于基于所有一级个人信息保护影响风险参数，采用因素最大值计算方式，获取个人信息保护影响风险值。
[0184]
关于个人信息保护影响风险的计算装置的具体限定可以参见上文中对于个人信息保护影响风险的计算方法的限定，在此不再赘述。上述个人信息保护影响风险的计算装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于设备中的处理器中，也可以以软件形式存储于设备中的存储器中，以便于处理器调用执行以上各个模块对应的操作。
[0185]
在一实施例中，提供了一种设备，该设备可以是服务器，其内部结构图可以如图10所示。该设备包括通过系统总线连接的处理器、存储器、网络接口和数据库。其中，该设备的处理器用于提供计算和控制能力。该设备的存储器包括非易失性介质、内存储器。该非易失性介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性介质中的操作系统和计算机程序的运行提供环境。该设备的数据库用于个人信息保护影响风险的计算方法相关的数据。该设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理
器执行时以实现一种个人信息保护影响风险的计算方法。
[0186]
在一实施例中，提供一种设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，处理器执行计算机程序时实现上述实施例个人信息保护影响风险的计算方法，例如图2所示s10至步骤s40。或者，处理器执行计算机程序时实现上述实施例中个人信息保护影响风险的计算装置的各模块/单元的功能，例如图9所示模块10至模块40的功能。为避免重复，此处不再赘述。
[0187]
在一实施例中，提供一种计算机可读介质，其上存储有计算机程序，计算机程序被处理器执行时实现上述实施例个人信息保护影响风险的计算方法，例如图2所示s10至步骤s40。或者，该计算机程序被处理器执行时实现上述装置实施例中个人信息保护影响风险的计算装置中各模块/单元的功能，例如图9所示模块10至模块40的功能。为避免重复，此处不再赘述。
[0188]
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，该计算机程序可存储于一非易失性计算机可读取介质中，该计算机程序在执行时，可包括如上述各方法的实施例的流程。其中，本技术各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用，均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(rom)、可编程rom(prom)、电可编程rom(eprom)、电可擦除可编程rom(eeprom)或闪存。易失性存储器可包括随机存取存储器(ram)或者外部高速缓冲存储器。作为说明而非局限，ram以多种形式可得，诸如静态ram(sram)、动态ram(dram)、同步dram(sdram)、双数据率sdram(ddrsdram)、增强型sdram(esdram)、同步链路(synchlink)dram(sldram)、存储器总线(rambus)直接ram(rdram)、直接存储器总线动态ram(drdram)、以及存储器总线动态ram(rdram)等。
[0189]
所属领域的技术人员可以清楚地了解到，为了描述的方便和简洁，仅以上述各功能单元、模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能单元、模块完成，即将所述装置的内部结构划分成不同的功能单元或模块，以完成以上描述的全部或者部分功能。
[0190]
以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围，均应包含在本发明的保护范围之内。