个人信息保护影响评估制度的困境与反思

个人信息保护影响评估制度是一种事前合规检验,在当前大数据时代,对于制约个人信息处理者的行为,保护信息主体的个人信息安全具有关键性作用。当前,我国的个人信息保护影响评估制度的有关法律规定不够完善、适用范围过于广泛、缺乏中立的监管等,这些问题可能会影响评估的公正性。为了更好发挥制度功能,切实维护个人信息安全,需要有针对性的进行完善,包括建立“三方评估体系”、设定科学合理的执行程序等,只有及时有效的完善该制度,才能确保影响评估的公正客观,预防个人信息安全遭到侵害。

个人信息保护影响评估制度的优化路径--基于元治理理论视阈

个人信息保护影响评估制度的革新意义,在于“对传统风险评估制度的矫正纠偏”和“对个人信息保护方式的弥补与强化”,该制度在提高个人信息处理透明度、改善信息主体弱势地位、协调公私利益等方面发挥着积极作用。现有个人信息保护影响评估制度存在评估范围不详备、评估制度落实不严格、程序性设置不合理等弊端。元治理理论以自我规制为主,以有限政府规制为辅,与个人信息保护影响评估所追求的“全面性、动态性”的目标框架相契合,为优化个人信息保护影响评估制度提供了理念指引。应着力于完善个人信息保护影响评估制度的程序性规定,使评估适用范围向精细化和场景化转型,构建个人信息保护影响评估指标体系。

个人信息安全影响评估标准在支付业务领域的应用实践

围绕《中华人民共和国个人信息保护法》提出的个人信息保护影响评估要求,遵循GB/T 39335—2020《信息安全技术个人信息安全影响评估指南》,构建符合企业业务实际的个人信息保护影响评估体系,通过评估业务或产品对个人的自主选择权、财产权、公平权等权益的影响程度以及个人信息全生命周期安全保护措施的适应性,并配套管理制度和平台工具,提前识别并降低业务可能存在的个人信息安全风险,主要应用在转接清算、二维码支付、无卡支付等各种支付业务场景且取得良好效果。

个人信息保护影响评估的程序法规制

个人信息保护影响评估是个人信息保护的重要预防措施,具有多重制度价值和功能。我国现行个人信息保护评估制度突出的缺陷是缺乏程序性规制。未来我国应以现行制度的实体性规则为基础,完善支撑个人信息保护影响评估实施的程序性规则,从实体法和程序法两个方面落实个人信息保护。综合我国现有法律规范和技术规范,借鉴域外有关个人隐私影响评估的程序和实施机制的经验,建议构建我国个人影响评估的程序制度和实施机制应从以下几个方面入手:新设第三方评估制度,完善评估方法以及程序,明晰评估基准,还需明确评估结果的提交、公开和监督制度以及当个人信息处理者对评估结果未予履行时的处置措施等。未来,个人信息保护整个制度都应完善程序法规制。

实施个人信息保护影响评估,推动个人信息保护“关口前移”

2021年11月1日,《个人信息保护法》(以下简称《个保法》)的正式施行,可以说在我国个人信息保护法治建设具有里程碑意义。《个保法》内容具备系统性、针对性和可操作性特点,规范了个人信息处理活动,明确了组织的法律责任和义务,为个人信息保护提供了强有力的法律保障。与此同时,《个保法》创新性地提出了众多有助于个人信息保护的新举措,其中,《个保法》第五十五、五十六条所提出的“个人信息保护影响评估”便是一项有助于推动个人信息保护“关口前移”的重点工作。

个人信息保护影响评估:制度内涵与完善路径

《个人信息保护法》第55条明确提出了个人信息处理者在开展个人信息处理活动前进行个人信息保护影响评估的要求。国际上在个人信息处理领域存在隐私影响评估、数据保护影响评估、算法影响评估三种典型样态。隐私影响评估与数据保护影响评估的保护范围大致相同;数据保护影响评估主要关注个人权利的保护,算法影响评估具有更广泛的社会公共利益价值导向。我国个人信息保护影响评估在制度定位上与数据保护影响评估一脉相承,应更多纳入对社会群体造成影响的公共利益方面的考量。个人信息保护影响评估制度缺乏向公众强制披露的机制,同时带来了监督与问责的障碍,需要充分整合政府机构、社会公众、行业组织等多元力量建立协同监督的客观机制,以弥补现有个人信息保护影响评估制度透明度、正当程序、公众审查空间不足的问题。

