“评估指南”出台,个人信息保护更有章法

南方都市报APP • 南都评论
原创2020-11-27 08:00

11月25日,全国信息安全标准化委员会正式发布《信息安全技术 个人信息安全影响评估指南》,并将于2021年6月1日正式实施。指南中提出,无法选择拒绝个性化广告、疾病信息泄露造成歧视等,都将纳入个人信息安全影响的评估因素。

个人信息已经成为网络空间中最重要的资源,如何保护个人信息安全,相关法律正在不断完善。尽管如此,个人信息保护的局面依然不容乐观,个人信息遭到泄露的各种事件仍在不断发生。

据南都报道,今年以来已发生多起新冠患者和密切接触者个人信息泄露事件。近日,上海确诊一例新冠肺炎病例,仅一天后,该患者及其密切接触者的姓名、身份证号、手机号、户籍地址、踪迹信息等就疑遭泄露。11月26日,又有媒体披露,成都市民张女士在成都市第一人民医院南区就医时发现,她的检查项目被医院直接“公示”在了电子屏幕上,同时屏幕上还显示了其他患者的检查项目,甚至包括HIV抗原抗体复合检测等较为隐私的检查内容也赫然出现在了屏幕上。

微信图片_20201126220843.jpg

成都某医院大屏幕滚动播放患者检查报告是否已完成。

在这些事件中,当事人肯定会发出质疑,但涉事的机构和组织几乎也会毫无例外地作出各种辩解,有的甚至可能会对自己保护个人信息的成绩作出不低的评价。可惜在这个问题上仅有自说自话是不够的。

如果工作、业务牵涉到接触和处理个人信息,拿什么来证明自己为保护个人信息安全做了些什么,保护的能力如何,是否履行了相关法律要求?评估就是重要一步。2020年版的《个人信息安全规范》中,明确要求建立个人信息安全影响评估制度,规定定期(至少每年一次)开展个人信息安全影响评估。

按照这一制度,个人信息处理者应当对相关个人信息处理活动在事前进行风险评估,检验其合法合规程度,判断其对个人信息主体合法权益造成损害的各种风险,以及评估用于保护个人信息主体的各项措施的有效性,并对处理和评估情况进行记录。

作为《个人信息安全规范》的配套标准,指南针对机构、企业提出了个人信息安全影响评估的基本概念、框架、方法和流程,供其自我评估使用,同时为国家主管部门、第三方测评机构等开展个人信息安全监管、检查、评估等工作提供指导和依据。

虽然是配套标准,但就保护个人信息安全而言,指南的重要性并不低于国标《个人信息安全规范》。因为国标提出了评估制度,但并未明确如何评估,只有出台指南,才能让评估有章可循,从这个意义上说,要让国标落地,指南实为抓手,出台指南堪称完善我国个人信息安全保护标准体系的关键环节。

随着《个人信息安全规范》的实施和指南的发布,保障个人信息安全的法网无疑是日趋严密,但这一点也可能会让部分企业产生担忧,担心束缚过多影响企业的创新和发展。实际上类似担心并无必要。指南的必要性在于它可以被广泛适用到各种实践案例,并且起到平衡发展与安全的作用,根据指南来进行评估相当于对企业来一次审计,在可能的风险处亮起红灯,帮助企业尽早“排雷”。这对任何想严守法律健康成长的企业来说有何不好?

11月25日,《个人信息安全规范》试点工作开始启动,阿里云、爱奇艺、旷视等企业则是试点单位。看来,在指南发布之后,《个人信息安全规范》已经有了良好的推广基础。而通过主管部门与企业的合作,则有利于各方对指南的科学性和可操性进行验证,更准确地了解个人信息安全如何去规范,以及摸清用户的痛点,并从中找到解决的办法。

编辑:何起良

1
对这篇文章有想法?跟我聊聊吧
南都新闻,未经授权不得转载。授权联系方式:
banquan@nandu.cc,020-87006626。