个人信息保护影响评估简介.docx
《个人信息保护影响评估简介.docx》由会员分享,可在线阅读,更多相关《个人信息保护影响评估简介.docx(5页珍藏版)》请在三一办公上搜索。
1、个人信息保护影响评估简介作者:廖江涛(盈科律师事务所)发布日期:2024.02.26为了保护个人信息权益,规范个人信息处理活动,个人信息保护法规定了个人信息保护影响评估制度。对个人权益有重大影响的个人信息处理活动,要求事前进行个人信息保护影响评估,并对处理情况进行记录。对公司进行并购重组时,也可以实施该评估,来判断被收购对象的个人信息保护工作是否合规。本文参考信息安全技术个人信息安全影响评估指南,介绍个人信息保护影响评估的实施基本过程。最后以个人信息共享为例介绍评估的重点注意事项。一、实施个人信息保护影响评估的目的个人信息保护影响评估是为了发现、处置和持续监控个人信息处理过程中对个人信息主体合
2、法权益造成不利影响的风险。实施个人信息保护影响评估,能够有效加强个人信息主体权益的保护,有利于组织对外展示其保护个人信息安全的努力,提升透明度,增进个人信息主体、监管机构对其的信任。在发生个人信息安全事件时,个人信息安全影响评估及其形成的记录文档,可用于证明组织已经主动评估风险并采取一定的安全保护措施,有助于减轻、甚至免除组织相关责任和名誉损失。通过评估,可以让员工、合作伙伴熟悉各种个人信息安全风险,增强处置风险能力,认识到个人信息保护的重要性,并采取适当的安全控制措施。二、法律要求必须进行事前评估的情况1、处理敏感个人信息:2、利用个人信息进行自动化决策;3、委托处理个人信息;4、向其他个人
3、信息处理者提供个人信息;5、公开个人信息;6、向境外提供个人信息;7、其他对个人权益有重大影响的个人信息处理活动。基于评估的范围,可分为整体评估与局部评估。整体评估是对全部个人信息处理活动进行评估,比如:年度整体评估、新业务上线前评估、发生重大个人信息安全事件后重新评估;局部评估是对部分个人信息处理活动进行评估,比如:新增功能评估、某项处理行为评估。三、评估主体1、单位可以自行组织开展个人信息保护影响评估工作,牵头部门往往是法务部门、合规部门或信息安全部门,由相应的产品、服务或项目相关人员给予相应支持,确保评估活动顺利进行。2、如果情况复杂,单位往往会聘请外部独立第三方,比如律师事务所,来承担
4、具体的个人信息保护影响评估工作。主管监管部门和客户可要求独立审计来核证评估活动的合理性和完备性。四、评估的基本原理1、了解待评估个人信息情况。对待评估的对象进行调研,形成清晰的数据清单及数据映射图表,并梳理出待评估的具体的个人信息处理活动。2、以权益影响为核心开展评估。(1)个人信息处理活动对个人信息主体的权益可能造成的影响及其程度:(2)安全措施是否有效、是否会导致安全事件发生及其可能性;(3)个人信息处理活动的安全风险及风险等级;(4)提出改进建议;(5)形成评估报告。五、评估涉及的范围个人信息处理行为夏杂度不同,信息的类型、数量,涉及信息主体的范围、数量不同,评估所涉及范围也会有区别。通
5、常情况下,会涉及如下人员、资料、安全控制机制。1、人员:产品经理、研发工程师、个人信息保护负责人、法务负责人员、系统架构师、安全管理员、运维人员、人力资源人员和系统用户等,对这些人员进行访谈。2、资料:管理制度、安全策略和机制、合同协议、安全配置和设计文档、运行记录等,如个人信息保护策略规划和程序、系统的设计文档和接口规范、应急规划演练结果、事件响应活动、技术手册和用户/管理员指南、信息系统的硬件/软件中信息技术机制的运行等,对这些资料进行检查、查验、分析。3、安全控制机制:如访问控制、身份识别和验证、安全审计机制、传输链路和保存加密机制、对重要事件进行持续监控、测试事件响应能力以及应急规划演
6、练能力等。通过人工或自动化安全测试工具进行技术测试,获得相关信息。六、评估重点内容1、个人信息的处理目的、处理方式等是否合法、正当、必要。2、对个人权益的影响及安全风险。3、所采取的保护措施是否合法、有效并与风险程度相适应。七、开展评估工作1、组建评估团队。根据评估对象复杂度以及单位管理制度,确定评估人员,并取得单位管理层、协助部门的支持。2、制定评估计划。明确工作内容、任务分工、时间表,特别是需要第三方配合的事项需要提前计划。3、调查评估对象。(1)基本情况:个人信息类型、涉及信息系统情况、履行管理职责的部门、人员及其职责,个人信息处理的方式、范围;(2)信息流转情况:功能(或逻辑)结构概览
7、、物理结构概览、包含个人信息的信息系统数据库、表格和字段的清单和结构、按组件和接口划分的数据流示意图、个人信息生命周期的数据流示意图,例如个人信息的收集、存储、使用和共享等、描述通知个人信息主体的时间节点以及取得个人信息主体同意的时间节点和工作流程图、可对外传输个人信息的接口清单、个人信息处理过程中的安全措施;(3)信息处理流程和程序:信息系统的身份与用户管理概念、操作概念,包括信息系统或其中部分结构采用现场运行、外部托管,或云外包的方式、支持概念,包括列示可访问个人信息的第三方范围、其所拥有的个人信息访问权限、其可访问个人信息的位置等、记录概念,包括已登入信息的保存计划、备份与恢复计划、元数
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 个人信息 保护 影响 评估 简介
链接地址:https://www.31ppt.com/p-6996765.html