企业如何开展个人信息安全影响评估(PIA)二

在这里插入图片描述

基本概念
根据《信息安全 技术个人信息安全影响评估指南》(GB/T 39335—2020;personal information security impact assessment,简称“PIA”),个人信息安全影响评估是指针对个人信息处理活动,检验其合法合规程度,判断其对个人信息主体合法权益造成损害的各种风险,以及评估用于保护个人信息主体的各项措施有效性的过程。个人信息安全影响评估旨在发现、处置和持续监控个人信息处理过程中对个人信息主体合法权益造成不利影响的风险。

基本原理
个人信息安全影响评估旨在发现、处置和持续监控个人信息处理过程中对个人信息主体合法权益造成不利影响的风险。开展评估前, 需对待评估的对象(可为某项产品、某类业务、某项具体合作等) 进行全面的调研, 形成清晰的数据清单及数据映射图表,并梳理出待评估的具体的个人信息处理活动。开展评估时, 通过分析个人信息处理活动对个人信息主体的权益可能造成的影响及其程度,以及分析安全措施是否有效、是否会导致安全事件发生及其可能性, 综合两方面结果得出个人信息处理活动的安全风险及风险等级, 并提出相应的改进建议, 形成评估报告。

什么时候需要进行个人信息保护影响评估

0
1

必须进行个人信息保护影响评估情形

根据《中华人民共和国个人信息保护法》规定,有下列情形之一的,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录:
1.处理敏感个人信息;
2.利用个人信息进行自动化决策;
3.委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;
4.向境外提供个人信息;
5.其他对个人权益有重大影响的个人信息处理活动。

根据《信息安全技术 个人信息安全规范》(GB/T 35273—2020)规定,个人信息控制者应建立个人信息安全影响评估制度,评估并处置个人信息处理活动存在的安全风险。在产品或服务发布前,或业务功能发生重大变化时,应进行个人信息安全影响评估。在法律法规有新的要求时,或在业务模式、信息系统、运行环境发生重大变更时,或发生重大个人信息安全事件时,应进行个人信息安全影响评估。

0
2

企业自主进行个人信息安全影响评估

  企业以合规管理、提升自身安全风险管理能力和安全水平的目的主动进行个人信息安全影响评估。企业自主启动个人信息安全影响评估的必要性, 取决于组织的个人信息安全目标,组织可根据实际的需求选取需要启动评估的业务场景。个人信息安全影响评估可用于合规差距分析, 也可以用于合规之上、进一步提升自身安全风险管理能力和安全水平的目的。

合规差距评估。当组织定义的个人信息安全目标为符合相关法律、法规或标准的基线要求时, 则个人信息安全影响评估主要目的在于识别待评估的具体个人信息处理活动已采取的安全控制措施,与相关法律、法规或标准的具体要求之间的差距, 例如在某业务场景中与第三方共享个人信息, 是否取得了个人信息主体的明示同意。
尽责性风险评估。出于审慎经营、声誉维护、品牌建立等目的, 组织往往选取可能对个人合法权益产生高风险的个人信息处理活动, 开展尽责性风险评估。此种风险评估的目标, 是在符合相关法律、法规和标准的基线要求之上, 尽可能降低对个人信息主体合法权益的不利影响。
03

由哪个主体进行个人信息影响安全评估

个人信息处理者

基本概念
进行个人信息安全影响评估的主体,在《个人信息保护法》中规定为“个人信息处理者”,《个人信息安全规范》规定为 “个人信息控制者”。在中华人民共和国法律体系下,个人信息处理者和个人信息控制者均是指在个人信息处理活动中自主或有能力决定个人信息处理目的、处理方式的组织、个人。
因此,就组织形式而言,公司、企业及外国机构驻中国代表处等组织都可以成为个人信息处理者。

牵头部门
通常而言, 公司等开展个人信息保护影响评估工作可以由其法务部门、合规部门或其信息安全部门牵头执行。上述企业内部的责任部门可以根据部门的具体能力配备情况, 自行开展个人信息保护影响评估工作或聘请外部独立的第三方来承担具体的评估工作。
个人信息保护影响评估工作应当具有独立性,应在不受被评估方影响的前提下进行。一般建议聘请外部独立的第三方与企业内部的责任部门协作,共同完成个人信息保护影响评估工作。

04

个人信息影响安全评估需要评估哪些内容

PIA评估内容

《个人信息安全保护法》
个人信息保护影响评估应当包括下列内容:

