中外用户隐私影响评估标准比较

[目的/意义]当数据合规成为大数据时代企业的命脉,研究用户隐私影响评估标准(PIA)之间的异同,对于企业规避数据合规风险具有现实意义。[过程/方法]运用文献分析法以及比较分析法,以ISO/IEC 29134基本框架为依据,从PIA的界定与作用、进行PIA的时机、进行PIA的目的、PIA的流程及内容以及审核及问责制度5个方面,对各国隐私影响评估标准进行比较与评价。[结果/结论]当前中外隐私影响评估标准普遍存在操作性不强的问题,对标准的完善及评估模板的研究与编制是未来重要的研究方向。

作为政府工具的隐私影响评估:缘起、价值、实施与启示

隐私影响评估作为政府保护公民隐私的重要工具,已在西方发达国家隐私管理实践中有着二十多年的应用与发展历程。西方隐私影响评估缘起于公众隐私保护诉求和政府隐私管理需要,在特定的政府信息数据管理项目中通过识别隐私风险因素、评估隐私风险影响和制定隐私风险应对方案发挥着一系列积极作用。隐私影响评估的实施分为准备阶段、分析阶段和落实阶段。准备阶段的任务是描述评估锚定项目、选择评估执行时机、确定评估执行主体和明确评估协商对象,分析阶段的任务是描述项目信息流动、识别项目隐私风险和制定风险应对方案,落实阶段的任务是发布隐私评估报告、实施风险应对方案和持续更新评估结果。西方隐私影响评估的丰富实践给我国制定隐私影响评估指南、设置隐私影响评估机构、构建多元主体协商机制和建立隐私风险管理体系提供了重要启示。

国外政府数据开放隐私影响评估的政策考察与启示——以美英澳新四国为例

文章选取美英澳新四国作为研究样本,采用文献分析法对其政府数据开放隐私影响评估的政策进行系统考察。国外政府数据开放隐私影响评估缘起于政府与公众隐私安全保护的双重需求,以切实保护个人隐私和防范化解隐私风险为目标,主要适用于涉及个人可识别信息的程序、系统、技术、规则等特定领域。在操作上,大体可分为准备、分析和落实三个阶段。其中,准备阶段涉及描述评估项目、选择评估时机、确定执行主体与明确协商对象,分析阶段涉及描述信息流动、识别隐私风险与制定应对方案,落实阶段涉及发布评估报告、实施应对方案与更新评估结果。立足基本国情与发展现状,我国可从国外政府数据开放隐私评估政策实践中获取制定隐私影响评估指南、设置隐私影响评估机构、构建多元主体参与机制、健全隐私风险管理体系等有益启示。

大数据环境下隐私泄露影响评估研究

[目的/意义]在大数据环境下,隐私的泄露成为公众普遍关注的问题。隐私泄露影响评估是降低政府和企业隐私风险的重要工具和手段。[方法/过程]隐私泄露影响评估的研究在我国刚刚开始,采用了文献研究的方法,回顾了国外隐私泄露影响评估的发展及概括和总结了国外学者关于这方面研究进展的情况。并采用定性研究的方法,探讨了在大数据环境下隐私泄露影响评估的重要性及评估的主体和过程,并就我国实施隐私泄露影响评估的困境进行了探讨,并提出了我国推行隐私泄露影响评估的策略。[结果/结论]总之,在大数据环境下,在我国推广和实施隐私泄露影响评估还需要在相关的法律、政策、管理机制及教育培训方面进一步完善,才会为政府和企业推广隐私泄露影响评估创造有利的环境。

加拿大隐私影响评估政策:历程、内容、分析与启示

[目的/意义]从政策的角度,调查加拿大隐私影响评估的政策支持,为我国隐私影响评估政策制定提供参考,为政府保护公民隐私提供工具。[方法/过程]利用文献调研和案例分析的研究方法,以加拿大为例,通过对文献资料和网站内容的调查,荻取一手资料阐述加拿大隐私影响评估政策的发展历程,对政策目标、政策主体、政策内容进行梳理,并在此基础上分析加拿大隐私影响评估政策的优势和不足。[结果/结论]提出提高政策执行人员技能、尽早制定PIA政策、加强PIA政策认同E建议。

