数据隐私101:什么是隐私影响评估?

2019-05-22 03:16:13 虞辏愦 26
发布于2018年10月30日下午2点43分
更新时间:2018年10月30日下午2:44

我们生活在一个个人数据非常有价值的时代,现在许多商业模式和经济实际上是围绕其收集和使用而建立的。 为了防止或至少阻止滥用,政府制定了旨在规范这种现象的法律。 菲律宾有第10173号共和国法案或2012年数据隐私法案(DPA),国家隐私委员会(NPC)负责监督其正确实施。

对许多人来说,理解法律的许多规定并将DPA合规性转化为组织的日常运作是一项艰巨但必要的任务。

为了解决这个问题,我们直接找到了消息来源,并签了两位专家--Jate Jacob,Ateneo de Manila大学的数据保护官和NPC隐私政策办公室的前负责人; 和全国人大政策与规划副私隐专员常春藤帕图。

从两个有利位置可以看出,这两个文章将起到一系列文章的作用,这些文章涉及法律的各种合规要素,并以FAQ形式呈现。 在本期中,他们讨论了隐私影响评估。

什么是隐私影响评估?

常春藤:隐私影响评估(PIA)是一个管理由个人数据处理引起的数据隐私风险的过程。 主要针对程序,项目和流程进行,也可以在整个组织或特定技术产品上执行。

它提供了一种系统的方法来回答以下问题:您处理的是哪些个人数据? 它是如何处理的? 现有的数据保护措施是什么? 处理的哪些方面可能会对有关个人,组织或公众造成伤害? 如何解决伤害风险?

PIA要求组织评估其当前的操作,以识别数据隐私和安全的风险,评估这些风险的影响和可能性,并制定解决这些风险的计划。 它包括一个允许连续性和可持续性的审查过程。

简而言之,它是我们预测和准备个人数据处理引起的潜在问题的一种手段。 通过这种方式,我们确保以最小的个人伤害风险实现后者的利益。

什么是DPIA,它与PIA有什么不同?

Jam: DPIA是指数据保护影响评估,该评估在欧盟(EU)通用数据保护法规(GDPR)中有所体现。 它与PIA基本相同,只是它们的执行方式存在差异。

例如,DPIA在3个实例中是强制性的:

  1. 在自动化处理中,涉及对个人个人方面的系统和广泛评估,并导致对他或她产生重大影响的决策
  2. 大规模处理特殊类别的数据,或与刑事定罪和犯罪有关的个人数据
  3. 在公共区域的大规模系统监测。

GDPR还指示每个欧盟成员国发布必须接受DPIA的列表数据处理系统。 另一方面,DPA没有明确要求PIA。 全国人大要求政府机构,但是通过委员会的第16-01号通知。

在欧盟,未能执行强制性DPIA可能会导致严重罚款。 对未能在特定处理中执行的实体征收高达1000万欧元的罚款。 如果DPIA做得不正确,或者如果法律要求,实体未能咨询数据保护机构,情况也是如此。 如果它与企业有关,则罚款最高可达该实体上一财政年度全球总收入的2%。

相比之下,没有进行PIA,在任何现有政策下都不会受到惩罚。 但是,组织会受到警告,这可能是调查或案件中的一个关键因素,因为全国人大或法院正试图确定他们是否在保护其控制或监管下的个人数据时尽职尽责。

为什么进行PIA很重要?

常春藤: PIA允许组织实施基于风险的数据保护方法。 它告诉组织如何开始遵守DPA及相关法规,使其能够优先处理高风险处理活动并制定长期合规战略。

PIA还证明了组织遵守数据保护法的承诺,并表明它承认对其处理的所有个人数据负责。 如果PIA是针对整个组织进行的,它还将促进和协助满足NPC的注册要求,包括维护组织处理活动的记录。 还将获得改进现有政策和程序所需的重要信息,包括隐私声明。

最后,PIA通过要求利益相关者参与来提高整个组织的数据保护意识。 人员对基于PIA结果实施的数据保护措施有一种归属感,使他们更有可能遵守这些措施。

是否有理想或推荐的方法来执行PIA?

