- 1、本文档共13页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
“个人信息保护影响评估”的合规与实践
2021年11月1日正式生效的《个人信息保护法》是我
国第一部在个人信息保护领域的综合性立法,它明确提出
了个人信息处理者开展个人信息保护影响评估的要求。据此,
企业如何开展个人信息保护影响评估,成为继APP合规之后
的另一个人信息保护合规要点。
一
个人信息保护影响评估概况
开展个人信息保护影响评估不仅是个人信息处理者的
法定义务,也是其控制个人信息安全风险的重要保障。制定
相应的制度开展个人信息影响评估,既能够帮助企业更好
的落实个人信息保护合规义务,又能规范企业的个人信息
处理活动。
(一)个人信息保护影响评估及其法律框架体系
个人信息保护影响评估是针对个人信息处理活动,检查其
合法合规性,判断其对个人合法权益造成的影响,以及评
估个人信息保护措施有效性的过程。
在法律法规层面,《个人信息保护法》第55条(“《个保法》”)
1
明确规定了个人信息处理者在处理敏感个人信息,进行自
动化决策,委托处理、对外提供、公开个人信息以及向境外
提供个人信息时,需要事前进行个人信息保护影响评估并
对处理情况进行记录的法定要求;《数据安全法》中规定了
重要数据的处理者对其数据处理活动定期开展风险评估,
并向有关主管部门报送风险评估报告的义务;《个人信息出
境安全评估办法(征求意见稿)》规定了网络运营者在向境外
提供在中国境内运营中收集的个人信息时,应当进行安全
评估,并进一步规定了评估的方式和内容等。
在国家标准层面,《信息安全技术个人信息安全规范》以及
《信息安全技术个人信息安全影响评估指南》对个人信息
安全影响评估的定义、原理、场景和框架、评估流程、评估
的具体实施方式进行了详细的说明;《信息安全技术数据
出境安全评估指南(征求意见稿)》则对个人信息及数据出境
的安全评估流程、要点和方法进行说明。
(二)企业开展个人信息保护影响评估的意义
开展个人信息保护影响评估,对企业而言具有以下意义:
(1)如前文所述,开展个人信息保护影响评估是《个保法》
下的法定义务;(2)开展个人信息保护影响评估可以通过识
别个人信息处理行为与法律、法规、标准或良好的行业实践
之间的差距,并据此采取适当的安全控制措施;(3)开展个
人信息保护影响评估形成的记录文档在发生个人信息安全
2
事件时,可以在监管机构调查、执法、合规审计等法律程序
中,作为企业证明其遵守了个人信息保护与数据安全等方
面的法律、法规和标准的证据;(4)个人信息保护影响评估
有利于持续关注法律监管环境的动态并不断发现、处置和监
控个人信息处理过程对个人信息主体合法权益的影响和潜
在风险,建立企业个人信息保护的公信力,以进一步改进
和提升自身的安全风险管理能力,实现“动态合规”。
二
个人信息保护影响评估的适用场景
(一)法定评估场景
《个保法》和其他法律规范规定了必须开展个人信息保
护影响评估的场景。
从行为角度,《个保法》第55条规定:处理敏感个人
信息,进行自动化决策,委托处理、对外提供、公开个人信
息以及向境外提供个人信息时,开展个人信息影响评估是
个人信息处理者的法定义务,否则未履行法定义务将可能
面临严厉的法律责任及相关监管机关的处罚。
3
从时间节点看,《信息安全技术个人信息安全规范》第
11.4节中规定了必须要进行个人信息安全影响评估的情形,
比如当产品或服务发布前或业务功能发生重大变化时,发
生重大个人信息安全事件,在法律法规有新要求或业务模
式、信息系统、运行环境发生重大变更时等情形时,均需要
开展个人信息安全影响评估。
结合以上两个角度,当企业涉及处理敏感个人信息,进
行自动化决策,委托处理、对外提供、公开个人信息或向境
外提供个人信息时,以及产品、服务或业务开展前、发生重
大变化时或者其技术、法律环境发生重大变化时,需要开展
个人信息保护影响评估。
(二)尽责性评估场景
文档评论(0)