PIA指南来了 | 数据保护合规,企业应该怎么做?
PIA指南来了 | 数据保护合规,企业应该怎么做?
2018年6月13日,全国信息安全标准化委员会(以下简称“信安标委”)对外发布了国家标准《信息安全技术-个人信息安全影响评估指南(征求意见稿)》(以下简称《PIA指南》)。《PIA指南》作为2018年5月1日正式实施的《GB/T 35273—2017信息安全技术 个人信息安全规范》(以下简称《个人信息安全规范》)的配套标准,以国内现有立法、行政法规、标准要求为出发点,针对机构、企业提出个人信息安全影响评估的基本框架、方法和流程。
企业进行数据保护的合规,应当掌握和经常使用的两个基本工具就是PMP和PIA(隐私管理体系和隐私影响评估),本指南对于帮助企业掌握PIA的适用范围、基本要求、执行程序和结果发布等具有很强的指导意义。
一
《PIA指南》的作用和效力
《个人信息安全规范》首次引入个人信息安全影响评估的概念,对个人信息控制者的组织管理方面提出了“建立个人信息安全影响评估制度”的基本要求:个人信息控制者应当定期(至少每年一次)对个人信息处理活动(尤其是委托处理、对外共享、转让或公开披露个人信息的情形)开展个人信息安全影响评估,形成个人信息安全影响评估报告;在法律法规有新的要求时,或在业务模式、信息系统、运行环境发生重大变更时,或发生重大个人信息安全事件时,应重新进行个人信息安全影响评估。
为促进个人信息安全风险评估取得实效,《PIA指南》在《个人信息安全规范》的基础上,分别针对个人信息安全影响评估的原理和框架、评估流程、评估的具体实施方式进行了详细的说明,资料性附录中给出了评估过程使用的判定准则和工具表。
与《个人信息安全规范》相同,《PIA指南》同样是国家推荐性标准,两项标准与此前发布的《信息安全技术 个人信息去标识化指南(征求意见稿)》、《信息安全技术 数据出境安全评估指南(征求意见稿)》等,构成了基本的个人信息安全保护国家标准体系。根据标准编制说明,《PIA指南》不仅适用于“各类组织自行开展个人信息安全影响评估工作”,也适用于“为国家主管部门、第三方测评机构等开展个人信息安全监管、检查、评估等工作提供的指导和依据” ,从而支撑我国《网络安全法》的实施工作。
个人信息安全影响评估不仅是组织的内部合规性检查,还可以帮助组织在持续合规性审计或调查中证明其遵守了相关个人信息与数据保护法律、法规和标准要求。如果发生个人信息安全风险或违规事件,个人信息安全影响评估报告可提供证据证明组织已经采取适当措施试图阻止上述情况发生,这可以有助于减轻、甚至免除相关责任和名誉损失。此外,通过个人信息安全影响评估,组织还可以对员工进行个人信息保护教育,使之警惕可能导致组织受损的个人信息安全问题。
二
评估工作形式
根据《PIA指南》,个人信息安全影响评估可以分为自评估和检查评估两种形式。
自评估是指个人信息控制者自行发起对其个人信息处理行为的评估,自评估可以由本机构组织专门负责评估、审计的部门开展,也可以委托外部专业机构开展评估工作。
检查评估是指个人信息控制者的上级机构组织或由国家职能部门依法开展的个人信息安全影响评估工作。检查评估也可以委托外部评估技术服务支持,应要求外部机构的评估结果对检查机构负责。
除法律法规有明确规定外(如《个人信息和重要数据出境安全评估办法(征求意见稿)》中的个人信息出境的安全评估要求),个人信息安全影响评估并非法律的强制性要求,所以个人信息安全影响评估应当以自评估为主。检查评估可能出现的场景包括行业主管部门针对所属行业开展的针对特定业务的抽查或普查式的检查评估,行业主管部门对特定公司主体发起的检查评估等。自评估和检查评估属于相互结合,相互补充的关系,除非法律法规有明确规定,自评估并不是检查评估的前提条件。
三
评估人和个人信息保护负责人
《PIA指南》在指南中引入了 “评估人”的概念,由评估人负责进行个人信息安全影响评估。评估人作为个人信息安全影响评估工作的主要执行人员和负责人,其工作职责贯穿整个评估过程,重要性不言而喻。
评估人与《个人信息安全规范》中的个人信息保护负责人的职责存在重合。《个人信息安全规范》第10.1节“明确责任部门与人员”的规定,个人信息控制者应当任命个人信息保护负责人和个人信息保护工作机构,其职责包括但不限于:
(1)全面统筹实施组织内部的个人信息安全工作,对个人信息安全负直接责任;
(2)制定、签发、实施、定期更新隐私政策和相关规程;
