欧盟数据保护影响评估制度及其启示

欧盟数据保护影响评估制度起源于隐私影响评估制度,数据保护影响评估制度的实施主体是数据控制者,规制对象是具有高风险的数据处理行为,具体流程包括审查、咨询、评估、报告和保障及复审五个阶段。欧盟数据保护影响评估制度对数据保护有风险防控作用,企业可因此更被消费者信赖。数据保护影响评估制度有指导性规范与行业自律结合、强制性义务两种模式。欧盟数据保护影响评估制度对于我国个人信息和重要数据安全风险评估制度配套法规的制定和落地,尤其是在安全风险评估的适用范围、评估性质、流程设计与机构设置等方面,具有重要的借鉴意义。

英国数据保护影响评估制度及其启示

[目的/意义]从制度的角度,调查英国数据保护影响评估的制度支持,为我国数据保护影响评估制度构建提供参考,从而为政府保护公民隐私提供工具。[方法/过程]利用文献调研和案例分析的研究方法,以英国为例,通过对文献资料和网站内容的调查,获取一手资料阐述英国数据保护影响评估制度的发展历程,对数据保护影响评估内涵与特质、实施主体、实施阶段、适用情形进行梳理,并在此基础上分析英国数据保护影响评估制度的演化。[结果/结论]提出推进隐私阈值分析、加强利益相关者参与、注重第三方审核的建议。

欧盟数据保护影响评估制度及其镜鉴

【目的/意义】欧盟《通用数据保护条例》(GDPR)创设的数据保护影响评估(DPIA)制度对数据风险防控具有重要意义。借鉴欧盟DPIA制度可以助益于我国企业数据合规、重要数据的保护、数据安全风险评估标准的构建。【设计/方法】首先,通过梳理DPIA制度的演化背景、理论基础,全面剖析欧盟DPIA制度的应用场景、评估流程、保护模式及惩罚机制。其次,通过梳理相关案例,对事实层面和规范层面我国建立数据影响评估制度的必要性进行分析。再次,对比我国个人信息安全影响评估(PISIA)制度与欧盟DPIA制度在适用阶段、评估目标、评估产物等相关规定的异同,可知前者侧重于对个人信息数据泄露后会对数据主体的影响维度进行分析,后者侧重于对数据主体权益保障维度的分析。最后,以问题为导向,对我国数据保护影响评估制度的建立提出相关建议。【结论/发现】完善数据安全风险评估标准的研制、提升数据安全风险评估质效、构建全方位的数据监管体系,不仅是构建法治化的数据安全风险评估制度的需要,更是我国经济实现数字化转型、构建数据安全保障治理体系的迫切需求。

风险管理模式下的数据保护影响评估制度

伴随大数据时代个人信息保护领域风险管理理论的广泛应用,数据保护影响评估已经成为推动个人数据保护的重要制度。运用文献研究、实证分析的方法,以2016年欧盟《一般数据保护条例》(GDPR)对数据保护影响评估的规定为样本,深入分析数据保护影响评估的理论背景、兴起与演变、含义、适用范围等内容,以期搭建规范、明确的影响评估制度,加强个人信息保护。数据保护影响评估内容不限于隐私风险评估,还包括数据安全、数据质量、非歧视等内容;对于容易带来高风险的数据处理行为,应设定数据保护影响评估为强制性义务;评估过程应听取利益相关者的意见,反映其利益需求;加强外部监督并适度公开评估报告。

论个人信息保护影响评估——以《个人信息保护法》第55、56条为中心

个人信息保护影响评估属于受强制的自我规制,是一种事前性的合规评估和风险评估程序。作为数据治理重要工具的个人信息保护影响评估,可以检验个人信息处理是否合规,有助于识别并降低个人信息安全风险,有利于减轻或免除个人信息处理责任。当前我国个人信息保护影响评估的适用范围过于宽泛,缺乏必要的限定条件,可能对个人信息处理者带来过大的评估压力,同时极易导致评估流于形式。为了更全面地保护个人信息,国家机关也应履行个人信息保护影响评估义务。应特别重视设计参与程序、复审程序、事先咨询程序、公开程序等评估程序,以保障个人信息保护影响评估的客观性和有效性。个人信息保护影响评估的行为应包括个人信息处理活动和采取的保护措施,评估的影响应包括确定的实际影响和潜在的不确定性影响。

