个人数据保护影响评估制度研究

发布时间：2020-07-19 06:51

【摘要】：个人数据保护影响评估制度源起于隐私影响评估制度,旨在平衡个人数据的合理利用与有效保护间的矛盾。该制度缘起于数据乱象治理、数据全生命周期安全与多方协同的数据善治对于制度与机制保障的需求;演进经历了从自律性模式、强制性模式到推荐性模式的变化,具有风险主导性的特点,演进路径整体上呈现由宽松到严格的态势。不同国家和地区对于该项制度的建立与适用虽不尽相同,但是在内容与流程上仍存在高度一致性。个人数据保护影响评估制度的主体多元,包括参与主体,保护主体,决策主体,执行主体和咨询主体;客体为规制对象,即对个人数据保护可能会产生高风险的数据处理活动。个人数据保护影响评估制度所采用的评估标准是“严重性”+“可能性”,所遵循的基本原则包括“数据最小化原则”、“数据合目的性原则”、“同意原则”以及“存储限制原则”等,基本流程包括初筛、识别、咨询、评估以及后续跟进。适用个人数据保护影响评估制度有助于推动“以风险为进路”的风险管理以及基于“场景”的风险防范,当前实践中主要存在的问题为成本与受益比例失衡、标准化流程难以建立与评估报告公开及利用不理想。我国个人数据保护影响评估制度体系包括数据出境评估制度以及个人信息安全影响评估制度,而数据出境评估制度可被个人信息安全影响评估制度所吸收。从立法现状来看,我国的个人数据保护影响评估制度并不能达到治理数据乱象、保障数据全生命周期安全及实现多方协同的数据善治的目的。为推动该制度的完善,提高其立法位阶是必然,并可从建立统一登记簿、赋予监管机构适当权力和设置独立的数据保护官着手,结合数据跨境的相关标准以期构建一个行之有效的、国际化的个人数据保护影响评估制度。
【学位授予单位】：湘潭大学
【学位级别】：硕士
【学位授予年份】：2019
【分类号】：D922.16
【图文】：

地图,风险,地图,风险源

为影响个人数据处理的风险源的问题并描述风险源的能力；（2）需列举出恐惧事件，即列举所有可能发生且对个人数据保护产生不良影响的事件，包括非法访问个人数据、个人数据的不必要的更改和个人数据的消失等。例如，雇员的习惯数据被非法收集，并由上级领导直接以其作为解雇他们的证据（例如，视频监控）；联系人信息被检索和使用（垃圾邮件，精准广告等）；（3）需确定对数据主体的潜在影响，估计其严重程度。这取决于潜在影响中的不利影响，需结合控制这种影响的可能性进行综合判断；（4）识别威胁，通过回答问题“这是怎样发生的？”：①选择可能导致风险的风险源；②估计其可能性，这取决于个人数据的支持资产的脆弱性水平、风险源利用它们的能力水平和采取补救措施的能力水平；③根据所确定的因素，正式确定威胁。例如，恶意攻击者向网站上的表单输入意想不到的查询；一个竞争对手隐姓埋名，偷走一个便携式硬盘；工作人员错误地从数据库中删除多个表；破坏计算机服务器和电信设备；（5）根据以上分析画出风险地图（risk map）判断风险并确定风险等级：①严重性等于恐惧事件可能对个人数据保护造成的所有风险；②可能性等于恐惧事件本身发生的机率以及控制恐惧事件发生的能力水平。

流程图,流程图,影响评估,制度

图3-2个人数据保护影响评估制度流程图

【相似文献】