关于信息安全技术 个人信息安全影响评估指南的意见Word格式文档下载.docx
- 文档编号:16207824
- 上传时间:2022-11-21
- 格式:DOCX
- 页数:18
- 大小:31.64KB
关于信息安全技术 个人信息安全影响评估指南的意见Word格式文档下载.docx
《关于信息安全技术 个人信息安全影响评估指南的意见Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《关于信息安全技术 个人信息安全影响评估指南的意见Word格式文档下载.docx(18页珍藏版)》请在冰豆网上搜索。
GDPR是基于自动处理的法案。
“Dataprotectionimpactassessment”是在数据的自动处理中评估各种不确定性可能产生的影响,因此,“Dataprotectionimpactassessment”不是简单的影响评估,是风险评估。
如果此法案基于中国,应该设计相应的风险管理标准,而不是四不像的影响评估标准。
三、关于标准结构
由于该标准基准的严重缺陷和GDPR的不适当解读,该标准缺乏一条清晰的逻辑主线。
既要“发现、处置和持续监控个人信息处理过程中的安全风险”,又“必须在收集和处理个人信息前开展个人信息安全影响评估”,这是2条完全不同的标准路径(虽然相关)。
如果评估影响个人信息安全的因素,个人信息安全影响评估标准应引用个人信息安全风险管理标准,构成完整的评估体系。
一味囫囵模仿GDPR,既无完整的评估规则,亦使风险管理琐碎化,因而,整个标准呈现似是而非的逻辑。
四、关于标准正文
虽然该标准存在上述问题,仍须商榷标准正文存在的缺陷:
1、范围
“国家主管部门、第三方测评机构等开展个人信息安全监管、检查、评估等工作提供的指导和依据”,该标准尚显单薄,且路径不清晰。
2、术语3.1
“检验其合法合规程度,判断其对个人信息主体合法权益造成损害的各种风险”,这应该是2条标准路径,如此定义易引起歧义。
如前述,个人信息安全影响评估,是对个人信息安全可能产生影响的因素评估,包括合法合规,与风险相关,但不是风险管理,应引用风险管理标准。
3、4.1
1)“个人信息安全影响评估是个人信息控制者实施风险管理的重要组成部分”,个人信息安全影响评估与风险相关,但不能等同于风险管理,绝不能与风险管理混淆。
个人信息安全影响评估,既脱胎于GDPR,应依据GDPR的语境理解为风险评估,而非影响评估。
2)“发现、处置和持续监控个人信息处理过程中的安全风险”,在个人信息生命周期内,个人信息安全风险不止于此,且紧密相关,仅仅发现、处置和持续监控个人信息处理过程中的安全风险,其它相关风险如何管理?
这里存在规则缝隙和边界效应。
3)“发现、处置和持续监控个人信息处理过程中的安全风险。
一般情况下,个人信息控制者必须在收集和处理个人信息前开展个人信息安全影响评估”,如前述,这是2条标准路径。
个人信息生命周期是个人信息管理者提供服务管理的过程,在收集、处理个人信息前,应设计相应的管理目标、管理计划、管理组织和策略等,并据此评估个人信息安全影响,这是评估的前提,无它,评估则为浮萍。
4)“明确个人信息保护边界”、“……持续修正个人信息保护边界”,边界在哪里?
如何描述和定义?
以DB21/T1628.2的边界定义为例:
“个人信息管理者依据DB21/T1628.16.4履行个人信息管理责任,应限定管理边界:
a)层级和权责:
个人信息管理者内部管理、业务层次和权限、责任;
b)部门间:
个人信息管理者内部各部门之间的关联、影响;
c)外部:
个人信息管理者与客户、社会组织之间的关联和影响;
d)个人:
个人信息管理者的员工行为和责任。
”
5)“对个人信息主体权益造成的影响”,注意,这里是个人信息主体权益。
6)“业务现状、威胁环境、法律法规、标准要求等情况持续修正个人信息保护边界”,个人信息安全的边界应是管理边界,应根据组织运营环境、组织管理环境、业务变化等修正。
7)“使个人信息处理过程处于风险可控的状态”,如何风险可控呢?