论个人信息保护影响评估——以《个人信息保护法》第55、56条为中心

个人信息保护影响评估属于受强制的自我规制,是一种事前性的合规评估和风险评估程序。作为数据治理重要工具的个人信息保护影响评估,可以检验个人信息处理是否合规,有助于识别并降低个人信息安全风险,有利于减轻或免除个人信息处理责任。当前我国个人信息保护影响评估的适用范围过于宽泛,缺乏必要的限定条件,可能对个人信息处理者带来过大的评估压力,同时极易导致评估流于形式。为了更全面地保护个人信息,国家机关也应履行个人信息保护影响评估义务。应特别重视设计参与程序、复审程序、事先咨询程序、公开程序等评估程序,以保障个人信息保护影响评估的客观性和有效性。个人信息保护影响评估的行为应包括个人信息处理活动和采取的保护措施,评估的影响应包括确定的实际影响和潜在的不确定性影响。

联邦学习的个人信息保护合规分析框架

联邦学习在个人信息保护意义下的合规分析需进一步完善,尤其需要技术与法律更紧密结合.故建立识别适用规定、定性数据流、识别处理行为、定性主体身份、识别责任义务和合规风险分析6步骤合规分析框架.框架对经典的横向纵向联邦学习架构足以给出具体、与适用规定存在紧密逻辑关系的合规结论;并可推广至其他架构或隐私计算技术合规分析;可融入其他国家或地区的合规要求;有助于满足《中华人民共和国个人信息保护法》对个人信息处理影响评估的要求.最后,基于框架及其分析结论,对联邦学习的个人信息保护标准制定提出建议.

《个人信息保护法》背景下政府涉个人隐私信息公开的限度

政府涉个人隐私信息公开的制度罅隙导致的“个人隐私界定难题”和“个人隐私—公共利益衡平难题”在《个人信息保护法》背景下愈发突出。解决“个人隐私界定难题”需明晰个人隐私信息的内容边界,这构成了政府涉个人隐私信息公开的内向限度。对隐私权内容边界的确立可以借助“列举式保障”联合“隐私价值评定”的双重理论架构来指导实践,通过引进隐私影响评估工具评定隐私价值,进而识别、界定个人隐私信息的边界。同时,解决“个人隐私—公共利益衡平难题”需调和个人隐私利益与公共利益的张力,这构成了政府涉个人隐私信息公开的外向制约。实践中需对传统的“隐私—公共利益衡平机制”进行调整,而通过比例原则灵活运用下的利益具体化方案来实现对公共利益扩张的限制正是这一调整的应有之义。

我国个人信息安全影响评估的流程分析与模板设计

[目的/意义]个人信息安全影响评估工具能够促进数据有效利用,降低组织的个人信息安全合规风险,提升个人信息保护水平。[方法/过程]文章对个人信息安全影响评估流程进行了阶段划分,分析每个阶段的执行流程,制定评估所需的阈值评估模板、数据映射模板、安全风险分析及处置模板和个人信息安全影响评估报告模板,以保障评估的具体实践工作。[结果/结论]流程划分和模板使用能够为组织的评估工作提供借鉴和参考,提高评估效率。随着新技术的不断更迭,个人信息全生命周期的智能化评估将是未来的研究方向和热点。

个人破产制度构建中的个人信息控制与使用——以平衡个人信息的开放与保护为视角

随着个人信息保护立法规则的完善,对个人信息的保护力度不断加强,而信息的开放与使用亦是大数据发展背景下时代的要求和个人破产制度运行的需要,正确处理两者关系是促进信息有效利用的必要条件。个人信息开放与保护的平衡贯穿个人破产制度运行的始终,破产申请条件的审查、免责制度及复权制度的启用、法庭外债务清理模式的运行,均以个人信息使用为基础。应在个人信息开放共享的基本理念下进行个人信息的合理控制,完善个人信息管理机构信息保护机制,兼顾个人破产制度中个人信息保护与使用的平衡。

