CCIA数安委等组织发布PIA星级标识名单,合合信息再次通过数据安全领域权威评估
近期,“中国网络安全产业联盟(CCIA)数据安全工作委员会”、“数据安全共同体计划(DSC)”等组织共同发起“个人信息保护影响评估专题工作(简称“PIA专题工作”)”,并为入围企业颁发了对应的等级标识。合合信息、快手、小天才、蚂蚁集团等11家企业首批获得“PIA二星级标识”。
2021年,《中华人民共和国个人信息保护法》(简称《个人信息保护法》)正式实施,其中第55条、第56条构建了我国个人信息保护影响评估制度。个人信息安全影响评估旨在发现、处置和持续监控个人信息处理过程中对个人信息主体合法权益造成不利影响的风险。然而,法律生效以来,企业在推进个人信息保护影响评估的过程中仍然着困惑和盲区,例如在落地《个人信息保护法》里的各类PIA场景以及各行业中PIA特殊风险时,现有的国家标准给出的操作指引难以对各方面细节进行兼顾。
CCIA数据安全工作委员会在专题研讨过程中发现,操作指引落地难的主要原因涉及如下方面:数据安全风险评估对于评估人员的要求较高,部分组织无法独立完成高质量的数据安全风险评估;数据安全面临风险源没有成熟的清单,评估人员对风险的分析可能存在较多遗漏;实施单位仅依照“指引”内容进行合规性评估,忽略了风险评估中核心的风险管理理念等。
为切实推进个人信息保护影响评估制度发挥实效,PIA专题工作汇聚业界之力,共同推动PIA细分场景、行业的实施指引的落地。“PIA标识”申请、评估及发放是个人信息保护影响评估工作常态化工作中的重要动作。其中,获得“一星级”标识要求企业与该标识相关的特定业务场景的PIA评估工作参考了相应国家标准及PIA专题工作制定的工具表格,工作方法较为规范;获得“二星级”标识则需要引入权威第三方机构的测评结果。
数字化大潮之下,如何更及时、有效地保护个人信息,已成为一个全球热议的命题。现阶段,美国、加拿大、欧盟等多个国家和地区都制定了PIA的相关要求,对个人信息保护影响评估的监管要求不断加强完善。企业优秀实践案例的挖掘,将有助于产业生态的健康发展。合合信息是一家人工智能及大数据科技企业。通过可信的技术手段及体系化内控机制,合合信息在响应合规需求,保障数据安全的同时,为全球上亿个人用户和企业客户提供数字化、智能化的产品及服务。
经过PIA专题工作组及第三方权威机构评估,合合信息等科技企业相关场景在信息处理的规范性、所具备的安全措施、风险源识别、个人权益影响分析等方面表现优异,获得“PIA二星级标识”。此前,合合信息曾入选中国信息通信研究院“卓信大数据计划”数据分类分级首批试点单位、数据安全管理能力认证试点单位等。