常见数据安全风险清单
| 序号 | 风险类别 | 描述 |
| 1 | 数据泄露风险 | 由于数据窃取、爬取、脱库、撞库等安全威胁,或者缺乏有效的安全措施、人员操作失误或有意盗取等,导致数据泄露、恶意窃取、未授权访问等影响数据保密性的风险。 |
| 2 | 数据篡改风险 | 由于数据注入、中间人攻击等安全威胁,或者缺乏有效的安全措施、人员有意或无意操作等,导致数据被未授权篡改等影响数据完整性的风险。 |
| 3 | 数据破坏风险 | 由于拒绝服务攻击、自然灾害、嵌入恶意代码、数据污染、设备故障等安全威胁,或者缺乏有效的安全措施、人员有意或无意操作等,导致数据被破坏、毁损、数据质量下降等影响数据可用性的风险。 |
| 4 | 数据丢失风险 | 由于数据过载、软硬件故障、备份失效、链路过载等问题,或者缺乏有效的安全措施、人员有意或无意操作等,导致数据丢失、难以恢复等安全风险。 |
| 5 | 数据滥用风险 | 由于缺乏授权访问控制、权限管控等有效的安全管控措施、人员有意或无意操作等,导致数据被未授权或超出授权范围使用、加工的风险。 |
| 6 | 数据伪造风险 | 由于数据源欺骗、深度伪造等安全威胁,或者缺乏有效的安全措施、人员有意或无意操作等,导致数据或数据源被伪造、数据主体被仿冒等安全风险。 |
| 7 | 违法违规获取数据 | 违反法律、行政法规等有关规定,非法或违规获取、收集数据的风险。 |
| 8 | 违法违规出售数据 | 违反法律、行政法规等有关规定,非法或违规向他人出售、交易数据的风险。 |
| 9 | 违法违规保存数据 | 违反法律、行政法规等有关规定,非法或违规留存数据的风险,如逾期留存、违规境外存储等。 |
| 10 | 违法违规利用数据 | 违反法律、行政法规等有关规定,非法或违规使用、加工、委托处理数据的风险。 |
| 11 | 违法违规提供数据 | 违反法律、行政法规等有关规定,非法或违规向他人提供、共享、交换、转移数据的风险。 |
| 12 | 违法违规公开数据 | 违反法律、行政法规等有关规定,非法或违规公开数据的风险。 |
| 13 | 违法违规购买数据 | 违反法律、行政法规等有关规定,非法或违规购买、收受数据的风险。 |
| 14 | 违法违规出境数据 | 违反法律、行政法规等有关规定,非法或违规向境外提供数据的风险 |
| 15 | 超范围处理数据 | 数据处理活动违反必要性原则,超范围或过度收集使用个人信息或重要数据的风险。 |
| 16 | 数据处理缺乏正当性 | 违正当性原则,数据处理活动缺乏明确、合理的处理目的。 |
| 17 | 未有效保障个人信息主体权利 | 由于未采取有效的个人信息保护措施、人员操作或外部威胁等,导致未能有效保障个人信息主体的知情权、决定权、限制或者拒绝个人信息处理等个人信息主体合法权利。 |
| 18 | App 违法违规收集使用个人信息 | App 违反个人信息监管政策或标准规范,存在违法违规收集使用个人信息行为的风险。 |
| 19 | 数据处理缺乏公平公正 | 由于缺乏安全管控措施、人员有意或无意操作等,导致数据处理违反公平公正、诚实守信原则,侵犯其他组织或个人合法权益的风险。 |
| 20 | 数据处理抵赖风险 | 由于外部攻击威胁、缺乏有效安全管控措施、人员有意或无意操作等,导致处理者或第三方否认数据处理行为或绕过数据安全措施等风险。 |
| 21 | 数据不可控风险 | 由于第三方数据安全能力不足、缺乏有效的第三方管控措施、合同协议缺失、外包人员操作等,导致委托处理或合作的第三方违反法律法规或合同协议约定处理数据,造成第三方超范围处理数据、逾期留存数据、违规再转移等数据不可控风险。 |
| 22 | 数据推断风险 | 由于未考虑数据之间的关联关系,导致从公开数据可推断出核心数据、重要数据、未公开的个人数据等,包括但不限于面向人工智能模型的推理攻击、面向基础设施的跨域推断攻击等。 |
| 23 | 其他风险 | 其他可能影响国家安全、公共利益或组织、个人合法权益的数据安全风险。 |
数据来源于TC260-PG-20231A《网络安全标准实践指南——网络数据安全风险评估实施指引》