欧盟数据保护影响评估制度及其镜鉴

【目的/意义】欧盟《通用数据保护条例》(GDPR)创设的数据保护影响评估(DPIA)制度对数据风险防控具有重要意义。借鉴欧盟DPIA制度可以助益于我国企业数据合规、重要数据的保护、数据安全风险评估标准的构建。【设计/方法】首先,通过梳理DPIA制度的演化背景、理论基础,全面剖析欧盟DPIA制度的应用场景、评估流程、保护模式及惩罚机制。其次,通过梳理相关案例,对事实层面和规范层面我国建立数据影响评估制度的必要性进行分析。再次,对比我国个人信息安全影响评估(PISIA)制度与欧盟DPIA制度在适用阶段、评估目标、评估产物等相关规定的异同,可知前者侧重于对个人信息数据泄露后会对数据主体的影响维度进行分析,后者侧重于对数据主体权益保障维度的分析。最后,以问题为导向,对我国数据保护影响评估制度的建立提出相关建议。【结论/发现】完善数据安全风险评估标准的研制、提升数据安全风险评估质效、构建全方位的数据监管体系,不仅是构建法治化的数据安全风险评估制度的需要,更是我国经济实现数字化转型、构建数据安全保障治理体系的迫切需求。

风险管理模式下的数据保护影响评估制度

伴随大数据时代个人信息保护领域风险管理理论的广泛应用,数据保护影响评估已经成为推动个人数据保护的重要制度。运用文献研究、实证分析的方法,以2016年欧盟《一般数据保护条例》(GDPR)对数据保护影响评估的规定为样本,深入分析数据保护影响评估的理论背景、兴起与演变、含义、适用范围等内容,以期搭建规范、明确的影响评估制度,加强个人信息保护。数据保护影响评估内容不限于隐私风险评估,还包括数据安全、数据质量、非歧视等内容;对于容易带来高风险的数据处理行为,应设定数据保护影响评估为强制性义务;评估过程应听取利益相关者的意见,反映其利益需求;加强外部监督并适度公开评估报告。

风险治理视角下的个人信息保护路径

数字时代应有效回应信息科技引发的新型信息风险。日益广泛的个人信息处理行为不仅可能会给个人带来多种风险,影响个人人格的全面自由发展,而且可能会对社会与国家造成重大安全隐患。有效保护个人信息,既需要公私主体消极不侵犯个人信息,又需要国家通过不断完善体制机制积极治理信息风险。在风险治理组织上,宜吸收大部制机构改革的历史经验,设立统一的个人信息保护专门机构实施“一站式监管”。在风险预防措施上,应对个人信息进行科学的分类分级以进行不同安全等级的信息风险预防,并以安全与效率的平衡为理念设计个人信息保护影响评估、个人信息出境安全评估等制度。由于个人信息保护执法裁量空间巨大,有必要努力制定个人信息保护处罚裁量基准,并探索执法和解机制以促进企业合规。为了更全面有效地进行信息风险治理,应逐步放宽个人信息保护民事公益诉讼,强化个人信息保护行政公益诉讼。

浅析环境影响评价和污染场地调查评估的区别

现阶段的环境管理中,经常有将环境影响评价与污染场地调查评估相提并论,混为一谈的情况,认为污染场地调查评估是环境影响评价的一种形式。环境影响评价作为环境保护的一项重要制度,目前已形成相对完善的制度体系,在总量控制、

