安全合规/GDPR--21--我们是如何开展PTA、PIA、DPIA风险评估的

最新推荐文章于 2024-09-10 09:51:22 发布
最新推荐文章于 2024-09-10 09:51:22 发布
阅读量9.8k 收藏 19
点赞数 7
分类专栏: 隐私合规 文章标签: ISO
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wutianxu123/article/details/89342011
版权

一、目的

在开展一个涉及用户隐私信息的新产品、产品的新功能、内外部的新流程(以下统称为“项目”)的早期阶段,需要对项目进行相应的隐私阈值分析(PTA),以帮助项目人员充分了解项目在隐私合规中所产生的影响。同时,在一定条件下进行的隐私影响评估(PIA)和数据保护影响评估(DPIA)能帮助项目人员充分了解项目在隐私数据收集与处理中所产生的风险。

二、适用范围

适用于所有新项目、项目的新功能、内外部新流程。

三、评估说明

3.1 隐私阈值分析(PTA)

应明确隐私阈值分析(PTA)期间涵盖的基本信息。包括项目描述、涉及的隐私数据、项目的开始日期与项目周期、项目的责任部门。

3.2 隐私影响评估(PIA)

从业务和合规性角度考虑,明确何时启动隐私影响评估(PIA)。同时,明确触发启动PIA评估的原因,原因包括该项目是否收集了新的用户信息、是否进行了新的隐私数据处理、是否涉及与其他服务提供商共享数据。

3.3 数据保护影响评估(DPIA)

依据PIA评估的结果,从隐私数据敏感处理的角度考虑,明确何时启动数据保护影响评估(DPIA)。同时,依据PIA评估的报告,明确触发DPIA评估的原因。

四、评估流程

4.1 评估准备

在评估的每一步,包括确定进行隐私阈值分析(PTA)的必要性、填写评估问卷、审查评估问卷、必要时提供信息安全审查和法律审查、批准评估等,都应当明确落实由哪个团队或哪个部门负责。

4.2 评估流程图如下:

在这里插入图片描述

五、如何进行PTA

5.1 评估方式

填写PTA评估问卷

5.2 PTA评估结果分析

如果生成的PTA报告中有任何一项评估条例表明需要启动PIA评估,以查明和弥补所存在的问题,则进行PIA评估。如果生成的PTA报告表明没有数据或隐私问题,则无需采取进一步措施。

六、如何进行PIA

6.1 评估方式

填写PIA评估问卷

6.2 PIA评估结果分析

通过PIA问卷来判定潜在风险,以决定是否需要进行完整的DPIA评估。如果潜在风险认定需要进行DPIA,则进行DPIA评估;如潜在风险认定不需要进行DPIA,则进入总结阶段。

七、如何进行DPIA

7.1 评估方式

填写DPIA评估问卷

比较官方的一个DPIA评估问卷模板:https://ico.org.uk/media/for-organisations/documents/2553993/dpia-template.docx

7.2 DPIA评估结果分析

通过DPIA问卷来发现潜在的风险,并对其进行修复弥补。

八、总结

在项目上线之前,评估小组应依据以上过程中给出的评估建议,确认所有已发现的风险都已经降低到了可控的水平。在确认所有已发现的风险都已经得到修复后,项目评估通过。同时应总结项目中产生风险的原因,吸取经验,避免以后项目中再次产生这样的风险。

