企业如何开展个人信息安全影响评估(PIA)二

最新推荐文章于 2024-08-16 18:41:12 发布
最新推荐文章于 2024-08-16 18:41:12 发布
阅读量563 收藏 2
点赞数
文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Arvin_FH/article/details/132319910
版权

在这里插入图片描述

基本概念
根据《信息安全 技术个人信息安全影响评估指南》(GB/T 39335—2020;personal information security impact assessment,简称“PIA”),个人信息安全影响评估是指针对个人信息处理活动,检验其合法合规程度,判断其对个人信息主体合法权益造成损害的各种风险,以及评估用于保护个人信息主体的各项措施有效性的过程。个人信息安全影响评估旨在发现、处置和持续监控个人信息处理过程中对个人信息主体合法权益造成不利影响的风险。

基本原理
个人信息安全影响评估旨在发现、处置和持续监控个人信息处理过程中对个人信息主体合法权益造成不利影响的风险。开展评估前, 需对待评估的对象(可为某项产品、某类业务、某项具体合作等) 进行全面的调研, 形成清晰的数据清单及数据映射图表,并梳理出待评估的具体的个人信息处理活动。开展评估时, 通过分析个人信息处理活动对个人信息主体的权益可能造成的影响及其程度,以及分析安全措施是否有效、是否会导致安全事件发生及其可能性, 综合两方面结果得出个人信息处理活动的安全风险及风险等级, 并提出相应的改进建议, 形成评估报告。

什么时候需要进行个人信息保护影响评估

0
1

必须进行个人信息保护影响评估情形

根据《中华人民共和国个人信息保护法》规定,有下列情形之一的,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录:
1.处理敏感个人信息;
2.利用个人信息进行自动化决策;
3.委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;
4.向境外提供个人信息;
5.其他对个人权益有重大影响的个人信息处理活动。

根据《信息安全技术 个人信息安全规范》(GB/T 35273—2020)规定,个人信息控制者应建立个人信息安全影响评估制度,评估并处置个人信息处理活动存在的安全风险。在产品或服务发布前,或业务功能发生重大变化时,应进行个人信息安全影响评估。在法律法规有新的要求时,或在业务模式、信息系统、运行环境发生重大变更时,或发生重大个人信息安全事件时,应进行个人信息安全影响评估。

0
2

企业自主进行个人信息安全影响评估

  企业以合规管理、提升自身安全风险管理能力和安全水平的目的主动进行个人信息安全影响评估。企业自主启动个人信息安全影响评估的必要性, 取决于组织的个人信息安全目标,组织可根据实际的需求选取需要启动评估的业务场景。个人信息安全影响评估可用于合规差距分析, 也可以用于合规之上、进一步提升自身安全风险管理能力和安全水平的目的。

合规差距评估。当组织定义的个人信息安全目标为符合相关法律、法规或标准的基线要求时, 则个人信息安全影响评估主要目的在于识别待评估的具体个人信息处理活动已采取的安全控制措施,与相关法律、法规或标准的具体要求之间的差距, 例如在某业务场景中与第三方共享个人信息, 是否取得了个人信息主体的明示同意。
尽责性风险评估。出于审慎经营、声誉维护、品牌建立等目的, 组织往往选取可能对个人合法权益产生高风险的个人信息处理活动, 开展尽责性风险评估。此种风险评估的目标, 是在符合相关法律、法规和标准的基线要求之上, 尽可能降低对个人信息主体合法权益的不利影响。
03

由哪个主体进行个人信息影响安全评估

个人信息处理者

基本概念
进行个人信息安全影响评估的主体,在《个人信息保护法》中规定为“个人信息处理者”,《个人信息安全规范》规定为 “个人信息控制者”。在中华人民共和国法律体系下,个人信息处理者和个人信息控制者均是指在个人信息处理活动中自主或有能力决定个人信息处理目的、处理方式的组织、个人。
因此,就组织形式而言,公司、企业及外国机构驻中国代表处等组织都可以成为个人信息处理者。

