前言
在数据合规项目中,很多企业未能有效开展个人信息保护影响评估(PIA,Personal Information Protection Impact Assessment)。“未能”之症结,在于业务场景繁杂无从下手,或评估流于纸面报告的形式。今年八月,“中国网络安全产业联盟(CCIA)数据安全工作委员会”发布了第三批获得“PIA星级标识”的企业名单。此项针对企业开展的个人信息保护影响评估(PIA)星级认证工作,由“PIA专题工作组”发起,并于2022年3月启动。PIA星级认证,为有效开展个人信息保护影响评估,提供了可行的解决方案。我们基于过往经验梳理PIA认证的实务要点,从是什么、为什么和怎么做三个层面,逐一介绍。
如果要获得个人信息保护影响评估参考模板或PIA认证的更多资料,请联系本文作者fengqq@wjngh.cn或huoyj@wjngh.cn。
一、是什么——PIA星级认证的“诞生”
个人信息保护影响评估(PIA),是《个人信息保护法》(下称《个保法》)项下的一项法定义务。《信息安全技术 个人信息安全影响评估指南》(GB/T 39335-2020,以下简称《评估指南》)指出,个人信息安全影响评估是针对个人信息处理活动,检查其合法合规程度,判断其对个人信息主体合法权益造成损害的各种风险,以及评估用于保护个人信息主体的各项措施有效性的过程。
作为一项法定要求,PIA是过往数据合规项目整改中的痛点之一,主要体现为以下方面。
(一)开展PIA意识、路径欠缺,企业处于“被动合规”状态
根据《个保法》第55条的规定,应当开展PIA的情形均为实务中十分常见的个人信息处理场景。因此,大多数企业都负有进行PIA的法定义务。但是很多企业并无开展PIA的意识,或者虽然有意识去做,但是不知道从何入手。
在“CCIA数据安全工作委员会”联合“数据安全共同体计划(DSC)”召开的研讨会中指出,企业在对PIA存在三大疑惑,分别为:“要不要做”、“值不值得做”以及“做到什么程度”。因此,由于企业离开展PIA评估的主动合规状态相差甚远,导致PIA成为很多企业在面对监管检查和内部合规工作整改中,极易出现问题的环节。
(二)PIA评估要求高、缺少标准,落地困难重重
导致企业未能主动开展PIA评估,还有评估流程和评估方法的因素。《评估指南》规定的评估流程较为复杂、PIA工作对实施人员能力和经验的要求以及评估缺少统一的清单和标准。
上述难点造成了企业在实务中“知道很重要,就是做不到”的局面。
(三)PIA流于形式,未落实整改建议
我们办理的数据合规项目中,还有部分企业虽然开展了PIA,形成了PIA评估报告,但并未把整改建议落到实处。PIA工作成效未显现,只是报告的表面功夫,流于形式。
PIA专题工作组由中国信息通信研究院、中国电子技术标准化研究院等单位的法律与技术专家组成,专题工作组审核阶段,将以企业的个人信息保护影响评估报告为对象,对企业开展评估工作的过程等是否符合评估依据进行评价。
PIA一星级标识,代表企业的评估工作参考了相应国家标准,及PIA专题工作制定的工具表格,工作方法较为规范。PIA二星标识,则代表企业引入了权威第三方的测评结果,该第三方机构参考了相应国家标准及PIA专题工作制定的工具表格,出具了评估报告。
▲PIA标识示例
二、为什么——开展PIA星级认证的原因
(一)法律法规对PIA的相关规定
《个保法》第55、56条构建了我国个人信息保护影响评估制度。
1.开展PIA评估的场景
虽然PIA是个人信息保护主要的合规内容之一,但并非所有的个人信息处理活动都需要开展PIA。《个保法》第55条规定了应当事前进行个人信息保护影响评估的个人信息处理场景:
(1)处理敏感个人信息;
(2)利用个人信息进行自动化决策;