最后,应明确被评估项目的参与人员名单和扮演的角色,如项目DPIA负责人、项目经理、项目成员等。并在最终由DPO签署评估报告,项目准许上线。

GDPR合规 | 企业应如何进行数据保护影响评估(DPIA)?
weixin_40344166的博客
09-17 1万+
​提起GDPR数据影响评估,也许很多企业主会想,这是不是GDPR规定企业的又一项新义务?准确的说,是的。DPIA这是GDPR设计和默认情况下数据保护的关键要素,同时也反映了GDPR基于风险的个人数据保护法。 数据保护影响评估简称DPIA: Data Protection Impact Assessment 和隐私影响评估PIA:Privacy Impact Assessment在GDPR第...
Security+ 2. 风险分析
f_carey的博客
07-29 655
2. 风险分析2.1 风险管理(Risk management)2.1.1 风险分析阶段2.2.2 风险分析方式2.2.3 风险计算2.2.4 风险响应措施2.3 风险缓解的控制类型2.3.1 变更管理2.3.2 分析风险的准则2.4 分析风险的业务影响2.4.1 业务影响分析(business impact analysis/BIA)2.4.2 风险对组织造成的影响2.4.3 灾难时间 风险指威胁利用漏洞引起某种损害的可能性 2.1 风险管理(Risk management) 评估 <--->
PIA软件:助力数据保护影响评估的强大工具
最新发布
gitblog_00563的博客
09-10 487
PIA软件:助力数据保护影响评估的强大工具 pia-backProgramme développé avec le framework RubyOnRails mettant à disposition une API RESTful à destination des outils PIA et PIA-APP. | Program developped with RubyOnRails pr...
PIA隐私影响评估要点(上)
elevn的博客
07-25 2675
个人信息处理活动是一项持续、动态的过程,即PIA并非是一次性即可完成的评估,而是一个持续的过程——PIA不分整体或是局部,结合国内外现行文件,本团队建议,除《个人信息保护法》第55款规定的情形外,若企业出现以下业务场景,应即进行PIA工作。当某种类型的处理,特别是适用新技术进行的处理,很可能会对自然人的权利与自由带来高风险时,在考虑了处理的性质、范围、语境与目的后,控制者应当在处理之前评估计划的处理进程对个人数据保护的影响。l 在我国目前的实践中,一般用PIA代指个人信息保护影响评估。
隐私工程实践路径系列:PIA篇(上)
yong9ai的博客
10-27 291
本文内容为《隐私工程实践路径》系列开篇,旨在通过笔者在数据合规与隐私保护领域的一系列实战中,总结出的理论框架+实践经验,以及隐私工程在企业落地过程中发现的重难点和针对性的解决方案。
2024年美国各州即将生效的新隐私保护法(下)
qq_41432686的博客
01-18 1925
目前尚未看到联邦层面统一隐私法在近两年落地的可能,随着2024年1月9日新泽西州加入隐私保护法的行列,以及联邦将更多的精力投入到监管人工智能当中,可以预见的是未来会有越来越多错综复杂、相互矛盾的州层级隐私法不断出现。这不仅给企业的合规运营带来挑战,同时越来越长的声明和毫无意义同意按钮也并未如立法者声明的那样真正保护消费者的隐私权利。在这样的法律环境下受益者是不是只有隐私法从业人员?我们需要重新审视何为符合公众利益的隐私保护法。
网络安全合规-PIADPIA、BIA
elevn的博客
04-22 3391
它涉及评估业务活动中可能发生的风险和对业务的潜在影响,并确定应采取的措施以减轻这些影响。DPIA的目标是评估数据处理的潜在风险,并根据评估结果提出建议,以减少或消除这些风险,保护数据主体的权利和利益。因此,尽管PIADPIA在方法和过程上相似,但它们的区别在于它们的重点不同,PIA更加关注个人隐私,而DPIA更加关注数据保护。PIA(Privacy Impact Assessment)是一种隐私影响评估,旨在评估新的或现有的处理个人数据的计划、项目或服务对个人隐私的影响,并确定和减轻任何潜在的高风险。
探索DPIA:一款强大的数据保护影响评估工具
gitblog_00038的博客
04-04 703
探索DPIA:一款强大的数据保护影响评估工具 去发现同类优质开源项目:https://gitcode.com/ 项目简介 是一个由CMCMSEC开发的开源项目,旨在帮助组织和企业执行数据保护影响评估,以遵守日益严格的隐私法规,如欧盟的GDPR(通用数据保护条例)。通过自动化和标准化流程,DPIA使得这个通常复杂的过程变得更加简单、高效。 技术分析 DPIA项目基于Python构建,利用其丰富的库生...
安全合规/GDPR--16--GDPR条例中的术语定义
武天旭的博客
03-18 1985
《通用数据保护条例》中的术语定义: 数据主体:终端用户的数据(就是个人用户的数据) 控制者:个人用户数据的直接对接者。以我司为例,涂鸦智能APP是直接对接用户的,使用涂鸦智能的隐私政策,此时涂鸦智能就是控制者。如果是客户OEM的APP,那用户个人数据对接的是客户OEM的那个APP,使用客户的隐私政策,此时客户是控制者。 处理者:处理控制者的数据。以我司为例,客户OEM的APP的数据会上传到涂鸦云进行处理(不是他们自己处理),所以在这个场景中,客户是控制者,涂鸦智能是处理者。 DPA:数据处理协议(Data
解析个人信息保护影响评估
elevn的博客
08-17 1512