算法评估制度如何在平台问责中发挥作用

算法评估制度脱胎于欧盟的隐私影响评估制度,以风险预防为目标,治理时点前移,主张共同治理。但我国《个人信息保护法(草案)》中的算法评估制度与其他制度关系不明,评估后果不清晰,存在与平台责任追究的衔接失调问题。应围绕建立平台问责体系发挥算法评估制度的作用,具体包括:扩张算法评估标准,将涵盖法律规定、技术伦理与平台承诺的标准作为平台主观过错的认定标准;协调评估制度与算法透明和算法解释的关系,设置覆盖算法自动化决策全生命周期的问责点;明确算法评估与不同监管强度以及平台责任的关系,并赋予算法评估结果实质性意义,尽量避免算法评估制度"软化"与"泛化"的趋势,发挥其在平台问责体系中的核心作用。

提高环评制度与排污许可制度有效衔接的路径研究

经济高质量发展阶段,需要通过提高环评制度与排污许可制度有效衔接进一步释放二者对生态环境保护的促进作用。然而,二者间在落实过程中面临着衔接不到位的问题,使制度效力无法得到有效发挥。对此,国内在大力完善相关政策法规的同时,以改革试点工作探索实践经验。广州市增城区积极探索环评制度与排污许可制度有效衔接,取得了显著的成绩,在总结其改革试点工作的开展经验基础上,提出需要从完善相关法规内容、完善评估流程以及完善排污安全许可制管理体系三个方面进一步提高环评制度与排污许可制度有效衔接。

算法侵害类型化研究与法律应对——以《个人信息保护法》为基点的算法规制扩展构想

算法的普遍应用给个人及社会带来如下类型的侵害:算法标签、算法归化、算法操纵、算法歧视与算法错误。传统部门法分析框架无法对算法侵害进行完全的、有效的规制。GDPR和我国最新通过的《个人信息保护法》提供了源头数据规制与数据赋权制衡的应对方略,不仅规定了数据处理原则、个人数据权利,还专门引入自动决策概念,设置专条进行规制,形成了从部门法到数据法的算法初步规制框架。但我国《个人信息保护法》的个人数据保护和个人赋权制衡的进路过于狭隘,难以对系统性的、多维的算法侵害及算法自动决策进行全面、系统的规制,故有必要对《个人信息保护法》第24条自动决策条款进行扩展,引入人工干预权,进一步丰富数据权利束,并超越个人数据权利思维,从算法侵害风险防御视角出发,进行整体性的、纵向的、动态的算法规制,积极探索算法可解释性、可问责性的解决方案,加强算法责任研究,沟通算法事前规制与事后规制,并形成二者的闭环,以应对算法社会普遍存在的算法侵害风险。

数据保护影响评估制度:欧盟立法与中国方案

[目的/意义]欧盟一般数据保护条例(GDPR)引入的数据保护影响评估(DPIA)制度给数据控制者提出新的要求。通过解析GDPR中DPIA制度的相关规定,研究其立法思路和核心理念,可以为我国相关立法工作提供借鉴。[方法/过程]通过查阅和梳理以GDPR为代表的欧盟数据保护领域的法律文件,归纳DPIA制度的出台背景和演化过程,深入剖析DPIA制度的数据保护模式、适用情形、基本流程和执行过程等主要内容。[结果/结论]DPIA制度能够应对愈加复杂多变的数据安全风险环境,具有重要的实践价值和参考意义。我国个人信息保护法应确立DPIA制度,具体内容包括DPIA的规制对象、适用情形以及数据控制者的事先咨询义务,并提出数据风险评估模型。

个人信息保护风险规范的建构机理与实现路径

数字时代的个人信息制度是一种前置性保护规范,旨在防范因个人信息被滥用而可能产生的抽象危险。个人信息保护的风险规范路径符合数字经济发展现实,是数字时代个人信息保护的最佳范式。个人信息处理行为引发的风险可以通过“结果”和“行为”两种角度予以评估,对个人权益侵害“高风险”的判断包括风险发生可能性和风险严重程度两个方面。可归责性原则是风险规范路径的基本原则,中国个人信息保护制度综合“自下而上”和“自上而下”两种风险规制的实现路径,在差异化风险、类型化平台、分层级义务等方面仍存在问题,应从宏观上整体把控风险路径,中观上强化信息处理者的规范引导,微观上细化不同场景下的风险规范,形成一整套风险可控、高效全面的保护机制。