Jam:至少目前,没有一种特定的PIA方法被推荐或被认为优于其他组织或服务提供商认可的方法。

有时,像法国国家信息和信息自由委员会(CNIL)这样的数据保护机构会开发自己的系统,当然,它的选区也可以考虑自己的PIA流程。

还有像ISO这样的标准制定机构已经开发了自己的PIA方法(即ISO / IEC 29134:2017)。 当然,那些寻求从这些机构获得认证的人必须采用他们规定的方法。

尽管如此,这些都没有导致声称一种方法比其他方法更好或更有效。 为了展示其开发隐私管理计划的努力,组织可以自由地开发自己的PIA方法。 在许多情况下,组织借用不同来源的方面,以达到满足其关注点和需求的独特流程。

Ivy: NPC没有规定执行PIA的特定方法,前提是它完成了风险评估的目的。 组织可以查看NPC Advisory 2017-003(“隐私影响评估指南”),在确定采用的适当PIA方法时,建议考虑以下因素:

  1. 它应提供数据清单,组织的数据流和处理活动的描述,以及现有的数据保护安全措施。
  2. 它应包括对组织遵守数据隐私原则和安全措施实施的评估,包括允许人们(即数据主体)对其数据行使权利的机制。
  3. 它应识别和评估数据处理系统对受影响个人的权利和自由构成的自然和人为风险。 然后,它应该提出解决和管理这些风险的措施。
  4. 它应该是一个包容性的过程,因为它涉及所有相关方,并从数据保护官和数据主体获得投入。

进行PIA时遇到的一些问题或挑战是什么?

常春藤:主要的挑战是了解PIA的含义。 对于某些组织而言,如果他们不了解其目的,以及在合规过程中的重要性,这可能会让人无法理解。

虽然PIA不是一个简单的过程,但它也不是那么复杂,以至于它不能由资源有限的组织承担。 有必要提高认识并制定新战略,使组织在这方面具备能力。 目标是使PIA成为一项常规活动,并成为组织战略的一个组成部分。 良好的规划和管理支持可以解决其实际行为中的许多共同挑战。

果酱:有很多。 但是,让我关注一些反复出现的问题:

  1. 缺乏对PIA价值的理解和欣赏。 当公司人员的投入和参与对PIA至关重要时,将其视为额外的负担,不认为是优先事项,或者根本不对其优点感兴趣,这很难实施。 如果管理层具有相同的心态,那就更糟了。
  2. 缺乏或完全缺乏文档。 许多公司实际上没有适当的操作和流程文档。 没有它,执行PIA变得更加困难,因为缺乏整个PIA过程所需的基础信息。
  3. 混乱的组织结构。 PIA的关键还在于确定流程所有者或负责特定流程,程序或项目的办公室或单位。 在许多情况下,公司不遵循其组织结构。 这使得即使对于其自己的人员来说,在确定管理特定数据处理系统的责任时也会令人困惑,包括在其上进行PIA。

一个人应该多久进行一次PIA?

Jam:建议使用PIA时有6个实例:

  • 当组织从未对其任何数据处理系统进行过时
  • 当有新的数据处理系统时
  • 当对现有数据处理系统引入实质性变化时
  • 当存在可能对现有数据处理系统产生潜在影响的重大外部发展时
  • 当现有数据处理系统涉及重大数据泄露或重复发生的安全事件时
  • 当它是根据预先确定的时间表

在最后一个项目的情况下,组织可以在确定其优选时间表时依赖于任何数量的因素(例如,可用资源,对操作的潜在破坏,PIA方法的复杂性,风险偏好程度等)。 - Rappler.com

更多关于数据隐私:


Ivy Patdu是国家隐私委员会的成员,他是负责政策和规划的副隐私专员。 她还是电子健康隐私专家组的成员,也是Ateneo de Manila法学院和San Beda Law of Law-Alabang的教员。 自2011年以来,她一直致力于数据隐私。

Jam Jacob(@jamjacob)是Ateneo de Manila大学的数据保护官。 他还是民间社会组织媒体替代基金会隐私和监督计划的协调员,并且是政府和私营部门几个组织的顾问。 他曾担任国家隐私委员会隐私政策办公室主任,自2011年以来一直致力于数据隐私。

这里的个人陈述不是其各自隶属关系的官方立场。