《信息安全技术 个人信息安全 影响评估指南》发布

JoyLegal享法

发布时间: 18-06-2511:29

6月13日,全国信息安全标准化技术委员会发布国家标准《信息安全技术 个人信息安全影响评估指南》征求意见稿征求意见的通知。标准主要内容分为6个章节,分别针对个人信息安全影响评估的原理和框架、评估流程、评估的具体实施方式进行了详细的说明,资料性附录中给出了评估过程使用的判定准则和工具表。

享说

“十三五”规划纲要提出要“建立大数据安全管理制度,实行数据资源分类分级管理,保障安全高效可信应用。实施大数据安全保障工程,加强数据资源在采集、存储、应用和开放等环节的安全保护,加强各类公共数据资源在公开共享等环节的安全评估与保护,建立互联网企业数据资源资产化和利用授信机制。加强个人信息保护,严厉打击非法泄露和出卖个人数据行为。”因此面向未来,具备科学性、有效性、可操作性的个人信息保护框架和模式成为落实“十三五”规划纲要要求的重要保障。

《网络安全法》的发布,对个人信息保护也做出专门规定。而《个人信息安全规范》可以看作我国个人信息安全领域的基础标准,强调展开个人信息安全影响影响评估工作,旨在发现、处置和持续监控个人信息处理过程中的安全风险。规范有效地实施个人信息安全风险评估是个人信息安全要求落地的关键。

《个人信息安全影响评估指南》的编制遵循先进性、开放性、适应性、简明性、中立性、一致性的原则,是《个人信息安全规范》的配套标准。《个人信息安全影响评估指南》的核心思路是针对个人信息处理活动,评估可能对个人权益造成的影响以及风险,影响主要包括四个方面:

一是,影响个人自主决定权,比如被强迫执行不愿执行的操作、无法更正错误上传的个人信息、无法选择推送广告的种类、被蓄意推送影响个人价值观判断的资讯;

二是,引发差别性待遇,比如隐私信息(疾病、婚史、种族等)泄露造成的歧视、故意设置个人福利、资格、权利的差别等;

三是,个人名誉受损或遭受精神压力,比如公开不愿为人知的事实(生活习惯、以往经历等),被频繁骚扰、监视追踪等;

四是,个人财产受损或遭受人身伤害,比如账户被盗、遭受诈骗、被勒索恐吓、限制自由等。

《个人信息安全影响评估指南》规定了个人信息安全影响评估的基本概念、框架、方法和流程,并提出了特定场景下进行评估的具体方法。适用于各类组织自行开展个人信息安全影响评估工作。同时为国家主管部门、第三方测评机构等开展个人信息安全监管、检查、评估等工作提供的指导和依据。

举报/反馈