个人信息安全影响评估必要性分析包含哪些内容?

个人信息安全影响评估可用于合规差距分析,也可以用于合规之上、进一步提升自身安全风险管理能力和安全水平的目的。因此启动个人信息安全影响评估的必要性,取决于组织的个人信息安全目标,组织可根据实际的需求选取需要启动评估的业务场景。今天擎标给大家介绍一下评估必要性分析包含哪些内容?

1.1合规差距评估

1.1.1概述

当组织定义的个人信息安全目标为符合相关法律、法规或标准的基线要求时,则个人信息安全影响评估主要目的在于识别待评估的具体个人信息处理活动已采取的安全控制措施,与相关法律、法规或标准的具体要求之间的差距,例如在某业务场景中与第三方共享个人信息,是否取得了个人信息主体的明示同意。

1.1.2整体合规分析

组织可根据所适用的个人信息保护相关法律、法规、政策及标准,分析特定产品或服务所涉及的全部个人信息处理活动与所适用规则的差距。该评估方式的应用场景包括但不限于以下情形:

a)产品或服务的年度整体评估;

b)新产品或新服务(不限技术平台)设计阶段评估;

c)新产品或新服务(不限技术平台)上线初次评估;

d)法律法规、政策、标准等出现重大变化时重新评估;

e)业务模式、互联网安全环境、外部环境等发生重大变化的重新评估;

f)发生重大个人信息安全事件后重新评估;

g)发生收购、兼并、重组等情形开展评估。

1.1.3局部合规分析

组织可根据所适用的个人信息保护相关法律、法规、政策及标准,对特定产品或服务所涉及的部分个人信息处理活动与所适用规则的差距进行分析。该评估方式的应用场景包括但不限于以下情形:

a)新增功能需要收集新的个人信息类型时的评估;

b)法律、法规、政策、标准出现部分变化时的评估;

c)业务模式、信息系统、运行环境等发生变化时评估。

1.1.4评估性合规要求分析

部分个人信息保护相关的法律、法规、标准的规定提出了评估性合规要求。这类规定并没有针对特定的个人信息处理活动提出明确、具体的安全控制措施,而是要求组织针对特定个人信息处理活动,专门开展风险评估,并采取与风险程度相适应的安全控制措施,将对个人信息主体合法权益不利影响的风险降低到可接受的程度,才符合其规定。

评估性合规要求往往针对的是对个人权益有重大影响的个人信息处理活动,例如处理个人敏感信息、使用自动化决策方式处理个人信息、委托处理个人信息、向第三方转让或共享个人信息、公开披露个人信息、向境外转移个人信息等。

针对此类规定,组织可使用本指南提供的个人信息安全影响评估方法进行评估,保证个人信息处理活动的安全风险可控,以符合相应的法律、法规、标准的要求。

注:评估性合规要求分析示例及具体评估要点可参考附录A。

1.2尽责性风险评估

出于审慎经营、声誉维护、品牌建立等目的,组织往往选取可能对个人合法权益产生高风险的个人信息处理活动,开展尽责性风险评估。此种风险评估的目标,是在符合相关法律、法规和标准的基线要求之上,尽可能降低对个人信息主体合法权益的不利影响。

组织可使用本标准提供的个人信息安全影响评估方法,对高风险个人信息处理活动进行评估,进一步降低个人信息处理活动的安全风险。

以上是个人信息安全影响评估必要性分析包含的内容,想要了解GB/T 39335 信息安全技术 个人信息安全影响评估更多内容,请联系在线客服。