个人信息保护影响评估:制度内涵与完善路径

《个人信息保护法》第55条明确提出了个人信息处理者在开展个人信息处理活动前进行个人信息保护影响评估的要求。国际上在个人信息处理领域存在隐私影响评估、数据保护影响评估、算法影响评估三种典型样态。隐私影响评估与数据保护影响评估的保护范围大致相同;数据保护影响评估主要关注个人权利的保护,算法影响评估具有更广泛的社会公共利益价值导向。我国个人信息保护影响评估在制度定位上与数据保护影响评估一脉相承,应更多纳入对社会群体造成影响的公共利益方面的考量。个人信息保护影响评估制度缺乏向公众强制披露的机制,同时带来了监督与问责的障碍,需要充分整合政府机构、社会公众、行业组织等多元力量建立协同监督的客观机制,以弥补现有个人信息保护影响评估制度透明度、正当程序、公众审查空间不足的问题。

基于通用数据保护条例的数据隐私安全综述

随着全球数字化进程逐渐加快,数据已经成为当今社会重要的生产要素.数据的流动为社会创造了无穷的价值,但也潜藏着巨大的隐私风险.随着欧盟通用数据保护条例(GDPR)的出台,个人数据安全成为了大数据时代下的敏感话题,也越来越受到研究人员的重视.首先,对数据隐私安全发展历程进行了回顾,介绍了欧盟数据保护条例GDPR及其应用领域和影响;其次归纳分析了近几年国内外相关研究文献,将GDPR合规问题划分为3个方面:GDPR违规行为分析、隐私政策分析、GDPR模型框架,并分析了这3个方面的研究现状.总结分析了基于GDPR的数据技术,并分别探讨了GDPR在区块链、物联网等具体领域的应用;最后,根据现有研究工作存在的不足与问题,指出了基于GDPR的数据隐私安全研究面临的主要挑战和机遇,并针对中国数据隐私保护提出了一些启示.

企业风险评估:详解GDPR中DPIA制度

Data Protection Impact Assessment简称DPIA,中文直译为数据保护影响评估,是GDPR中规定的一项风险评估制度,该制度可系统全面分析控制者的数据处理过程,并帮助企业进行识别,实现数据保护风险的最小化。同时,在一些可能会严重侵害自然人的权利与自由实现的法定情形下,DPIA又构成了企业处理数据的一项前置义务,企业需要将风险评估、风险缓解等一系列措施以报告形式上交给管理机构,管理机构诊断报告后作出相应的决定。

数据保护影响评估制度:欧盟立法与中国方案

[目的/意义]欧盟一般数据保护条例(GDPR)引入的数据保护影响评估(DPIA)制度给数据控制者提出新的要求。通过解析GDPR中DPIA制度的相关规定,研究其立法思路和核心理念,可以为我国相关立法工作提供借鉴。[方法/过程]通过查阅和梳理以GDPR为代表的欧盟数据保护领域的法律文件,归纳DPIA制度的出台背景和演化过程,深入剖析DPIA制度的数据保护模式、适用情形、基本流程和执行过程等主要内容。[结果/结论]DPIA制度能够应对愈加复杂多变的数据安全风险环境,具有重要的实践价值和参考意义。我国个人信息保护法应确立DPIA制度,具体内容包括DPIA的规制对象、适用情形以及数据控制者的事先咨询义务,并提出数据风险评估模型。

人脸识别中个人信息保护的思考

随着人脸信息技术的广泛应用,人脸信息领域的法律问题也层出不穷。本文从人脸识别技术出发,结合人脸信息法律属性,对人脸信息处理的行政、刑事、民事法律规范中的问题进行了分析探讨。针对当前人脸信息行政法规范不统一、民事同意原则失灵、刑事入罪标准过高的现实情况,提出行政、民事、刑事法律保护完善建议,并建议严格落实人脸信息处理备案制度、加强人脸信息的数据保护影响评估、推动人脸信息公益诉讼等配套制度。