  1. 个人信息的处理目的、处理方式等是否合法、正当、必要;
  2. 对个人权益的影响及安全风险;
  3. 所采取的保护措施是否合法、有效并与风险程度相适应。

《信息安全技术 个人信息安全规范》
个人信息安全影响评估内容包括但不限于:
1.个人信息收集环节是否遵循目的明确、选择同意、最小必要等原则;
2.个人信息处理是否可能对个人信息主体合法权益造成不利影响,包括是否会危害人身和财产安全、损害个人名誉和身心健康、导致差别性待遇等;
3.个人信息安全措施的有效性;
4.匿名化或去标识化处理后的数据集重新识别出个人信息主体或与其他数据集汇聚后重新识别出个人信息主体的风险;
5.共享、转让、公开披露个人信息对个人信息主体合法权益可能产生的不利影响;
6.发生安全事件时,对个人信息主体合法权益可能产生的不利影响。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/81214.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

jvm-运行时数据区概述及线程

1.运行时数据区内部结构 不同的jvm对于内存的划分方式和管理机制存在着部分差异 java虚拟机定义了若干种程序运行期间会使用到的运行时数据区,其中有一些会随着虚拟机的启动而创建,随着虚拟机的退出而销毁,另外一些则是与线程一一对应的&…

Spring Boot 统一功能处理

目录 1.用户登录权限效验 1.1 Spring AOP 用户统一登录验证的问题 1.2 Spring 拦截器 1.2.1 自定义拦截器 1.2.2 将自定义拦截器加入到系统配置 1.3 拦截器实现原理 1.3.1 实现原理源码分析 2. 统一异常处理 2.1 创建一个异常处理类 2.2 创建异常检测的类和处理业务方法 3. 统一…

【C# 基础精讲】LINQ to XML查询

LINQ to XML 是 C# 中用于查询和操作 XML 数据的强大工具。它允许您使用 LINQ 查询语法对 XML 文档进行查询、过滤、投影等操作,从而更加方便地处理 XML 数据。本文将详细介绍 LINQ to XML 的基本概念、常见操作以及示例,帮助您了解如何在 C# 中使用 LIN…

微软Win11 Dev预览版Build23526发布

近日,微软Win11 Dev预览版Build23526发布,修复了不少问题。牛比如斯Microsoft,也有这么多bug,所以你写再多bug也不作为奇啊。 主要更新问题 [开始菜单] 修复了在高对比度主题下,打开开始菜单中的“所有应…

泛型编程 学习笔记

#include "iostream"using namespace std;template<typename T> void Print(T a) {cout << a << endl; }int main() {int a 5;double b 2.3;char c e;string d "sdfasd";Print(a);Print(b);Print(c);Print(d);return 0; } 它可以不用…

LLaMA-7B微调记录

Alpaca&#xff08;https://github.com/tatsu-lab/stanford_alpaca&#xff09;在70亿参数的LLaMA-7B上进行微调&#xff0c;通过52k指令数据&#xff08;https://github.com/tatsu-lab/stanford_alpaca/blob/main/alpaca_data.json&#xff09;&#xff0c;在8个80GB A100上训…

【Java转Go】快速上手学习笔记(一)之环境安装篇

前言 前两天开始学习Go&#xff0c;需要写篇笔记记录总结一下。 Go它也是可以做web开发的&#xff0c;就像Java一样&#xff0c;做JavaWeb项目&#xff0c;Go也可以做GoWeb项目。当然Go的作用用处肯定不止这个&#xff0c;还有很多&#xff0c;只是因为我目前的话&#xff0c…

threejs使用gui改变相机的参数

调节相机远近角度 定义相机的配置&#xff1a; const cameraConfg reactive({ fov: 45 }) gui中加入调节fov的方法 const gui new dat.GUI();const cameraFolder gui.addFolder("相机属性设置");cameraFolder.add(cameraConfg, "fov", 0, 100).name(…

代码随想录-字符串01 344.反转字符串541. 反转字符串II替换空格翻转字符串里的单词左旋转字符串

题目目录 ● 344.反转字符串 ● 541. 反转字符串II ● 剑指Offer 05.替换空格 ● 151.翻转字符串里的单词 ● 剑指Offer58-II.左旋转字符串 344.反转字符串 344.反转字符串 很经典的字符串考察点&#xff0c;考察对双指针的熟悉程度。 解法是通过双指针从字符串数组两边向中…

ajax-axios-url-form-serialize 插件

AJAX AJAX 概念 1.什么是 AJAX ? mdn 使用浏览器的 XMLHttpRequest 对象 与服务器通信 浏览器网页中&#xff0c;使用 AJAX技术&#xff08;XHR对象&#xff09;发起获取省份列表数据的请求&#xff0c;服务器代码响应准备好的省份列表数据给前端&#xff0c;前端拿到数据数…