所以,该标准似是而非。
4、4.2
1)“a)识别对个人权益造成的影响”。
注意,这里是个人权益,与个人信息主体权益是什么关系?
同样,不能简单抄袭GDPR“rightsandfreedomsofnaturalpersons”,是否基于欧盟的环境理解了GDPR的原意?
2)“b)为产品和业务设计阶段的个人信息保护……”、“c)评审新上线信息系统在处理个人信息时……”,同《个人信息安全规范》,该标准的基础是什么?
应该如何解读b)、c)?
如同GDPR明确“appliestotheprocessingofpersonaldatawhollyorpartlybyautomatedmeans”。
3)“向相关方共享安全风险并采取风险处置措施”,相关方是什么概念?
共享安全风险是什么概念?
商业活动存在多主体风险共担,个人信息安全如何共享安全风险?
是否各方都承担责任、义务?
各方之间的安全缝隙如何解决?
风险处置措施应由哪一方实施,如何确定职责……。
如果依据5.2.4确定的相关方,所列各个相关方存在不同的情况,如个人信息主体,提供个人信息存在风险,但风险管理责任在个人信息管理者,个人信息主体主张权利;
如所谓消费者代表,安全风险责任存在个人信息管理者;
如业务合作伙伴,确实合作双方均应承担风险,但不是共享,而是安全风险责任随个人信息相关业务转移等等。
共享安全风险存在着严重的规则缝隙,且为风险责任主体提供开脱的机会。
4)“向合规部门反馈证据”,合规部门的职责是什么?
风险处置不应该是合规部门的职责,应该如何解决?
5)“个人信息安全影响评估通常被视为一种预警机制”,所谓预警机制,应建立在风险管理基础上,而非影响评估。
6)“为组织提供一种安全风险发现方法,用于发现个人信息的处理过程中存在的安全风险”,这应该不是影响评估的功能,特别是该标准没有,也并不能解决这个问题。
7)“如果安全风险的影响非常严重且无法预防或保护”,这应该是安全风险的等级,而非影响评估的程度。
8)“通过尽早考虑个人信息安全问题降低时间管理成本、法律费用以及潜在的媒体或公众担忧”、“个人信息安全影响评估不仅是简单的合规性检查,还可以帮助组织在持续合规性审计或调查中证明其遵守了相关个人信息与数据保护法律、法规和标准要求。
如果发生个人信息安全风险或违规事件”,这应该是影响评估应解决的问题。
9)“发生个人信息安全风险或违规事件”,这是2个问题,2个标准路径……
本节完全是企业合规的思维,没有跳出这个思维,站在一定高度考虑个人信息安全,强行将合规与安全风险扭在一起,价值观扭曲。
5、4.3
1)这一节比较突兀,在整个标准结构中的位置似乎不妥。
2)“对于个人信息主体,个人信息安全影响评估是一种工具,可确保个人信息主体的个人信息得到有效保护”,只是工具,不可能确保。
3)“个人信息安全影响评估是一种工具,用于管理个人信息安全风险、提升意识、建立责任制度;
……”,有相应的管理机制、管理策略等的规则吗?
个人信息安全规范恰恰缺失了这一关键规则。
6、4.4
“应由最高级别的个人信息安全影响评估管理员负责确保评估流程的执行及结果的质量。
经指派负责进行个人信息安全影响评估的人员可选择自行执行评估流程,或请求其他内部和/或外部相关方提供帮助,或将个人信息安全影响评估流程外包给独立第三方”
1)个人信息安全影响评估管理员怎么出现的?
职责是什么?
如何评判质量?
2)负责进行个人信息安全影响评估的人员的职责是什么?