牵头部门
通常而言, 公司等开展个人信息保护影响评估工作可以由其法务部门、合规部门或其信息安全部门牵头执行。上述企业内部的责任部门可以根据部门的具体能力配备情况, 自行开展个人信息保护影响评估工作或聘请外部独立的第三方来承担具体的评估工作。
个人信息保护影响评估工作应当具有独立性,应在不受被评估方影响的前提下进行。一般建议聘请外部独立的第三方与企业内部的责任部门协作,共同完成个人信息保护影响评估工作。

04

个人信息影响安全评估需要评估哪些内容

PIA评估内容

《个人信息安全保护法》
个人信息保护影响评估应当包括下列内容:

  1. 个人信息的处理目的、处理方式等是否合法、正当、必要;
  2. 对个人权益的影响及安全风险;
  3. 所采取的保护措施是否合法、有效并与风险程度相适应。

《信息安全技术 个人信息安全规范》
个人信息安全影响评估内容包括但不限于:
1.个人信息收集环节是否遵循目的明确、选择同意、最小必要等原则;
2.个人信息处理是否可能对个人信息主体合法权益造成不利影响,包括是否会危害人身和财产安全、损害个人名誉和身心健康、导致差别性待遇等;
3.个人信息安全措施的有效性;
4.匿名化或去标识化处理后的数据集重新识别出个人信息主体或与其他数据集汇聚后重新识别出个人信息主体的风险;
5.共享、转让、公开披露个人信息对个人信息主体合法权益可能产生的不利影响;
6.发生安全事件时,对个人信息主体合法权益可能产生的不利影响。

