个人信息安全影响评估标准在支付业务领域的应用实践

围绕《中华人民共和国个人信息保护法》提出的个人信息保护影响评估要求,遵循GB/T 39335—2020《信息安全技术个人信息安全影响评估指南》,构建符合企业业务实际的个人信息保护影响评估体系,通过评估业务或产品对个人的自主选择权、财产权、公平权等权益的影响程度以及个人信息全生命周期安全保护措施的适应性,并配套管理制度和平台工具,提前识别并降低业务可能存在的个人信息安全风险,主要应用在转接清算、二维码支付、无卡支付等各种支付业务场景且取得良好效果。

降低自动化决策对个人信息安全影响的研究

自动化决策依赖用户所产生的数据进行分析评估和决策,一方面提升了企业的工作和服务效率,另一方面也导致用户被窥探、被杀熟、被操纵的感受日渐强烈。在涉及自动化决策的业务场景之下,如何降低个人信息安全影响成为难点。通过分析自动化决策对个人信息安全影响的决定因素来探讨个人信息安全影响的降低方法,为企业在自动化决策过程中的个人信息保护提供参考。

欧盟数据保护影响评估制度及其镜鉴

【目的/意义】欧盟《通用数据保护条例》(GDPR)创设的数据保护影响评估(DPIA)制度对数据风险防控具有重要意义。借鉴欧盟DPIA制度可以助益于我国企业数据合规、重要数据的保护、数据安全风险评估标准的构建。【设计/方法】首先,通过梳理DPIA制度的演化背景、理论基础,全面剖析欧盟DPIA制度的应用场景、评估流程、保护模式及惩罚机制。其次,通过梳理相关案例,对事实层面和规范层面我国建立数据影响评估制度的必要性进行分析。再次,对比我国个人信息安全影响评估(PISIA)制度与欧盟DPIA制度在适用阶段、评估目标、评估产物等相关规定的异同,可知前者侧重于对个人信息数据泄露后会对数据主体的影响维度进行分析,后者侧重于对数据主体权益保障维度的分析。最后,以问题为导向,对我国数据保护影响评估制度的建立提出相关建议。【结论/发现】完善数据安全风险评估标准的研制、提升数据安全风险评估质效、构建全方位的数据监管体系,不仅是构建法治化的数据安全风险评估制度的需要,更是我国经济实现数字化转型、构建数据安全保障治理体系的迫切需求。

风险管理模式下的数据保护影响评估制度

伴随大数据时代个人信息保护领域风险管理理论的广泛应用,数据保护影响评估已经成为推动个人数据保护的重要制度。运用文献研究、实证分析的方法,以2016年欧盟《一般数据保护条例》(GDPR)对数据保护影响评估的规定为样本,深入分析数据保护影响评估的理论背景、兴起与演变、含义、适用范围等内容,以期搭建规范、明确的影响评估制度,加强个人信息保护。数据保护影响评估内容不限于隐私风险评估,还包括数据安全、数据质量、非歧视等内容;对于容易带来高风险的数据处理行为,应设定数据保护影响评估为强制性义务;评估过程应听取利益相关者的意见,反映其利益需求;加强外部监督并适度公开评估报告。