没有合适的资源?快使用搜索试试~ 我知道了~
关于“信息安全技术 个人信息安全影响评估指南”的意见.pdf
1.该资源内容由用户上传,如若侵权请联系客服进行举报
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
版权申诉
5星 · 超过95%的资源 1 下载量 24 浏览量
2022-06-10
14:14:39
上传
评论
收藏 711KB PDF 举报
温馨提示
试读
14页
关于“信息安全技术 个人信息安全影响评估指南”的意见.pdf关于“信息安全技术 个人信息安全影响评估指南”的意见.pdf关于“信息安全技术 个人信息安全影响评估指南”的意见.pdf关于“信息安全技术 个人信息安全影响评估指南”的意见.pdf关于“信息安全技术 个人信息安全影响评估指南”的意见.pdf关于“信息安全技术 个人信息安全影响评估指南”的意见.pdf关于“信息安全技术 个人信息安全影响评估指南”的意见.pdf关于“信息安全技术 个人信息安全影响评估指南”的意见.pdf
资源推荐
资源详情
资源评论
关于“信息安全技术 个人信息安全影响评估指南”的意见
中国有自己的国情、环境、传统、文化等,以及汉语语境、习惯等,标准、法规不能离
开这个基础。不能一味踩着欧美的脚印。个人信息安全规范和个人信息安全影响评估指南,
完全是西式思维,特别是概念、术语、章节等,却又希望自创一些难以说清的东西。
一、关于该标准基准
“信息安全技术 个人信息安全影响评估指南”是基于《个人信息安全规范》的配套标
准。但《个人信息安全规范》本身就存在着极大的安全风险。主要包括:
1、未能明确个人信息主体权利,个人信息主体的基本权利,必须藉标准清晰、明确的
规范,以使个人信息主体在明确同意收集个人信息时,清楚地了解自己必须具有的权利,即
使有法律规则,并不能替代标准的作用。
2、没有定义个人信息生命周期,个人信息收集到彻底销毁的整个生命周期,是个人信
息管理者向个人信息主体提供服务的管理过程。该标准正文亦提到个人信息周期(如 5.2.3 b
5)),如何解读呢?
3、缺失管理体系的规则。企业管理是多维、发散的,因而,个人信息管理需要体系聚
焦。虽然组织内可能存在多个体系,并不能完全覆盖个人信息安全。规则的执行需要体系的
要素聚集和管理。
4、缺失管理机制设计。管理是安全的根本,缺失了管理机制,如何保证规则的有效性。
GDPR 设计了数据保护官员(data protection officer)的法条,相对应的,特别是在中国国情
下,需要标准的管理机制规则设计,以保证责任主体的职责。
6、个人信息定义的风险。个人信息安全规范将敏感的个人信息和个人信息的敏感性混
为一谈,为个人信息安全风险再添一薪。GDPR 特别明确特殊种类个人信息(亦即敏感的个
人信息)的法条,对敏感的个人信息的总的认识,中外一致,内容有所区别,但 GDPR 的
认定,应符合未来中国的发展。
……,关于《个人信息安全规范》的意见(参见附录)。
该标准基准的缺陷,使该标准某些规则成为无本之木。
二、关于该标准的立意
个人信息安全影响评估,取自 GDPR。原意“Data protection impact assessment ”,不能
简单地译成数据保护影响评估,结合 context,似应译为数据保护风险评估更为合适。
个人信息安全影响评估,顾名思义,对个人信息安全可能产生影响的因素评估,譬如,
个人信息跨境委托。与个人信息安全风险相关,但是完全不同的 2 个概念。
GDPR 是基于自动处理的法案。“Data protection impact assessment ”是在数据的自动处
理中评估各种不确定性可能产生的影响,因此,“Data protection impact assessment ”不是简