(3)委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;
(4)向境外提供个人信息;
(5)其他对个人权益有重大影响的个人信息处理活动。
上述场景所触发的评估义务被《个保法》明确为强制性要求。不过,何为“其他对个人权益有重大影响的个人信息处理活动”?《信息安全技术 个人信息安全规范》(GB/T 35273—2020,以下简称《安全规范》)《评估指南》予以了细化,具体可包括:
(1)基于不同业务目的所收集个人信息的汇聚融合,例如对集团内各业务部门收集的个人信息进行数据分析并用于商业化营销目的;
(2)产品或服务发布,或业务功能发生重大变化;
(3)业务模式、信息系统、运行环境发生重大变更;
(4)发生重大个人信息安全事件;
(5)个人信息匿名化和去标识化处理。
由于暂未被列入强制性法律法规文件中,如企业涉及上述处理活动的,建议可根据实际处理的个人信息敏感程度、类型、数量,对用户造成的长期和直接影响,已采取措施的有效性,品牌建立等方面,综合评估是否有必要采取个人信息保护影响评估。
2.PIA评估包含的内容
根据《个保法》第56条,个人信息保护影响评估应当包括如下内容:
(1)个人信息的处理目的、处理方式等是否合法、正当、必要;
(2)对个人权益的影响及安全风险;
(3)所采取的保护措施是否合法、有效并与风险程度相适应。
在时限上,个人信息保护影响评估报告和处理情况记录,应当至少保存三年。
(二)PIA星级认证的必要性
PIA星级认证,是由PIA专题工作组对企业进行的独立评估和认证,在以下方面有实际作用。
1.履行法定义务与合规要求
作为《个保法》明文规定的法定义务,企业开展PIA星级认证,能够确保符合法律法规的强制性要求,以及行业主管部门的监管要求。PIA 星级认证,使得企业引入律师事务所和第三方专业机构,对个人信息在收集、存储、使用、加工、传输、公开、删除等全生命周期,进行评估和风险防范,履行法定义务。
2.公开透明与公众形象
PIA星级标识目前为批次性发放,取得认证的企业名单会统一公布。“PIA专题工作”于2023年7月-10月开展了第一批评估工作,其中获评一星级的企业有12家,二星级的企业有11家。
在此基础上,于2023年11月-2024年2月开展了第二批评估工作,向5家企业发放了一星级标识,向11家企业发放了二星级标识。
2024年2月-2024年7月开展了第三批评估工作,其中获评一星级的企业13家,二星级的企业有16家。
▲PIA标识第三批发放名单公布如图
通过公开透明的PIA星级认证结果,企业可以向公众展示其在个人信息保护与安全合规方面的高水平、高标准,提高公众对其产品和服务的信任程度,助力企业的合规品牌形象的树立。
▲PIA星级标识证书
三、怎么做——开展PIA星级认证的实务指引
PIA星级认证的过程,建立在企业进行自行评估的基础之上。首先,需要了解PIA评估的内容与流程。
(一)PIA评估的内容与流程
个人信息保护影响的评估流程可分为以下四个环节进行:数据映射分析、个人权益影响分析、安全保护措施有效性分析、确定风险级别。
1.数据映射分析
数据映射分析,也称为数据调研,具体是指企业结合个人信息处理的具体场景,对个人信息收集、存储、使用、转让、共享、删除等环节涉及的个人信息类型、处理目的、具体实现方式等,以及个人信息处理过程涉及的资源(如内部信息系统)和相关方(如企业、平台运营者、外部服务商等第三方合作机构)进行调研。
根据个人信息的类型、敏感程度、收集场景、处理方式、涉及相关方等要素,企业可对个人信息处理活动进行分类,并描述每类个人信息处理活动的具体情形,便于后续分类进行影响分析和风险评价。
2.个人权益影响分析