根据和如何选择或请求?
3)如何判断评估质量?
等
7、4.5
1)“个人信息主体范围和程度”,个人信息主体是自然人个体,一个自然人的范围和程度是什么?
2)“个人信息安全影响评估的规模往往取决于受到影响的个人信息主体范围和程度。
如果影响的对象仅为组织内部员工时,可以仅针对员工的典型代表开展小规模的评估;
如果政府部门希望为公民福利建议一个新的标识符管理系统,则需要实施一个更大范围的个人信息安全影响评估活动,同时涵盖外部的相关方”,本段语焉不详:
a、没有明确本节标题(规模,个人信息主体范围和程度明显有误),所指2例,并不能为规模做注脚。
b、所谓典型代表,如何选择?
如何确定其一般意义?
c、“为公民福利建议一个新的标识符管理系统”?
这也只是一个业务系统,评估可能对涉及的个人信息产生的影响,需要评估的是要素、关联因素、环境条件等,(非如大数据抽样类)与范围无关。
如果该标准的基准《个人信息安全规范》设计了个人信息的管理机制、管理体系、个人信息生命周期等,评估是否就简单易行的多。
3)“组织还会对其业务处理的个人信息实施自评估”:
a)这应该是一种内审机制,但内审规则在哪里:
b)所谓业务处理究竟是指的什么?
综观该标准,并未对组织的涉及个人信息的业务活动(非标准所指新技术、新产品开发云云)制定规则。
为什么要确定规模?
所谓个人信息安全影响的评估,是与组织的与个人信息相关管理、业务活动及相关因素相关,而非与规模相关。
如果评估前划定规模,可能产生多少边界效应?
8、4.6
1)“形成清晰的数据清单及数据映射图表”,从中国的国情和语境,到底是个人信息还是数据?
不能瞄着GDPR写中国标准。
这里的映射是什么概念?
1)“对个人权益造成的影响”,是个人信息主体权益还是个人权益?
二者是有区别的,个人信息安全相关标准约束的是个人信息主体权益。
本节正文与标题不符,原理在哪里(一个标准为什么要探讨原理)?
内容实际是一个不完整的流程。
本节将影响与风险混为一谈,这是2个不同的概念,影响评估与风险评估完全不同。
9、4.8
1)本节是评估活动还是评估方法?
2)“对信息系统相关人员进行谈话”?
?
3)……
10、5.1
1)“组织应在新的产品或服务的开发、启动、发布等环节”,结合4.8“访谈的对象为个人或团体,如产品经理、研发工程师、个人信息保护负责人、法务负责人员、系统架构师、安全管理员、运维人员、人力资源人员和用户等”、“评估人员通过人工或自动化安全测试工具进行技术测试,获得相关信息”等及其它章节,明显该标准的对象是“新的产品或服务”涉及个人信息安全的影响评估,同个人信息安全规范,与标准题目存在差异。
2)“如有必要,则需要确定评估责任人员,……”,既然是“新的产品或服务涉及个人信息安全的影响评估”,为什么是“如有必要”?
3)“出现本标准第6章的情形”,第6章是评估实施,不应该是出现……,而应该是遵循第6章的规则。
当该标准所说“新的产品或服务”涉及个人信息安全,其相关影响是必须评估的,为什么评估流程还要做必要性分析?
且本节内容与本节标题并不一致。
11、5.2
依据GB/T1.1-2009给出的规则起草,为什么这里还有悬置段
12、5.2.1
1)本节似乎和团队规则没有任何关系。
2)“组织应确认并任命负责进行个人信息安全影响评估的人员(评估人)”,本节是任命评估人还是建立评估团队,如果是评估人,他的职责、职权、能力是什么?
如果是团队,团队的职责、管理、成员能力等是什么?