单的影响评估,是风险评估。
如果此法案基于中国,应该设计相应的风险管理标准,而不是四不像的影响评估标准。
三、关于标准结构
由于该标准基准的严重缺陷和 GDPR 的不适当解读,该标准缺乏一条清晰的逻辑主线。
既要“发现、处置和持续监控个人信息处理过程中的安全风险”,又“必须在收集和处理个
人信息前开展个人信息安全影响评估”,这是 2 条完全不同的标准路径(虽然相关)。如果评
估影响个人信息安全的因素,个人信息安全影响评估标准应引用个人信息安全风险管理标
准,构成完整的评估体系。
一味囫囵模仿 GDPR,既无完整的评估规则,亦使风险管理琐碎化,因而,整个标准呈
现似是而非的逻辑。
四、关于标准正文
虽然该标准存在上述问题,仍须商榷标准正文存在的缺陷:
1、范围
“国家主管部门、第三方测评机构等开展个人信息安全监管、检查、评估等工作提供的
指导和依据”,该标准尚显单薄,且路径不清晰。
2、术语 3.1
“检验其合法合规程度,判断其对个人信息主体合法权益造成损害的各种风险”,这应
该是 2 条标准路径,如此定义易引起歧义。
如前述,个人信息安全影响评估,是对个人信息安全可能产生影响的因素评估,包括合
法合规,与风险相关,但不是风险管理,应引用风险管理标准。
3、4.1
1)“个人信息安全影响评估是个人信息控制者实施风险管理的重要组成部分”,个人信
息安全影响评估与风险相关,但不能等同于风险管理,绝不能与风险管理混淆。
个人信息安全影响评估,既脱胎于 GDPR,应依据 GDPR 的语境理解为风险评估,而
非影响评估。
2)“发现、处置和持续监控个人信息处理过程中的安全风险”,在个人信息生命周期内,
个人信息安全风险不止于此,且紧密相关,仅仅发现、处置和持续监控个人信息处理过程中
的安全风险,其它相关风险如何管理?这里存在规则缝隙和边界效应。
3)“发现、处置和持续监控个人信息处理过程中的安全风险。一般情况下,个人信息控
制者必须在收集和处理个人信息前开展个人信息安全影响评估”,如前述,这是 2 条标准路
径。
个人信息生命周期是个人信息管理者提供服务管理的过程,在收集、处理个人信息前,
应设计相应的管理目标、管理计划、管理组织和策略等,并据此评估个人信息安全影响,这
是评估的前提,无它,评估则为浮萍。
4)“明确个人信息保护边界”、“……持续修正个人信息保护边界”,边界在哪里?如何
描述和定义?以 DB21/T 1628.2 的边界定义为例:
“个人信息管理者依据 DB21/T 1628.1 6.4 履行个人信息管理责任,应限定管理边界:
a)层级和权责:个人信息管理者内部管理、业务层次和权限、责任;
b)部门间:个人信息管理者内部各部门之间的关联、影响;
c)外部:个人信息管理者与客户、社会组织之间的关联和影响;
d)个人:个人信息管理者的员工行为和责任。”
5)“对个人信息主体权益造成的影响”,注意,这里是个人信息主体权益。
6)“业务现状、威胁环境、法律法规、标准要求等情况持续修正个人信息保护边界”,
个人信息安全的边界应是管理边界,应根据组织运营环境、组织管理环境、业务变化等修正。
7)“使个人信息处理过程处于风险可控的状态”,如何风险可控呢?所以,该标准似是
而非。
4、4.2
1)“a)识别对个人权益造成的影响”。注意,这里是个人权益,与个人信息主体权益是
什么关系?同样,不能简单抄袭GDPR“rights and freedoms of natural persons”,是否基于欧
盟的环境理解了 GDPR 的原意?
2)“b)为产品和业务设计阶段的个人信息保护……”、“c)评审新上线信息系统在处理
个人信息时……”,同《个人信息安全规范》,该标准的基础是什么?应该如何解读 b)、c)?
