| 问题 | 个人信息保护影响 |
| 释义 | 个人信息保护影响评估(PIA)是针对个人信息处理活动,检查其合法合规程度,判断其对个人信息主体合法权益造成损害的各种风险,以及评估用于保护个人信息主体的各项措施有效性的过程。在特定情形下个人信息处理者应当事前进行个人信息保护影响评估,且评估报告和处理记录应当至少保存三年。 二、为什么要做个人信息保护影响评估? (一)个人信息保护影响评估是法律明确规定的强制性义务 如上文所述,《个人信息保护法》第五十五条明确规定了个人信息处理者应当进行PIA的几种情形,企业数据处理如果存在其中任何一种情形,PIA都将成为企业必须进行的合规项目。 (二)个人信息保护影响评估是其他合规项目审查的必查文件 PIA作为个人信息处理者的基础合规要求,是某些特定行为审查的合规要求之一。例如,近日发布的《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》明确规定了个人信息跨境认证的合规要求中包括了企业必须完成个人信息安全影响评估。 (三)个人信息保护影响评估是面对监管的有效抗辩 企业面对监管机构或商业伙伴的调查、执法、合规性审计等活动时,可以证明其遵守了个人信息保护与数据安全等方面的法律、法规和标准的要求;如发生数据安全事件,PIA可用于证明企业已经主动评估风险并采取一定的安全保护措施,有助于减轻、甚至免除企业相关责任和名誉损失。 二、风险评估、报告输出及整改建议 综合考虑安全事件可能性和个人权益影响程度两个要素,综合分析得出个人信息处理活动的安全风险等级。在完成针对特定个人信息处理活动影响评估之后,综合针对所有相关个人信息处理活动的评估结果,形成对企业整体的风险等级,并出具评估报告。企业需要进一步落实报告中提出的整改方案。 法律依据 《中华人民共和国个人信息保护法》 第五十一条 个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取下列措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失: (一)制定内部管理制度和操作规程; (二)对个人信息实行分类管理; (三)采取相应的加密、去标识化等安全技术措施; (四)合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训; (五)制定并组织实施个人信息安全事件应急预案; (六)法律、行政法规规定的其他措施。 |
| 随便看 |
|
法律咨询免费平台收录17839362条法律咨询问答词条,基本涵盖了全部常用法律问题的释义及解答,是法律学习及实务的有利工具。