在2018年第一次全国信安标委网络安全标准工作周上(4月),《个人信息安全影响评估指南》成功进展到了征求意见稿。目前,2018年度第二次工作周正在青岛举行。刚刚,公号君代表标准编制工作组汇报了从4月到10月这个期间的工作进展。现在把汇报的PPT贴出来供大家参考。
顺便提下,DPO社群已经完成了对第29条工作组对GDPR中的数据保护影响评估(Data Protection Impact Assessment, DPIA)指导意见的翻译工作——《关于数据保护影响评估(DPIA)以及确定处理是否“可能导致高风险”以达到2016/679号法规目的的指南》。经过进一步校对后,将很快与大家见面。
总的来说,欧盟、印度、巴西加起来20亿人口,都在其个人信息保护相关法律中规定了数据保护影响评估的内容。美国产业界、商务部、NIST抛出来的隐私立法立场文件中,也都积极倡导风险为基础的路径。美国商务部NTIA直言:风险管理是本届政府开展隐私保护的基本路径。
可以预见,在未来我国立法很可能引入类似的影响评估要求。目前,国家标准《个人信息安全规范》初步对个人信息安全影响评估作出了要求,但没有对此提出如何开展评估和如何落地。希望我们制定的这个标准能在明年发布,对组织开展类似工作提供方法论上的指导。
以下是汇报的PPT
声明:本文来自网安寻路人,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。