Vue3 setup中使用$refs

在 Vue 3 中的 Composition API 中&#xff0c;$refs 并不直接可用于 setup 函数。这是因为 $refs 是 Vue 2 的实例属性&#xff0c;而在 Vue 3 中&#xff0c;setup 函数是与模板实例分离的&#xff0c;不再使用实例属性。 实际工作中确实有需求&#xff0c;在setup 函数使用…

windows服务器下java程序健康检测及假死崩溃后自动重启应用、开机自动启动

前两天由于项目需要&#xff0c;一个windows上的批处理任务&#xff08;kitchen.bat&#xff09;&#xff0c;需要接到mq的消息通知后执行&#xff0c;为了快速实现这里我们通过springboot写了一个jar程序&#xff0c;用于接收mq的消息&#xff0c;并调用bat文件。 本程序需要实…

MFC140.dll缺失的修复方法,安装MFC140.dll文件

大家好&#xff0c;今天我要和大家分享的是如何正确安装和使用MFC140.dll。MFC140.dll是一种常见的动态链接库文件&#xff0c;它是Microsoft Foundation Classes(MFC)的一部分&#xff0c;被广泛应用于Windows操作系统中的各种应用程序中。在本文中&#xff0c;我们将详细介绍…

Debian10: 安装nut服务器(UPS)

UPS说明&#xff1a; UPS的作用就不必讲了&#xff0c;我选择是SANTAKTGBOX-850&#xff0c;规格为 850VA/510W&#xff0c;可以满足所需&#xff0c;关键是Debian10自带了驱动可以支持&#xff0c;免去安装驱动&#xff0c;将UPS通过USB线连接服务器即可&#xff0c;如下图所示…

大模型基础02:GPT家族与提示学习

大模型基础&#xff1a;GPT 家族与提示学习 从 GPT-1 到 GPT-3.5 GPT(Generative Pre-trained Transformer)是 Google 于2018年提出的一种基于 Transformer 的预训练语言模型。它标志着自然语言处理领域从 RNN 时代进入 Transformer 时代。GPT 的发展历史和技术特点如下: GP…

Java 日期格式(yyyy-MM-dd HH:mm:ss SSS)

常用格式为&#xff1a;yyyy-MM-dd HH:mm:ss 以 2019-12-31 06:07:59:666 时间为例&#xff1a; 字符 含义 Example y&#xff08;小写的y&#xff09; 年 yyyy---->2019 M&#xff08;大写的M&#xff09; 月 MM---->12 d&#xff08;小写的d&#xff09; 一…

论文笔记 Graph Attention Networks

2018 ICLR 1 intro 1.1. GCN的不足 无法完成inductive任务 inductive任务是指&#xff1a; 训练阶段与测试阶段需要处理的graph不同。通常是训练阶段只是在子图上进行&#xff0c;测试阶段需要处理未知的顶点。GGN 的参数依赖于邻接矩阵A/拉普拉斯矩阵L&#xff0c;所以换了…

DTC 19服务学习1

在UDS&#xff08;统一诊断服务&#xff09;协议中&#xff0c;0x19是用于DTC&#xff08;诊断故障代码&#xff09;信息的服务。以下是你提到的子服务的功能和作用&#xff1a; 0x01 - 报告DTC按状态掩码。这个子服务用于获取当前存储在ECU中的DTC列表。状态掩码用于过滤DTC&a…

【Mariadb高可用MHA】

目录 一、概述 1.概念 2.组成 3.特点 4.工作原理 二、案例介绍 1.192.168.42.3 2.192.168.42.4 3.192.168.42.5 4.192.168.42.6 三、实际构建MHA 1.ssh免密登录 1.1 所有节点配置hosts 1.2 192.168.42.3 1.3 192.168.42.4 1.4 192.168.42.5 1.5 192.168.42.6 …

听GPT 讲Prometheus源代码--rules

Prometheus的rules目录主要包含规则引擎和管理规则的文件: engine.go 该文件定义了规则引擎的接口和主要结构,包括Rule,Record,RuleGroup等。它提供了规则的加载、匹配、评估和结果记录的功能。 api.go 定义了用于管理和查询规则的RESTful API,包括获取、添加、删除规则等方法。…