首页 > 新闻动态> 个人信息保护影响评估的必要性
个人信息保护影响评估的必要性
2023-04-03


一、个人信息的定义

个人信息是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。个人信息是自然人的重要权利和利益,也是社会经济发展的重要资源。随着互联网、大数据、人工智能等技术的发展和应用,个人信息处理活动日益增多,也带来了个人信息泄露、滥用、侵权等风险和问题。为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,我国制定了《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》),并于2021年11月1日正式实施。


二、个人信息保护相关法律法规

1.《中华人民共和国个人信息保护法》是我国第一部个人信息保护方面的专门法律,于2021年8月20日通过,在2021年11月1日起施行。该法为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,根据宪法制定。该法规定了个人信息的定义、处理原则、处理规则、跨境提供规则、个人权利、处理者义务、监管部门职责、法律责任等内容。

2.《数据安全法》规定了重要数据的处理者对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告的义务;

3.《个人信息出境安全评估办法(征求意见稿)》规定了网络运营者在向境外提供在中国境内运营中收集的个人信息时,应当进行安全评估,并进一步规定了评估的方式和内容等。


三、什么是个人信息保护影响评估

根据国家标准《数据安全技术 通用数据安全影响评估指南》39335-2020)的定义,个人信息保护影响评估是指个人信息处理者在处理个人信息之前,对其处理活动可能对个人信息主体的权利和自由造成的风险进行评估,并采取相应的措施降低风险的过程。个人信息保护影响评估是一种主动的、预防性的、系统性的和持续性的风险管理方法,旨在帮助个人信息处理者识别、分析、评价和控制个人信息处理活动所涉及的风险,保障个人信息主体的合法权益,提升个人信息处理者的合规水平和信任度。

个人信息保护影响评估


四、为什么要做个人信息保护影响评估

从法律层面来看,个人信息保护影响评估是《个人信息保护法》规定的一项法定义务,如果不履行这一义务,可能会面临监管部门的处罚或者行政责任。其次,从风险层面来看,个人信息保护影响评估可以帮助个人信息处理者及时发现和消除潜在的风险隐患,避免因为个人信息泄露、滥用、侵权等事件而造成经济损失或者声誉损害。再次,从价值层面来看,个人信息保护影响评估可以帮助个人信息处理者优化其数据治理流程和安全措施,提高数据质量和效率,增强数据价值和创新能力。最后,从社会层面来看,个人信息保护影响评估可以帮助个人信息处理者树立良好的社会形象和责任感,增加个人信息主体的信任和满意度,促进数据共享和协同发展。


五、怎么进行个人信息保护影响评估

根据国家标准《数据安全技术 通用数据安全影响评估指南》(GB/T 35273-2020) 和《数据安全技术 个人信息安全影响评估指南》(GB/T 39335-2020) 的建议,一般可以遵循以下步骤:

1. 确定是否需要进行个人信息保护影响评估。根据《个人信息保护法》第五十五条规定的情形,判断是否存在可能对自然人权益造成重大影响的个人信息处理活动。如果存在,则需要进行个人信息保护影响评估;如果不存在,则可以不进行或者选择性进行。

2. 确定评估范围和方法。根据具体的业务场景和数据流程,确定需要评估的资产、活动、目标、标准等要素,并选择合适的评估方法和工具。例如,可以采用问卷调查、访谈讨论、桌面演练、模拟测试等方式收集相关数据和信息。

3. 识别和分析风险。根据资产价值、威胁可能性、脆弱性严重性等因素,识别出可能存在的风险源,并分析其可能造成的后果和影响。例如,可以参考国家标准《数据安全技术 通用数据安全影响评估指南》(GB/T 35273-2020)中的风险源分类方法,将风险源分为网络环境和技术措施、数据处理流程、参与人员和第三方、业务特点和规模及安全态势等五个方面。

4. 评估和评价风险。根据风险源的可能性和严重性,评估风险的等级,并判断是否需要采取措施降低风险。例如,可以参考国家标准《数据安全技术 通用数据安全影响评估指南》(GB/T 35273-2020)中的风险评估方法,将风险等级分为低、中、高三个等级。

5. 制定和实施风险控制措施。根据风险的等级和性质,制定合适的风险控制措施,并实施执行。例如,可以参考国家标准《数据安全技术 通用数据安全影响评估指南》(GB/T 35273-2020)中的风险控制方法,将控制措施分为避免、减轻、转移、接受四种类型。

6. 编写和保存评估报告。根据评估的结果,编写评估报告,并保存至少三年。评估报告应当包括评估的目的、范围、方法、过程、结果、建议等内容。例如,可以参考国家标准《数据安全技术 通用数据安全影响评估指南》(GB/T 35273-2020)中的评估报告模板。

7. 监督和审查评估效果。根据个人信息处理活动的变化情况,定期或者不定期地监督和审查评估效果,并根据需要进行更新或者重新进行评估。例如,可以参考国家标准《数据安全技术 通用数据安全影响评估指南》(GB/T 35273-2020)中的监督和审查方法。


个人信息保护影响评估是一种主动的、预防性的、系统性的和持续性的风险管理方法,是个人信息保护工作的重要组成部分。个人信息处理者应当根据法律法规和标准的要求,结合自身的业务特点和数据流程,开展个人信息保护影响评估,并采取相应的措施降低风险。通过进行个人信息保护影响评估,不仅可以避免或者减轻因为个人信息泄露、滥用、侵权等事件而造成的经济损失或者声誉损害,也可以优化数据治理流程和安全措施,提高数据质量和效率,增强数据价值和创新能力,树立良好的社会形象和责任感,增加个人信息主体的信任和满意度,促进数据共享和协同发展。