垄断的5心
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
信息安全评估流程分为/《个人信息安全影响评估指南》解读及实践【附指南全文】_新手白帽子记录贴
程序员六七的博客
05-31 1103
结合国标39335的主要内容、最新立法趋势及开展个人信息安全影响评估(以下简称“PISIA”)的行业实践及近期项目经验,简要分析
推荐开源项目:PIA — 数据保护影响分析利器
gitblog_00080的博客
05-27 340
推荐开源项目:PIA — 数据保护影响分析利器 piaVersion web front office de l’application PIA à déployer sur un serveur afin d’en donner l’accès via un navigateur web | Front office of the PIA application to be deployed ...
引领合规之旅:深入探索PIA软件——数据保护影响评估的得力助手
gitblog_00064的博客
06-11 424
引领合规之旅:深入探索PIA软件——数据保护影响评估的得力助手 项目地址:https://gitcode.com/LINCnil/pia-back 项目介绍 在数字时代,数据隐私与安全成为企业和组织无法忽视的核心议题。面对欧盟通用数据保护条例(GDPR)的严格要求,法国国家信息自由委员会(CNIL)推出了开源工具——PIA Software。这款强大的工具旨在帮助数据控制者轻松执行复杂的数据保护影...
CCRC-PIPA个人信息保护评估
ITSS_CISAW_CISP_的博客
09-09 301
CCRC-PIPA课程以《个人信息保护法》、法规、部门规章、相关国家标准和行业最佳实践为基础,通过理论学习、案例分析和技术实操,培养具备个人信息认证评估个人信息保护审计和个人信息保护影响分析等需求的专业人才。课程内容涵盖从个人信息保护法律法规基础、技术标准规范运用、合规体系搭建数据价值增长四个维度出发,从法律到标准规范,从理论到实践案例,侧重学员的应用能力培养,使学员具备立体的、多维度的个人信息保护实践能力。全面系统地掌握个人信息保护制度相关法律、法规、标准、实施流程、检测技术、要求及方法;
CCIA数安委等组织发起“个人信息保护影响评估专题工作”,合合信息首批入选试点
INTSIG的博客
08-01 211
近期,“个人信息保护影响评估专题工作”(简称“PIA专题工作”)试点评估结果正式发布。PIA专题工作组由中国电子技术标准化研究院、中国信息通信院等单位的法律与技术专家组成,对试点申报单位开展PIA工作的过程是否符合评估依据提出的原则、框架、方法等进行评价,百度、快手、抖音、阿维塔、合合信息等科技企业成为首批试点。
解析个人信息保护影响评估
elevn的博客
08-17 1107
评估的目标看:重点是基于对内部操作中“高风险”的评估及识别,帮助企业及利益相关方对“高风险”的操作处理作出调整、控制或转移高风险,尽可能的避免及减少因前述错误操作处理带来的不合规风险(例如在法律符合性、信息主体权益保护个人信息安全上会否带来现实的/潜在的负面影响),甚至延伸至可能的业务连续性风险,企业声誉受损的重大不利后果。(2)如果不属于,可参考行业通用判断为“高风险”的典型情形(例如GB/T35273第11.4,GB/T39335附录B),或者监管机构发出的需要影响评估的相关指引,判断评估必要性。
|个人信息保护影响评估的概念与实践-
elevn的博客
08-20 472
b) 检查:指评估人员通过对管理制度、安全策略和机制、合同协议、安全配置和设计文档、运行记录等进行观察、查验、分析,以便理解、分析或取得证据的过程检查的对象为规范、机制和活动,如个人信息保护策略规划和程序、 系统的设计文档和接口规范、应急规划演练结果、事件响应活动、技术手册和用户/管理员指南、信息系统的硬件/软件中信息技术机制的运行等。“个人信息保护影响评估”并非一种一劳永逸的评估,而是伴随着主体对个人信息处理活动的变化而需要不断更新的,即在特定情境发生时,就会触发评估的义务。第三步 确定评估对象和范围。
个人信息保护影响评估PIA)怎么?解发条件、实施步骤、操作指南
elevn的博客
08-21 2638
2020年11月发布的《信息安全技术 个人信息安全影响评估指南(GB/T 39335-2020)》明确了个人信息安全影响评估的原理、评估的具体实施流程,对评估的实务工作有了更强的指导意义。“个人信息保护影响评估”也称“个人信息安全影响评估”,是针对个人信息处理活动,检验其合法合规程度,判断其对个人合法权益造成损害的各种风险,以及评估用于保护个人的各项措施有效性的过程。01 识别风险:在开展个人信息处理前,组织可通过影响评估,识别可能导致个人信息主体权益遭受损害的风险,并据此采用适当的个人信息安全控制措施。
网络安全合规-个人信息安全影响评估
elevn的博客
05-15 851