(3)建立、维护和更新组织所持有的个人信息清单(包括个人信息的类型、数量、来源、接收方等)和授权访问策略;
(4)开展个人信息安全影响评估;
(5)组织开展个人信息安全培训;
(6)在产品或服务上线发布前进行检测,避免未知的个人信息收集、使用、共享等处理行为;
(7)进行安全审计。
《PIA指南》第4.4节“评估责任主体”中指出:“应由最高级别的个人信息安全影响评估管理员负责确保评估流程的执行及结果的质量”。《PIA指南》在第5.2.1节“组建评估团队”中还明确,除了评估人,“组织还应指定人员负责签署评估报告”。
基于上述规定,我们理解,个人信息保护负责人的工作职责范围应当大于评估人,个人信息保护负责人应当负责领导和监督评估人的工作,并对最终的评估质量负责。个人信息保护负责人可以自行担任评估人,也可以根据实际情况任命其他人为评估人(比如,研发可能对隐私造成影响的新技术、服务或其他提案的项目经理)。
评估人负责具体执行评估工作,包括组织评估团队、制定评估计划、组织开展评估工作、准备评估报告等。
四
何时启动评估
个人信息安全影响评估是个人信息控制者实施风险管理的重要组成部分,旨在发现、处置和持续监控个人信息处理过程中的安全风险。一般情况下,个人信息控制者必须在收集和处理个人信息前开展个人信息安全影响评估,明确个人信息保护边界,根据评估结果实施适当的安全控制措施,降低收集和处理个人信息的过程对个人信息主体权益造成的影响;另外,个人信息控制者还需按照要求定期开展个人信息安全影响评估(《个人信息安全规范》要求至少每年一次),根据业务现状、威胁环境、法律法规、标准要求等情况持续修正个人信息保护边界,调整安全控制措施,使个人信息处理过程处于风险可控的状态。
根据《PIA指南》的规定,各组织应当在在新的产品或服务的开发、启动、发布等环节分析针对其开展新的个人信息安全影响评估工作的必要性。必要时,可以专门编制必要性分析报告,以推动组织内部按计划开展个人信息安全影响评估工作。
《PIA指南》以典型评估场景的形式列举了各组织可以开展新的或更新个人信息安全影响评估程序的场景:
(1)个人信息出境前评估;
(2)个人信息处理目的变更前评估;
(3)个人信息委托处理、转让、共享或公开披露前或范围发生变化时评估;
(4)个人信息匿名化和去标识化效果评估;
(5)其他情形,包括但不限于:
-
1)需要对去标识化后的数据重标识使用时;
-
2)通过购买、从合作伙伴获得方式收集、使用个人信息时;
-
3)使用“征得同意例外”条款收集、使用个人信息时;
-
4)使用“默许同意”方式收集个人信息时;
-
5)对政府、监管部门、司法部门提供个人信息前;
-
6)出现用户申诉且纠纷未解决时。
五
评估准备工作
依据《PIA指南》规定的工作内容,我们可以将个人信息安全影响评估工作分为评估准备时期、评估执行时期、评估报告后期。在评估准备时期,评估人主要完成以下准备工作。
1.制定用于评价个人信息安全风险重要程度的风险标准
风险准则应反映组织的价值、目标与资源。在制定风险准则时,评估人应考虑以下因素:a)影响个人信息保护的法律与监管因素;b)外部因素,如行业准则、职业标准、公司政策与客户协议;c)由具体应用预先决定的因素、或者在特定用例情境下预先决定的因素;d)会影响信息系统设计及相关个人信息保护要求的其他因素。
2.组建评估团队
评估人应当根据具体的评估对象和评估要求组建评估团队。
如有必要评估人应申请团队支持,例如由ICT部门、相关业务单位、及法律部门的代表构成的团队。同时,为保证评估的可信度和专业性,评估人可以引入外部专家进入评估团队,指导或协助公司完成评估。
3.制定评估计划
评估人应当根据评估对象、评估团队构成、评估目标等,制定具体的评估计划。
计划应清楚规定完成个人信息安全影响评估报告须进行的工作、相关工作具体由评估团队中的哪些成员负责、评估计划表、以及如果进行咨询、咨询的进行方式。计划应说明在某些具体情况下为什么咨询相关方是非常重要的、将咨询哪些人员、以及具体的咨询方式(例如通过公众意见调查、研讨会、焦点小组、公众听证会、线上体验等等)。
评估人完成评估计划的编制后,应评估执行成本、向组织的高级管理层申请基本预算及人力资源。根据具体计划,可能会上调高级管理层最初设定的名义预算,或者,负责进行个人信息安全影响评估报告的人员可能需要根据可用预算修订评估计划。
六
评估执行工作
评估人应当领导组建的评估团队,依据评估计划,通过访谈、检查、测试等方式,组织开展具体的个人信息安全影响评估工作。