美国隐私影响评估制度及其启示

[目的/意义]从制度的角度,调查美国隐私影响评估的制度支持,为我国隐私影响评估制度构建提供参考,为政府保护公民隐私提供工具。[方法/过程]文章利用文献调研和案例分析的研究方法,以美国为例,通过对文献资料和网站内容的调查,获取一手资料阐述美国隐私影响评估制度的发展历程,对隐私影响评估制度的适用情形、隐私影响评估审核与发布流程、隐私影响评估目的与意义、隐私影响评估方法的具体实施进行梳理,并在此基础上分析美国隐私影响评估制度的相互关系以及优缺点。[结果/结论]美国隐私影响评估制度优点在于注重风险分析的安全控制、强调政府内部监管、关注隐私影响评估结果公开、强调隐私影响评估更新,不足在于缺乏公民参与、隐私影响评估制度执行不力。美国隐私影响评估制度对我国个人信息安全风险评估制度构建与完善有借鉴意义,尤其是构建隐私风险管理体系、注重外部监督、加强评估结果公开发布、及时更新评估。

欧盟数据保护影响评估制度及其启示

欧盟数据保护影响评估制度起源于隐私影响评估制度,数据保护影响评估制度的实施主体是数据控制者,规制对象是具有高风险的数据处理行为,具体流程包括审查、咨询、评估、报告和保障及复审五个阶段。欧盟数据保护影响评估制度对数据保护有风险防控作用,企业可因此更被消费者信赖。数据保护影响评估制度有指导性规范与行业自律结合、强制性义务两种模式。欧盟数据保护影响评估制度对于我国个人信息和重要数据安全风险评估制度配套法规的制定和落地,尤其是在安全风险评估的适用范围、评估性质、流程设计与机构设置等方面,具有重要的借鉴意义。

个人信息保护影响评估:制度内涵与完善路径

《个人信息保护法》第55条明确提出了个人信息处理者在开展个人信息处理活动前进行个人信息保护影响评估的要求。国际上在个人信息处理领域存在隐私影响评估、数据保护影响评估、算法影响评估三种典型样态。隐私影响评估与数据保护影响评估的保护范围大致相同;数据保护影响评估主要关注个人权利的保护,算法影响评估具有更广泛的社会公共利益价值导向。我国个人信息保护影响评估在制度定位上与数据保护影响评估一脉相承,应更多纳入对社会群体造成影响的公共利益方面的考量。个人信息保护影响评估制度缺乏向公众强制披露的机制,同时带来了监督与问责的障碍,需要充分整合政府机构、社会公众、行业组织等多元力量建立协同监督的客观机制,以弥补现有个人信息保护影响评估制度透明度、正当程序、公众审查空间不足的问题。

英国数据保护影响评估制度及其启示

[目的/意义]从制度的角度,调查英国数据保护影响评估的制度支持,为我国数据保护影响评估制度构建提供参考,从而为政府保护公民隐私提供工具。[方法/过程]利用文献调研和案例分析的研究方法,以英国为例,通过对文献资料和网站内容的调查,获取一手资料阐述英国数据保护影响评估制度的发展历程,对数据保护影响评估内涵与特质、实施主体、实施阶段、适用情形进行梳理,并在此基础上分析英国数据保护影响评估制度的演化。[结果/结论]提出推进隐私阈值分析、加强利益相关者参与、注重第三方审核的建议。

风险管理模式下的数据保护影响评估制度

伴随大数据时代个人信息保护领域风险管理理论的广泛应用,数据保护影响评估已经成为推动个人数据保护的重要制度。运用文献研究、实证分析的方法,以2016年欧盟《一般数据保护条例》(GDPR)对数据保护影响评估的规定为样本,深入分析数据保护影响评估的理论背景、兴起与演变、含义、适用范围等内容,以期搭建规范、明确的影响评估制度,加强个人信息保护。数据保护影响评估内容不限于隐私风险评估,还包括数据安全、数据质量、非歧视等内容;对于容易带来高风险的数据处理行为,应设定数据保护影响评估为强制性义务;评估过程应听取利益相关者的意见,反映其利益需求;加强外部监督并适度公开评估报告。