所以本节与团队规则没有任何关系。
3)本节试图在“组建评估团队”的标题下规范风险准则,但是,如前述,影响评估与风险管理是2条标准路径,确定相应的评估规则和风险管理规则。
a)“评估人应定义风险准则,确保高级管理层认可该用于评价风险严重程度的风险标准”,不应该定义,而应是建立;
是建立风险准则、风险标准,还是风险管理标准?
b)“该标准可能以现有标准要求所示内容为基础”,现有标准是什么?
假定已知现有标准,也只能是风险标准制定的基准,而非基础。
c)“……应确认风险接受标准……”,难道风险管理标准不包括风险可接受规则?
d)“风险准则应反映组织的价值、目标与资源”,价值、目标与资源应是风险管理的依据,而不是反映。
e)“在制定风险准则时,评估人应考虑以下因素”,似乎所列各项应是影响评估应考虑的因素,而非风险管理因素。
f)“个人信息可用性、机密性及完整性在运营方面的重要性”,信息的可用性、机密性可以理解,个人信息与信息具有不同的属性特征,如何理解可用性、机密性呢?
个人信息仅仅完整是不够的,且运营的概念很可疑?
g)“信息处理的战略价值,如信息处理产……”,是信息还是个人信息?
h)……
13、5.2.2
1)“迭代”,评估迭代是个什么概念?
2)……
14、5.2.3
1)明显缺失个人信息主体权利的评估;
2)明显缺失个人信息管理者责任、义务的评估;
3)明显缺失管理机制的评估等。
4)“4)信息安全目标”,是信息安全还是个人信息安全?
5)“关于数据收集方式、收集对的数据的说明。
说明中应阐明谁将有权访问个人信息,包括个人信息主体访问权限的相关参数”,到底是数据还是个人信息,这种概念混淆比比皆是;
个人信息主体访问权限?
6)“或个人信息的共享人”,不存在个人信息共享,这是安全风险的伏笔。
既然该标准源自GDPR,应该理解GDPR“联合管理者(Jointcontrollers)”的原意。
依据本条规则,信息系统应用是共享、开发的,但信息系统应用中涉及的个人信息,其管理者是唯一的,承担相应的责任和义务。
7)“5)个人信息周期的数据流示意图,例如个人信息的生成、应用、转移和处理”,个人信息周期是什么?
明显有误,应是个人信息生命周期,它的定义、描述、设计等相关规则呢?
如何贯标落地?
到底是数据流还是个人信息流?
个人信息可以生成吗?
8)……
14、5.2.4
1)个人信息主体不应该是相关方,个人信息安全影响评估,应是评估个人信息及其主体权益的安全状况。
2)相关法缺失了个人信息管理者。
3)“相关方可以是拥有或可能获取个人信息访问权限的所有个人信息主体”,?
这是对个人信息主体的曲解。
4)“个人信息的范围与规模”?
5)“可能受到影响的个人信息主体数量”,影响评估是个人信息安全影响及相应的个人信息主体权益,为什么要计算自然人数量?
6)“如果预期风险将影响到国家内的每一个人”?
不明白做的什么
7)……
这一节到底要解决什么问题?
相关方咨询是要解决什么问题?
整节似在论文,非标准,却又不明所以。
15、5.3
映射是什么概念?
数据映射是要做什么?
既要“个人信息处理过程进行全面的调研”,又要“形成清晰的数据清单”,到底是个人信息还是数据?
整节内容与本节标题不符。
16、5.4
1)“分析其是否存在对个人信息主体权益产生影响”,个人权益与个人信息主体权益是不同的,是个人权益还是个人信息主体权益?
2)“个人权益影响分析一般指根据不同的个人信息处理活动,分析其是否存在对个人信息主体权益产生影响”,这里是概念错误,个人信息相关处理活动,对个人信息主体的影响是一定的,但根据语境,不是分析对个人信息主体权益的影响,而是分析是否存在个人信息主体权益的安全风险。
本节的内容似亦如斯。
3)“影响个人自主决定权”,是个人还是个人信息主体?