如同 GDPR 明确“applies to the processing of personal data wholly or partly by automated
means”。
3)“向相关方共享安全风险并采取风险处置措施”,相关方是什么概念?共享安全风险
是什么概念?商业活动存在多主体风险共担,个人信息安全如何共享安全风险?是否各方都
承担责任、义务?各方之间的安全缝隙如何解决?风险处置措施应由哪一方实施,如何确定
职责……。
如果依据 5.2.4 确定的相关方,所列各个相关方存在不同的情况,如个人信息主体,提
供个人信息存在风险,但风险管理责任在个人信息管理者,个人信息主体主张权利;如所谓
消费者代表,安全风险责任存在个人信息管理者;如业务合作伙伴,确实合作双方均应承担
风险,但不是共享,而是安全风险责任随个人信息相关业务转移等等。
共享安全风险存在着严重的规则缝隙,且为风险责任主体提供开脱的机会。
4)“向合规部门反馈证据”,合规部门的职责是什么?风险处置不应该是合规部门的职
责,应该如何解决?
5)“个人信息安全影响评估通常被视为一种预警机制”,所谓预警机制,应建立在风险
管理基础上,而非影响评估。
6)“为组织提供一种安全风险发现方法,用于发现个人信息的处理过程中存在的安全风
险”,这应该不是影响评估的功能,特别是该标准没有,也并不能解决这个问题。
7)“如果安全风险的影响非常严重且无法预防或保护”,这应该是安全风险的等级,而
非影响评估的程度。
8)“通过尽早考虑个人信息安全问题降低时间管理成本、法律费用以及潜在的媒体或公
众担忧”、“个人信息安全影响评估不仅是简单的合规性检查,还可以帮助组织在持续合规性
审计或调查中证明其遵守了相关个人信息与数据保护法律、法规和标准要求。如果发生个人
信息安全风险或违规事件”,这应该是影响评估应解决的问题。
9)“发生个人信息安全风险或违规事件”,这是 2 个问题,2 个标准路径……
本节完全是企业合规的思维,没有跳出这个思维,站在一定高度考虑个人信息安全,强
行将合规与安全风险扭在一起,价值观扭曲。
5、4.3
1)这一节比较突兀,在整个标准结构中的位置似乎不妥。
2)“对于个人信息主体,个人信息安全影响评估是一种工具,可确保个人信息主体的个
人信息得到有效保护”,只是工具,不可能确保。
3)“个人信息安全影响评估是一种工具,用于管理个人信息安全风险、提升意识、建立
责任制度;……”,有相应的管理机制、管理策略等的规则吗?个人信息安全规范恰恰缺失
了这一关键规则。
6、4.4
“应由最高级别的个人信息安全影响评估管理员负责确保评估流程的执行及结果的质
量。经指派负责进行个人信息安全影响评估的人员可选择自行执行评估流程,或请求其他内
部和/或外部相关方提供帮助,或将个人信息安全影响评估流程外包给独立第三方”
1)个人信息安全影响评估管理员怎么出现的?职责是什么?如何评判质量?
2)负责进行个人信息安全影响评估的人员的职责是什么?根据和如何选择或请求?
3)如何判断评估质量?等
7、4.5
1)“个人信息主体范围和程度”,个人信息主体是自然人个体,一个自然人的范围和程
度是什么?
2)“个人信息安全影响评估的规模往往取决于受到影响的个人信息主体范围和程度。如
果影响的对象仅为组织内部员工时,可以仅针对员工的典型代表开展小规模的评估;如果政
府部门希望为公民福利建议一个新的标识符管理系统,则需要实施一个更大范围的个人信息
安全影响评估活动,同时涵盖外部的相关方”,本段语焉不详:
剩余13页未读,继续阅读
资源评论
- exec4562023-02-20感谢大佬分享的资源给了我灵感,果断支持!感谢分享~
xxpr_ybgg
- 粉丝: 6449
- 资源: 3万+
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功