《个人信息保护法》背景下政府涉个人隐私信息公开的限度

政府涉个人隐私信息公开的制度罅隙导致的“个人隐私界定难题”和“个人隐私—公共利益衡平难题”在《个人信息保护法》背景下愈发突出。解决“个人隐私界定难题”需明晰个人隐私信息的内容边界,这构成了政府涉个人隐私信息公开的内向限度。对隐私权内容边界的确立可以借助“列举式保障”联合“隐私价值评定”的双重理论架构来指导实践,通过引进隐私影响评估工具评定隐私价值,进而识别、界定个人隐私信息的边界。同时,解决“个人隐私—公共利益衡平难题”需调和个人隐私利益与公共利益的张力,这构成了政府涉个人隐私信息公开的外向制约。实践中需对传统的“隐私—公共利益衡平机制”进行调整,而通过比例原则灵活运用下的利益具体化方案来实现对公共利益扩张的限制正是这一调整的应有之义。

企业跨境数据保护成熟度研究:以面向欧盟区域为例

[研究目的]跨境流动已成为国际贸易谈判的焦点议题。以欧盟为代表的各主体为积极应对数据跨境安全问题,纷纷出台数据保护立法。在此背景下,作为掌握海量数据的企业对于数据的跨境安全传输问题更是责无旁贷。[研究方法]通过提出企业跨境数据保护成熟度评估工具,来研究企业面向欧盟区域的数据保护问题。根据数据隐私管理标准发展三阶段内容以及能力成熟度等理论,结合GDPR区域监管要点及企业跨境数据保护管理实践,构建了包含3个一级指标,12个二级指标,41个三级指标的企业涉欧跨境数据保护成熟度评估模型。[研究结论]将该模型运用于GDPR 19个经典案例及国内3个典型行业,验证了评估体系的有效性,并最终获得所选行业面向欧盟区域的跨境数据保护成熟度评估概况,为我国企业的跨境数据保护合规自评提供了有利的参考。

数字化转型背景下企业数据保护成熟度模型构建

[目的/意义]数字化转型已经成为数字经济时代企业运营的趋势,不仅互联网企业天然是数据驱动运营的企业,传统企业也会在数字化转型中日益成为数据驱动运营的企业。在此背景下,数据有效保护与数据高效应用同时成为企业数据资产运营的重要方面。[方法/过程]通过构建企业数据保护成熟度评估模型,聚焦于企业数据有效保护问题。以隐私影响评估(PIA)为指引,参考能力成熟度等理论,结合企业数据保护管理实践,构建了包含三个一级指标,十二个二级指标的企业数据保护成熟度评估模型。[结果/结论]运用该模型到国内三个典型行业,为相关行业的企业数据保护提供了针对性建议。

基于数字化转型的文化传媒企业数据保护模型构建

数字化转型随着社会经济的不断发展,日益成为数字经济时代背景下企业运营的发展趋势,文化传媒公司随着社会经济的日益发展逐步成为数据驱动运营企业,因此数据安全问题成为文化传媒企业发展的重要问题.文通过对数字化转型进行论述,结合传媒企业数据保护时间,在隐私影响评估、参考能力成熟度等理论的指导下,构建一种数字化转型的企业数据保护模型构建方法.为传媒企业的数据保护提出有效建议,最后得出:数字化转型的企业数据保护模型能够帮助企业更加及时、客观、准确地了解其在数据保护方面的成熟度.

移动互联网环境下用户账号注销机制研究

[目的/意义]在移动互联网环境下,手机应用(APP)服务商掌握了越来越多的用户数据,注销账号成为用户防止个人信息遭受非法利用的有效手段,账号注销机制的构建对保障用户信息安全具有重要意义。[方法/过程]在系统调查我国有关法律规定及欧盟GDPR法案的基础上,对国内外主流APP的账号注销机制进行全面梳理,分析其中存在的问题,并提出可行的建设策略。[结果/结论]提出在覆盖注销前、注销中、注销后三个阶段,由服务商、监管机构和用户三方协作参与的全流程账号注销机制,并指出了面向用户信息安全的管理与服务未来突破与创新的方向。