个人的定义是什么?
由于该标准的基准标准缺失个人信息主体权利规则,缺失个人信息主体权利的评估,所谓决定权,也仅仅评估个人信息主体权利之一,是不完整的。
4)“对个人信息主体权益产生影响。
个人权益影响概括可分为”,是个人信息主体权益还是个人权益,二者什么关系?
如何界定?
5)对个人信息主体权益的影响,首先是个人信息主体权利,没有标准依据,如何评估?
6)“个人权益影响”,应为个人信息主体权益安全风险。
7)““影响个人自主决定权”、“引发差别性待遇”、“个人名誉受损或遭受精神压力”、“个人财产受损”四个维度”:
a)如果评估个人信息安全风险或个人信息处理活动对个人信息主体权益的安全风险,风险是多方面的、存在是多样态的,仅仅限定4个所谓维度本身就存在极大的安全风险。
b)如果评估个人信息安全风险或个人信息处理活动对个人信息主体权益的安全风险,还应考虑与个人信息处理活动、与个人信息主体权益相关因素的分析。
8)“,因疾病、婚史等信息泄露造成的针对个人权利的歧视”,这里涉及敏感的个人信息,是严禁收集或采取特殊安全保障。
个人信息安全规范将敏感的个人信息和个人信息的敏感性混为一谈,将可能造成严重的后果。
9)“分析个人信息在数据流程以及个人信息处理活动全生命周期的范围内”,?
到底是数据还是个人信息,数据流程如何解释?
生命周期如何定义和描述?
10)“审视是否存在侵害个人信息主体权益的风险”,究竟是分析影响还是风险?
11)“个人信息处理过程弱点分析、问题确认,以及影响分析”,应该分析个人信息处理过程的缺陷和风险,而不是弱点。
12)所谓“个人信息处理过程弱点分析”,缺失了个人信息主体权利、个人信息管理机制、个人信息生命周期管理……的分析。
同样,在所谓“个人信息处理活动问题分析阶段”亦如斯
13)“意料之外的数据披露对个人造成影响”,数据披露可能对个人产生影响吗?
显然,数据与个人信息使用混乱。
17、5.5
本节同样缺失了个人信息主体权利、个人信息管理机制、个人信息生命周期管理……的分析
18、5.6
一个风轻云淡的风险分析。
同样缺失了个人信息主体权利、个人信息管理机制、个人信息生命周期管理……的分析。
却未涉及风险识别、风险处置等等风险管理全过程。
19、5.8
该标准并没有完整的风险管理全过程,如何风险处置呢?
这完全是2条不同的标准路径,应互相引用。
20、……
以下不予置评。
整篇似在编写论文,而非标准,没有精炼的标准规则,只有大段似是而非的论述,却又概念混乱、逻辑混乱、规则混乱、遣词造句混乱,如此标准,能达征求意见,实属奇葩。
该标准似是规范新产品、技术和服务涉及个人信息处理活动的影响评估,个人信息安全规范似是规范网络空间活动和行为,是网安法的注脚,二者并不一致,且标准内容与标准题目亦不一致。
标准,应由1人执笔,多人执笔拼凑,势必混乱。
且不能盲目拾GDPR牙慧。
标准,毋论国家、地方、行业,不能囿于编写者的环境、立场,应站在一定高度,具有顶层、全局、前瞻性思维。
大连软件行业协会大连交通大学郎庆斌
个人信息保护工作委员会及法规组全体同仁
2018年6月22日
附录《个人信息安全规范》辨析
GB/T35273-2017《信息安全技术个人信息安全规范》(以下简称规范)将于5月1日开始实施,这是我国社会生活中的一件大事,对规范全社会个人信息使用,具有深远意义。
然而,规范存在缺陷,甚至严重的缺陷,虽然在征求意见阶段已经简述了规范存在的问题。
一、标准题目
1、题目与规则对应
规范标题所传达的应是个人信息安全,依据标题,编制个人信息安全标准,应该如何建立规则,保障个人信息相对安全:
a)明确个人信息存在形态、形式,建立个人信息安全模型;
b)明确个人信息安全本质,建立个人信息管理模型;
c)聚焦管理要素,达成管理结果,建立管理体系;
d)明确个人信息生命周期,确立体系框架内的管理环节;
e)基于ISMS的安全管理等等。
2、题目与内涵
标准《信息安全技术个人信息安全规范》,应是普适的标准,可是,标准虽未明确限定为信息网络系统,然而,标准条文所传递的内涵,似乎如斯,应该如何理解?
