国家标准《个人信息安全影响评估指南》制定进展汇报

在2018年第一次全国信安标委网络安全标准工作周上（4月），《个人信息安全影响评估指南》成功进展到了征求意见稿。目前，2018年度第二次工作周正在青岛举行。刚刚，公号君代表标准编制工作组汇报了从4月到10月这个期间的工作进展。现在把汇报的PPT贴出来供大家参考。

顺便提下，DPO社群已经完成了对第29条工作组对GDPR中的数据保护影响评估（Data Protection Impact Assessment, DPIA）指导意见的翻译工作——《关于数据保护影响评估（DPIA）以及确定处理是否“可能导致高风险”以达到2016/679号法规目的的指南》。经过进一步校对后，将很快与大家见面。

总的来说，欧盟、印度、巴西加起来20亿人口，都在其个人信息保护相关法律中规定了数据保护影响评估的内容。【巴西《通用数据保护法》全文中文翻译（DPO沙龙出品）、印度《2018个人数据保护法（草案）》全文翻译（中英对照版）（DPO沙龙出品）】。美国产业界、商务部、NIST抛出来的隐私立法立场文件中，也都积极倡导风险为基础的路径。美国商务部NTIA直言：风险管理是本届政府开展隐私保护的基本路径。

可以预见，在未来我国立法很可能引入类似的影响评估要求。目前，国家标准《个人信息安全规范》初步对个人信息安全影响评估作出了要求，但没有对此提出如何开展评估和如何落地。希望我们制定的这个标准能在明年发布，对组织开展类似工作提供方法论上的指导。

以下是汇报的PPT