1
PbD:隐私融入设计
PbD,隐私融入设计,着眼于某个具体的产品在不同的生命周期的个人信息处理合规性。
欧盟GDPR明确规定,在产品设计阶段即应加入隐私保护考量,产品默认设置应最大化保护个人信息安全。因此,在产品的需求、设计、开发、测试、发布等完整生命周期,同步规划、同步实施、同步应用个人信息保护策略及技术。
我国工信部《关于进一步提升移动互联网应用服务能力的通知》(工信部信管函〔2023〕26号)明确规定,“建立全生命周期个人信息保护机制,健全考核问责制度,将相关法规政策要求落实到产品研发、推广和运营各环节,不断提高合规水平”。
此外,《个人信息处理中告知和同意的实施指南(GBT 42574 -2023)》推荐“根据有关国家标准,通过个人信息安全工程等方法,对处理个人信息的系统架构设计进行充分评估”。
PIA:隐私影响评估
PIA,隐私影响评估,用于评估数据处理活动可能对个人隐私的影响,确保在处理个人信息是遵守隐私法规和标准。
一般认为源于国际标准化组织颁布的《ISO 29134:2017隐私影响评估指南》,用于分析判定个人信息处理项目、政策、计划、服务、产品或者其他活动对隐私产生的影响的评估工具。
隐私影响评估侧重于风险分析的安全控制,多出现在强调政府内部监管的语境。美国2002年通过的《电子商务法案》中要求政府的代理人在发展或使用IT系统存储公共领域的个人信息或者电子方式收集信息时需要进行隐私影响评估(PIA)。
DPIA:数据保护影响评估
DPIA,数据保护影响评估,源于欧盟的《一般数据保护条例》(GDPR),是对PIA制度的继承,是欧盟统一数据保护法律框架下的强制性义务。
当某种类型的处理,特别是适用新技术进行的处理,很可能会对自然人的权利与自由带来高风险时,在考虑了处理的性质、范围、语境与目的后,控制者应当在处理之前评估计划的处理进程对个人数据保护的影响。
PIPIA:个人信息保护影响评估
PIPIA,个人信息保护影响评估,源于《个人信息保护法》第五十五条,是我国现行法律明文规定的隐私影响评估制度。在我国一般用PIA代指个人信息保护影响评估,个人信息安全影响评估(PISIA)通常也会被视为对个人信息保护影响评估具体实行的补充。
《个人信息保护法》第55条规定,企业在开展可能会影响个人权益、可能会有安全风险的特定的个人信息处理活动,应当事前开展个人信息保护影响评估。《个人信息保护法》明确了个人信息处理者应当事前进行个人信息保护影响评估的五类情形。
《个人信息安全规范(GBT 35273-2017)》提出了“个人信息安全影响评估”。要求个人信息控制者建立个人信息安全影响评估制度,定期(至少每年一次)开展个人信息安全影响评估。
《个人信息安全影响评估指南(GBT 39335-2020)》明确了个人信息安全影响评估的原理、评估的具体实施流程,对评估的实务工作有了更强的指导意义。《个人信息安全影响评估指南》要求“指定个人信息安全影响评估的责任部门或责任人员,由其负责个人信息安全影响评估工作流程的制定、实施、改进,并对个人信息安全影响评估工工作结果的质量负责。”
2022年7月发布的国家互联网信息办公室发布《数据出境安全评估办法》规定数据处理者向境外提供数据,满足规定情形,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。
2023年3月发布的国家互联网信息办公室发布《个人信息出境标准合同办法》规定个人信息处理者向境外提供个人信息前,应当开展个人信息保护影响评估,并对重点评估的内容作了进一步规定。
2023年5月发布的《个人信息处理中告知和同意的实施指南(GBT 42574-2023)》对涉及使用自动化决策方式处理个人信息的等情形需要开展个人信息保护影响评估作了进一步确认。
PIPCA:个人信息保护合规审计
PIPCA,个人信息保护合规审计,着眼于企业全场景的个人信息处理活动。
《个人信息保护法》《个人信息保护合规审计管理办法》等规定,PIPCA是对个人信息处理者的个人信息处理活动是否遵守法律、行政法规的情况进行审查和评价的监督活动。
《个人信息保护合规审计管理办法》规定,处理超过100万人个人信息的个人信息处理者,应当每年至少开展一次个人信息保护合规审计;其他个人信息处理者应当每二年至少开展一次个人信息保护合规审计。
根据《个人信息保护合规审计管理办法》附件所列参考要点,以及《个人信息保护合规审计指南》相关内容,审计的范围不仅包含了企业层面的合规义务,还包含了各职能部门层面的合规责任,更包括具体产品及服务层面个人信息保护等合规要求,几乎覆盖了企业的全场景个人信息保护。
作者:李鹏飞(转载请获本人授权,并注明作者与出处)
▼▼▼
欢迎加入知识星球
原文始发于微信公众号(微言晓意):个人信息保护评估的主要类型与相关合规要求
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论