关于“信息安全技术 个人信息安全影响评估指南”的意见.pdf
版权申诉
5星 · 超过95%的资源 24 浏览量
2022-06-10
14:14:39
上传
评论
收藏 711KB PDF 举报 
关于“信息安全技术 个人信息安全影响评估指南”的意见
中国有自己的国情、环境、传统、文化等,以及汉语语境、习惯等,标准、法规不能离
开这个基础。不能一味踩着欧美的脚印。个人信息安全规范和个人信息安全影响评估指南,
完全是西式思维,特别是概念、术语、章节等,却又希望自创一些难以说清的东西。
一、关于该标准基准
“信息安全技术 个人信息安全影响评估指南”是基于《个人信息安全规范》的配套标
准。但《个人信息安全规范》本身就存在着极大的安全风险。主要包括:
1、未能明确个人信息主体权利,个人信息主体的基本权利,必须藉标准清晰、明确的
规范,以使个人信息主体在明确同意收集个人信息时,清楚地了解自己必须具有的权利,即
使有法律规则,并不能替代标准的作用。
2、没有定义个人信息生命周期,个人信息收集到彻底销毁的整个生命周期,是个人信
息管理者向个人信息主体提供服务的管理过程。该标准正文亦提到个人信息周期(如 5.2.3 b
5)),如何解读呢?
3、缺失管理体系的规则。企业管理是多维、发散的,因而,个人信息管理需要体系聚
焦。虽然组织内可能存在多个体系,并不能完全覆盖个人信息安全。规则的执行需要体系的
要素聚集和管理。
4、缺失管理机制设计。管理是安全的根本,缺失了管理机制,如何保证规则的有效性。
GDPR 设计了数据保护官员(data protection officer)的法条,相对应的,特别是在中国国情
下,需要标准的管理机制规则设计,以保证责任主体的职责。
6、个人信息定义的风险。个人信息安全规范将敏感的个人信息和个人信息的敏感性混
为一谈,为个人信息安全风险再添一薪。GDPR 特别明确特殊种类个人信息(亦即敏感的个
人信息)的法条,对敏感的个人信息的总的认识,中外一致,内容有所区别,但 GDPR 的
认定,应符合未来中国的发展。
……,关于《个人信息安全规范》的意见(参见附录)。
该标准基准的缺陷,使该标准某些规则成为无本之木。
二、关于该标准的立意
个人信息安全影响评估,取自 GDPR。原意“Data protection impact assessment ”,不能
简单地译成数据保护影响评估,结合 context,似应译为数据保护风险评估更为合适。
个人信息安全影响评估,顾名思义,对个人信息安全可能产生影响的因素评估,譬如,
个人信息跨境委托。与个人信息安全风险相关,但是完全不同的 2 个概念。
GDPR 是基于自动处理的法案。“Data protection impact assessment ”是在数据的自动处
理中评估各种不确定性可能产生的影响,因此,“Data protection impact assessment ”不是简
单的影响评估,是风险评估。
如果此法案基于中国,应该设计相应的风险管理标准,而不是四不像的影响评估标准。
三、关于标准结构
由于该标准基准的严重缺陷和 GDPR 的不适当解读,该标准缺乏一条清晰的逻辑主线。
既要“发现、处置和持续监控个人信息处理过程中的安全风险”,又“必须在收集和处理个
人信息前开展个人信息安全影响评估”,这是 2 条完全不同的标准路径(虽然相关)。如果评
估影响个人信息安全的因素,个人信息安全影响评估标准应引用个人信息安全风险管理标
准,构成完整的评估体系。
一味囫囵模仿 GDPR,既无完整的评估规则,亦使风险管理琐碎化,因而,整个标准呈
现似是而非的逻辑。
四、关于标准正文
剩余13页未读,继续阅读
资源评论
exec4562023-02-20感谢大佬分享的资源给了我灵感,果断支持!感谢分享~
