11月25日，全国信息安全标准化委员会正式发布《信息安全技术 个人信息安全影响评估指南》（以下简称“指南”），并将于2021年6月1日正式实施。南都记者从知情人士处获悉，指南中提出，无法选择拒绝个性化广告、疾病信息泄露造成歧视等，都将纳入个人信息安全影响的评估因素。

据介绍，此次指南适用于，各类组织自行开展个人信息安全影响评估工作，同时可为主管监管部门、第三方测评机构等组织开展个人信息安全监督、检查、评估等工作提供参考。

有专家表示：这个标准能够有效支撑《个人信息保护法（草案）》中的第五十四条：个人信息处理者应当对下列个人信息处理活动在事前进行风险评估,并对处理情况进行记录。

指南显示，个人信息安全影响评估报告的内容主要包括：评估所覆盖的业务场景、业务场景所涉及的具体的个人信息处理活动、负责及参与的部门和人员、已识别的风险、已采用及拟采用的安全控制措施清单、剩余风险等。

谁来评估个人信息安全影响？指南指出，组织指定个人信息安全影响评估的责任部门或责任人员，由其负责个人信息安全影响评估工作流程的制定、实施、改进，并对个人信息安全结果的质量负责。通常牵头执行的部门为：法务部门、合规部门或信息安全部门。

自新冠疫情爆发以来，确诊者及密切接触者个人信息泄露事件频繁发生。据南都此前报道，春节前后，有近7000多名武汉返乡者的个人信息被泄露。而就在近日，上海一新冠确诊者及其密切接触者的姓名、身份证号等信息亦遭泄露。突发公共卫生事件中，个人信息泄露问题愈发引起关注。

南都记者注意到，“引发差别性待遇”也将成为影响评估结果的因素之一，具体表现如：因疾病、婚史、学籍等信息泄露造成的针对个人权利的歧视等。上述问题或将有所改善。

个性化广告总是关不掉怎么办？指南提出，“限制个人自主决定权”也是影响评估的考虑因素。例如：无法选择拒绝个性化广告的推送、被蓄意推送影响个人价值观判断的资讯等。

隐私政策冗长难懂，一直饱受用户诟病。此次指南在个人信息处理流程中提出，评估时关注的要素包括：告知方式和内容是否友好可达、是否对用户画像机制进行限制，避免精确定位到特定个人、匿名化机制是否有效，去标识化后的个人信息是否能够被关联分析等。

据了解，2018年6月，全国信息安全标准化技术委员会曾发布《信息安全技术 个人信息安全影响评估指南（征求意见稿）》，公开征求意见。

采写：实习生 孙朝 南都记者 李慧琪

编辑：蒋琳

对这篇文章有想法？跟我聊聊吧

蒋琳5.01亿

南方都市报记者