根据《PIA指南》的规定,评估工作内容主要包括数据映射分析、个人权益影响分析、安全事件可能性分析、风险分析四个阶段。个人信息安全影响评估的基本原理如下图。
1.数据映射分析
数据映射分析即我们所说的Data Mapping。
评估团队可以通过访谈、检查等方式,针对个人信息控制者的个人信息处理过程进行全面的调研,形成清晰的数据清单及数据映射图表。调研内容包括个人信息收集、存储、使用、对外提供、废弃环节涉及的目的和具体实现方式,以及个人信息处理过程涉及的资源和相关方(如策略和规程、合同和协议、内部信息系统、个人信息处理者、第三方、交易平台经营者、外部服务供应商、云服务商等),调研过程中应考虑已下线系统、系统数据合并、企业收购、并购及全球化扩张等情况。
评估团队需根据个人信息的类型、敏感程度、收集场景、处理方式、涉及相关方等要素,对个人信息处理活动进行分类,并描述每类个人信息处理活动的具体情形,便于后续分类进行影响分析和风险评价。
2.个人权益影响分析
个人权益影响分析一般指根据不同的个人信息处理活动,分析其是否存在对个人信息主体权益产生影响。
评估团队应根据数据映射分析结果及梳理得到的个人信息处理活动,通过查阅支撑性文档、检查个人信息处理过程、测试相应的处理机制等方法,分析个人信息在数据流程以及个人信息处理活动全生命周期的范围内,评价组织的个人信息保护策略的执行情况、相关法律法规与政策标准的符合性情况,并审视是否存在侵害个人信息主体权益的风险。
个人权益影响可分为以下四种维度:
(1)影响个人自主决定权;
(2)引发差别性待遇;
(3)个人名誉受损或遭受精神压力;
(4)个人财产受损等。
3.安全事件可能性分析
评估团队应当针对个人权益影响分析的不同维度,根据《PIA指南》给出的《个人信息安全影响评估常用工具表》,从以下四个方面导致安全事件发生的可能性进行分析:
(1)网络环境和技术措施;
(2)处理流程规范性;
(3)参与人员与第三方;
(4)安全态势及处理规模。
4.风险分析
评估团队在进行风险分析时,应当从对个人权益影响的程度以及风险评估程度两方面进行综合评估:
(1)基于个人信息处理活动的目的、状态、相关个人信息的敏感程度,个人信息主体数量、群体特征等要求,评估对个人权益影响的程度;
(2)基于个人信息处理活动涉及的特点、已实施的安全措施、相关方、处理规模等要素,具备的事件处置经验、用户习惯、及预防性措施等,评价安全事件发生的可能性等级。
(3)最后,综合分析个人权益影响程度和安全事件可能性两个要素,得出风险等级。
七
评估报告
个人信息安全影响评估作为企业内部的工具,应当以评估报告作为工作成果,一方面有利于企业作为决策依据进行风险整改,另一方面,也可以作为各组织合规的证明性文件,公开发布或根据需要提交监管部门证明组织遵守了适用法律、法规和标准要求。
1.评估报告内容
评估报告的内容通常包括:个人信息保护专员的审批页面、评估报告适用范围、实施评估及撰写报告的人员信息、参考的法律、法规和标准、个人信息影响评估对象(应明确涉及的个人敏感信息)、评估内容、涉及的相关方等,以及个人权益影响分析结果,安全保护措施分析结果、安全事件发生的可能性分析结果、风险判定的准则、合规性分析结果、风险分析过程及结果,风险处置建议等。
2.风险处置和持续改进
根据评估结果,组织的决策者可以选取并实施相应的安全控制措施进行风险处置。
同时,各组织应持续跟踪风险处置的落实情况,评估剩余风险,将风险控制在可接受的范围内。此外,应将评估结果用于下一次个人信息安全影响评估工作。
3.评估报告发布
在完成评估报告和风险处置后,各组织可以根据内部管理制度要求或实际情况决定是否公布评估报告。
公开发布个人信息安全影响评估报告是促进自合规、配合监管、增加客户信任的重要方式,公开发布的个人信息安全影响评估报告可以在已有评估报告基础上予以适当简化。
特别声明:
以上所刊登的文章仅代表作者本人观点,不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。
如需转载或引用该等文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权,不得转载或使用该等文章中的任何内容,含图片、影像等试听资料。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。