b)检查:指评估人员通过对管理制度、安全策略和机制、合同协议、安全配置和设计文档、运行记录等进行观察、查验、分析,以便理解、分析或取得证据的过程。通常,组织在实施该类个人信息安全影响评估时,个人信息的类型、敏感程度、数量,涉及个人信息主体的范围和数量,以及能访问个人信息的人员范围等,都会成为影响评估规模的重要因素。通常,组织在实施该类个人信息安全影响评估时,个人信息的类型、敏感程度、数量,涉及个人信息主体的范围和数量,以及能访问个人信息的人员范围等,都会成为影响评估规模的重要因素。
PIA隐私影响评估要点(上)
elevn的博客
07-25 1686
个人信息处理活动是一项持续、动态的过程,即PIA并非是一次性即可完成的评估,而是一个持续的过程——PIA不分整体或是局部,结合国内外现行文件,本团队建议,除《个人信息保护法》第55款规定的情形外,若企业出现以下业务场景,应即进行PIA工作。当某种类型的处理,特别是适用新技术进行的处理,很可能会对自然人的权利与自由带来高风险时,在考虑了处理的性质、范围、语境与目的后,控制者应当在处理之前评估计划的处理进程对个人数据保护影响。l 在我国目前的实践中,一般用PIA代指个人信息保护影响评估
个人信息保护影响评估”的合规与实践.docx
06-10
该法规不仅确立了个人信息处理者在处理个人信息时的法律责任,而且强调了进行个人信息保护影响评估PIA)的重要性。PIA是一项旨在评估个人信息处理活动可能带来的隐私和安全风险,并确保这些活动符合法律规定的工具...
个人信息个人隐私保护资料合集.zip
05-11
个人信息安全影响评估指南 互联网个人信息安全保护指南 App违法违规收集使用个人信息行为认定方法 个人信息出境安全评估办法 从策略到实践-如何在金融行业中个人信息安全与保障 自证合规个人金融信息保护等等
信息技术-安全技术-隐私影响评估指南 iso/iec 29134-2017
05-07
简介:ISO/IEC 29134:2017给出了隐私影响评估流程,以及-PIA报告的结构和内容。它适用于所有类型和规模的组织,包括上市公司、私营公司、政府实体和非营利组织。ISO/IEC 29134:2017与参与设计或实施项目的各方有关,...
参考资料2-9-隐私和个人信息保护国际标准框架-v1.0-20200203.pdf
07-22
7. ISO/IEC 29134为进行隐私影响评估PIA)提供了指南,这是在实施新技术或业务流程时评估个人隐私影响的重要工具。 8. 针对公有云环境下的PII处理,ISO/IEC 27018提供了专门的实践指南,其中包括了云服务提供商...
RFID PIA – 由行业开发,经监管机构同意-研究论文
06-10
RFID PIA是一种系统性的过程,用以评估项目、举措或提议的系统或方案对个人隐私的潜在影响,并寻找缓解或避免不良影响的方法。在技术不断发展的时代,传统的隐私法规往往难以跟上技术的步伐,缺乏实际的执行机制,...
安全合规/GDPR--21--我们是如何开展PTA、PIA、DPIA风险评估
武天旭的博客
04-16 9245
一、目的 在开展一个涉及用户隐私信息的新产品、产品的新功能、内外部的新流程(以下统称为“项目”)的早期阶段,需要对项目进行相应的隐私阈值分析(PTA),以帮助项目人员充分了解项目在隐私合规中所产生的影响。同时,在一定条件下进行的隐私影响评估PIA)和数据保护影响评估(DPIA)能帮助项目人员充分了解项目在隐私数据收集与处理中所产生的风险。 、适用范围 适用于所有新项目、项目的新功能、内外部新流程。
特洛伊木马:现代网络安全的隐形威胁
最新发布
weixin_48579910的博客
08-16 293
特洛伊木马是一种伪装成合法软件或文件的恶意程序。攻击者利用这种伪装,使受害者在不知情的情况下主动安装或运行木马,从而为攻击者打开了进入目标系统的大门。与病毒不同,木马并不会自我复制,而是通过社会工程学等手段诱使用户下载和执行。特洛伊木马虽然是网络世界中的“老兵”,但其隐蔽性和多样性使得它至今仍然是网络安全的一大威胁。了解木马的工作原理和危害,并采取适当的防范措施,可以帮助我们在数字化生活中更加安全地航行。
Connection reset by peer报错解决
m0_65307735的博客
08-16 218
Connection reset by peer报错解决
个人信息安全影响评估PIA到底应该怎么
05-24
个人信息安全影响评估PIA)是一种评估个人信息处理系统可能对个人隐私产生的影响的方法。以下是一些应该考虑的步骤: 1. 确定处理个人信息的系统:确定哪些系统处理个人信息以及这些系统的位置。 2. 收集信息:收集有关系统和个人信息的详细信息,包括数据类型、存储方式、处理目的、处理范围、访问方式、安全措施等。 3. 评估风险:评估系统可能对个人隐私产生的风险,包括数据泄露、滥用、误用等。 4. 识别和评估控制措施:识别和评估控制措施,以减轻或消除发现的风险。 5. 评估结果和建议:评估结果并提出建议,包括技术和管理措施,以减轻风险并保护个人隐私。 6. 实施和监控:实施建议并监控系统的运行情况,以确保控制措施有效并持续保护个人隐私。 需要注意的是,PIA的具体步骤可能因组织和系统而异,因此建议在实施PIA之前进行详细的计划和讨论。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

垄断的5心

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值