规范信息网络系统的个人信息处理本身没有问题,但是,如何界定标准的边界,特别是外部边界?
依据标准题目,如何与信息网络系统之外的社会、生活、政治、经济等现实对标?
如果仅仅限定为信息网络系统,如何保证个人信息来源的安全性、合法性(第5章仅限于一些收集的约束条件,并不明确个人信息源);
果以信息系统为基,放大到网络,如何保证个人信息安全?
在我国的国情中,存在大量的以纸质及其它形态媒介保存的个人信息,而这一部分恰恰是保护的重点(采集或录入恐怕都存在这种状况),如果仅限于信息网络系统处理个人信息,如何防止信息系统处理个人信息向纸质及其它形态媒介转移,从而产生严重的边界效应,所谓暗度陈仓,多少非法使用可以假汝之名。
规范注重形式,疏于要义,倾向功利化。
个人信息安全是一个生态问题,是寄生在社会生态中的生态系统,因此,是跨领域、跨行业的复合科学问题,需要概念、理论、实践等较深刻的研究和相当充分的实践验证(即目前所谓最佳实践)。
二、标准结构
1、逻辑主线。
编制标准,需要设计一条严谨的、贯穿始终的逻辑主线,个人信息安全标准的逻辑主线,应是个人信息生命周期的服务管理过程。
规范仅仅截取了个人信息收集、处理过程控制的不完全逻辑,使标准的执行效能、可操作性大大降低。
2、管理和管理体系
毋论信息安全、个人信息安全,关键是管理。
管理缺失,无论约束什么规则,都是欠缺的、无法达成相对安全的目的。
个人信息安全标准应以管理为主线,服务个人信息主体,管控个人信息质量,制定相应的约束规则。
但组织内的管理是多维、发散的,需要建立个人信息安全管理体系,聚焦2维或3维个人信息管理要素。
一如ISO9001所述“采用质量管理体系应该是组织的一项战略决策,可以帮助组织改进其整体绩效,并为可持续发展计划提供良好的基础”。
体系收敛管理维度,聚焦管理、质量、过程,是发散的管理形成的结果。
个人信息管理者占有、管理个人信息,明确个人信息安全承诺。
因而,必须确定其管理责任、义务和管理机制、策略,约束其管理行为或活动,以规范的形式,确立个人信息安全的导向。
个人信息管理者内存在各种人员要素。
必须指定责任主体,明确职能、职责。
而非笼统地规定个人信息管理者的行为规则,可能造成事件责任主体不清,推诿扯皮,失去标准的效能。
个人信息安全管理体系是组织为保障个人信息安全和个人信息主体权益构建的制度化、规范化、科学化的管理体制。
不能简单认为组织内体系多如牛毛,而采取发散式管理,亟易产生责任交叉、边界效应、规范客体不清等弊端。
虽然,一体化体系建设是发展方向,但囿于目前国际、国内标准建设的发展,只能逐步与各种管理体系融合、协调,减少体系间的冲突,而不是因噎废食。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 关于信息安全技术 个人信息安全影响评估指南的意见 关于 信息 安全技术 个人信息 安全 影响 评估 指南 意见