数据映射分析完成后,企业需根据调研结果进行个人权益影响分析,即分析特定的个人信息处理活动是否会对个人信息主体合法权益产生影响,以及可能产生何种影响。具体来讲,企业可从“限制个人自主决定权”“引发差别性待遇”“个人名誉受损或遭受精神压力” “人身财产受损”等四个维度进行分析,并最终得出严重、高、中、低四个级别。
例如,就处理健康医疗数据(敏感个人信息)而言,如企业并未向用户履行单独同意义务,亦未提供实现用户个人信息权益的有效路径,则在限制个人自主决定权的维度上,其处理活动将对个人权益有较为“严重”的影响。
3.安全措施有效性分析
安全措施有效性主要侧重于分析个人信息安全事件发生的可能性,识别可能存在的个人信息安全危险源,并评估现有安全措施是否已足够应对可能产生的安全事件。因此其评估维度主要为网络环境和技术措施、参与人员与第三方、个人信息处理流程、业务特点和规模及安全态势,集中在技术手段、内部职权划分、商业发展等方面。
比如,就对外提供个人信息的行为,企业应重点评估对外传输过程是否已进行加密、数据接收方是否具备相应的数据安全能力、是否定期审计检查第三方的处理行为、相关负责人员是否已签署保密协议等。如答案均为否,那么此项活动发生安全事件的可能性级别应为“高”甚至“很高”。
4.确定风险级别
结合个人权益影响级别及安全事件的可能性等级,参考如下风险等级判定表,可得出风险等级,完成个人信息保护影响的综合评估。
(二)PIA星级认证的流程
PIA星级认证流程,简单来说,就是前期仍由企业或者委托律所对个人信息处理活动进行全面分析、调研,分析个人信息处理的必要性、影响程度和可能性,得出风险等级并给出改进建议,形成评估报告。其后将评估报告提交后,由PIA专题工作组对评估报告进行审核,审核通过后发放星级标识,并统一公布星级认证名单。
PIA星级认证主要流程如下:
结语
如今在数字经济的浪潮之下,企业开展经营涉及大量个人信息处理活动。个人信息的安全和保障,已成为从信息主体到全社会普遍关注的议题。正如公众选择餐厅时,常常会参考某点评上的榜单决定取舍。企业列入星级标识名单,也会使公众在选择数字产品和服务时,更加倾向于那些经过认证的产品或品牌。
因此,PIA 星级认证不仅是对企业的一种约束和规范,更是企业提升自身竞争力、建立良好的公众形象的重要手段。它体现了企业在当今数字化的转型中,对于个人信息保护的重视程度与自主合规意识。
往期推荐
2021年度广悦数据合规代表性业绩大盘点|行而不辍,未来可期
2022年度广悦数据合规代表性业绩大盘点 | 奋楫扬帆 赓续前行
2023年度广悦数据合规代表性业绩大盘点 | 合规筑基,数绘未来
声明
本文仅为交流探讨之目的,不代表广悦律师事务所或其律师出具的任何形式之法律意见或建议。如需转载或引用本文的任何内容,请与本所沟通授权事宜,并于转载或引用时注明出处。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。
本文作者
互联网与数字经济领域
互联网与数字经济领域为广悦律师事务所组建的,专注在数字经济领域提供法律服务的律师团队。团队由广悦主任杨杰律师带领多名资深律师和专业人员共计20余人组成。
团队自成立以来,为国内外超过100家上市公司、互联网企业、科技企业以及传统行业向数字化转型的企业提供包括数据合规、数据治理、个人信息保护、股权设计、股权投融资、数字产品合规评估以及争议解决在内的创新型法律服务。
团队多次荣获钱伯斯、ALB、《商法》、The Legal 500、Asialaw 、Legalband等国内外法律评级机构的青睐与推荐。现服务客户包括腾讯微信、阿里巴巴、广汽埃安、维他奶、视源股份、华泰期货、蓝月亮等。客户行业覆盖人工智能、智能制造、金融、医疗、汽车、消费、媒体、科技等领域。
作者丨冯清清、霍雨佳
编辑丨何雪雯
审核丨苏冰
审定丨品牌宣传与市场拓展委