从评估的目标看:重点是基于对内部操作中“高风险”的评估及识别,帮助企业及利益相关方对“高风险”的操作处理作出调整、控制或转移高风险,尽可能的避免及减少因前述错误操作处理带来的不合规风险(例如在法律符合性、信息主体权益保护、个人信息安全上会否带来现实的/潜在的负面影响),甚至延伸至可能的业务连续性风险,企业声誉受损的重大不利后果。(2)如果不属于,可参考行业通用判断为“高风险”的典型情形(例如GB/T35273第11.4,GB/T39335附录B),或者监管机构发出的需要影响评估的相关指引,判断评估必要性。
dpia:GDPR个人数据合规评估
05-06
GDPR 个人数据合规评估 环境 python 3.5.4以上 django 2.1.2以上 mysql 5.7以上 部署 mysql数据库建立dpia数据库 导入dpia.sql到数据库 配置settings的数据库选项 runserver运行
创建匿名数据库转储(仅MySQL)的实用程序。为Magento, Drupal和OroCommerce提供默认配置模板。- Smile-SA / gdpr-dump
01-27
The main purpose of this tool is to create anonymized dumps, in order to comply with GDPR regulations. Features: Data converters (transform the data before it is dumped to the file). Recursive table ...
gdpr-cookie-consent-banner:符合GDPR的Cookie同意标语实现
05-10
这是合规GDPR标语的原始JS实现(感谢 )。 它允许用户精细选择加入和退出四种不同的Cookie类别。 有什么特点? 小型,离散且非侵入式 符合GDPR React灵敏 提供四类 选择启用任何功能 每次访问均运行选择功能 ...
gdpr-react-redux-starter:入门应用程序,根据欧盟用户的IP地址向他们显示不同的内容
05-13
gdpr-react-redux-starter 还没准备好面对 然而? 使用此入门应用程序作为快速解决方案! 向欧盟居民呈现不同的内容(或简单的“抱歉,我们正在处理中”屏幕)。 该应用程序知道用户来自哪个IP地址,并将相应地呈现...
GDPR-Cookies-Manager:轻量级的完全可定制的,开源的GDPR Cookie和Javascript管理器
05-16
GDPR-Cookies-Manager 查看预告片: : 要求和想法... JQuery is requested. Performance will be improved by using minified JS, CSS and JSON files. 文档:Settings.json General object, includes ...
gdpr-analytics:WP插件使Google Analytics(分析)100%符合GDPR
05-17
我们正在寻找贡献者,随时加入! 这是通过Wordpress插件100%符合GDPR要求的Google Analytics(分析)实现的概念证明。 使GA GDPR兼容会带来一些问题,因为网络浏览器每当在Google服务器上选择发送其IP地址的默认...
企业如何开展个人信息安全影响评估(PIA)二
elevn的博客
08-20 952
开展评估前, 需对待评估的对象(可为某项产品、某类业务、某项具体合作等) 进行全面的调研, 形成清晰的数据清单及数据映射图表,并梳理出待评估的具体的个人信息处理活动。当组织定义的个人信息安全目标为符合相关法律、法规或标准的基线要求时, 则个人信息安全影响评估主要目的在于识别待评估的具体个人信息处理活动已采取的安全控制措施,与相关法律、法规或标准的具体要求之间的差距, 例如在某业务场景中与第三方共享个人信息, 是否取得了个人信息主体的明示同意。6.发生安全事件时,对个人信息主体合法权益可能产生的不利影响。
个人信息保护影响评估(PIA)怎么做?解发条件、实施步骤、操作指南
elevn的博客
08-21 5352
2020年11月发布的《信息安全技术 个人信息安全影响评估指南(GB/T 39335-2020)》明确了个人信息安全影响评估的原理、评估的具体实施流程,对评估的实务工作有了更强的指导意义。“个人信息保护影响评估”也称“个人信息安全影响评估”,是针对个人信息处理活动,检验其合法合规程度,判断其对个人合法权益造成损害的各种风险,以及评估用于保护个人的各项措施有效性的过程。01 识别风险:在开展个人信息处理前,组织可通过影响评估,识别可能导致个人信息主体权益遭受损害的风险,并据此采用适当的个人信息安全控制措施。
|个人信息保护影响评估的概念与实践-
elevn的博客
08-20 693
b) 检查:指评估人员通过对管理制度、安全策略和机制、合同协议、安全配置和设计文档、运行记录等进行观察、查验、分析,以便理解、分析或取得证据的过程检查的对象为规范、机制和活动,如个人信息保护策略规划和程序、 系统的设计文档和接口规范、应急规划演练结果、事件响应活动、技术手册和用户/管理员指南、信息系统的硬件/软件中信息技术机制的运行等。“个人信息保护影响评估”并非一种一劳永逸的评估,而是伴随着主体对个人信息处理活动的变化而需要不断更新的,即在特定情境发生时,就会触发评估的义务。第三步 确定评估对象和范围。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

武天旭

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值