(一)个人信息保护默认设置状态的义务
在决定信息处理的方式与信息处理的过程中,信息控制者与信息处理者必须采取恰当的技术、组织措施与程序规则来确保信息的处理满足法律的要求并保护信息主体的权利。现有技术发展水平、国际最佳操作实践与信息处理过程中可能面对的风险都会成为判断信息控制者采取措施是否达到标准的评价考量因素。
数据信息的默认保护应指向从信息采集、处理到删除的整个生命周期,系统地专注于准确性、保密性、完整性、物理安全性与个人信息删除方面,全面的程序保障。个人信息的默认保护状态到底应必须具备哪些内容,还需结合技术发展、物质条件、社会环境等因素,进一步探索与明确。
(二)特定情况下开展信息保护影响性评定的义务(www.xing528.com)
当信息处理的操作可能会给信息主体的权利与自由带来特定风险时,信息控制者或信息处理者需要进行信息保护的影响性评价。比如当信息主体的权利被剥夺或者使用了特定新技术时,信息保护影响性评定的开展是希望限制并减少那些可能发生的违反信息保护规定的行为。欧盟新一轮的数据保护改革也将信息保护的影响性评定纳入到新的立法草案中,并列举在如下一些情形,义务主体需要进行信息保护的影响性评定:在处理敏感信息时;通过信息的自动化处理对信息主体行为图谱进行分析时;在公共区域,使用大规模光学电子器件(视频监控)进行监控时;或处理的信息是对儿童数据、基因数据或生物学数据进行大规模的采集与归档时;当新建的大型归档系统将信息处理的目标定位于处理相当数量的地方性、国家性或超国家性的个人信息,并可能会影响到一个非常广泛的群体时,特别需要进行信息保护的影响性评定。
事实上,是否应展开信息保护的影响性评定时,需要考虑信息处理可能产生的风险。信息保护的影响性评定应包括:对信息处理操作的说明,对可能给信息主体的权利与自由带来风险的评定,对采取的确保降低风险、保护个人信息与遵守法律规定措施的说明;为了达到信息处理目的而进行的信息处理需要在必要性与比例上的相称性上进行评定;需要指出信息删除的期限;需要对信息处理的背景进行评定。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
