1. <rp id="rzqey"></rp>
    2. <rp id="rzqey"></rp>
    3. <rp id="rzqey"><optgroup id="rzqey"></optgroup></rp>
      <rt id="rzqey"></rt>
    4. <rp id="rzqey"></rp>
      首頁 / 文章發布 / 君合法評 / 君合法評詳情

      山頂千門次第開——企業如何落實《個人信息安全影響評估指南》

      2020.12.28 楊錦文 高健 李圓圓

      隨著中國踏步跨入大數據時代,個人信息保護的重要性日益凸顯,從2017年《網絡安全法》開始,個人信息安全相關法規及國家標準相繼公布、實施,呈現“山頂千門次第開”的景象。作為其中的重要門戶,2020年11月19日,國家市場監督管理總局、國家標準化管理委員會正式發布了《信息安全技術 個人信息安全影響評估指南》GB/T39335-2020國家標準(以下簡稱“《評估指南》”),并將于2021年6月1日正式實施。


      《評估指南》為相關法律和國家標準的實施提供了有效的工具和抓手,也對企業的個人信息保護工作提出了新的要求。企業作為個人信息控制者和處理者,應當如何落實這項要求?本文擬梳理有關個人信息安全影響評估的相關規則,以期為企業的最新合規實務提供參考。


      一、個人信息安全影響評估概況


      (一) 什么是個人信息安全影響評估


       “個人信息安全影響評估” (personal information security impact assessment,簡稱“PISIA”),在《網絡安全法》、《個人信息保護法(草案)》以及《數據安全法(草案)》中屬于“風險評估”或者“安全評估”的范疇1。根據《評估指南》,“個人信息安全影響評估”是指針對個人信息處理活動,檢驗其合法合規程度,判斷其對個人信息主體合法權益造成損害的各種風險,以及評估用于保護個人信息主體的各項措施有效性的過程。個人信息安全影響評估旨在發現、處置和持續監控個人信息處理過程中對個人信息主體合法權益造成不利影響的風險。


      (二) 安全評估立法的國際動向


      2011年以來,國際標準化組織、國際電工委員會先后公布的ISO/IEC 29100:2011《信息技術 安全技術 隱私框架》、ISO/IEC 29134:2017《隱私影響評估》形成了隱私保護標準體系,對隱私影響評估(Privacy Impact Assessment,PIA)的評估過程、評估報告的結構和內容等做了規定。


      在歐盟,《一般數據保護條例》(簡稱“GDPR”)專門規定了數據保護影響評估(簡稱“DPIA”)制度。GDPR第35條規定,數據控制者在進行數據處理之前,基于數據處理的性質、范圍、內容及目的判斷處理活動可能對個人的權利和自由構成高風險時,應實施DPIA2


      在日本,隱私影響評估主要體現為“特定個人信息保護評估”制度。根據2013年公布的《關于在行政程序使用識別特定個人的號碼等的法律》,以及此后2014年、2018年先后公布的《關于特定個人信息保護評估的規則》、《特定個人信息保護評估指針》等配套規則,日本的行政機關、公共團體等在持有或者擬持有特定個人信息文件時,應預測對個人隱私等的權利利益可能產生的影響,并分析導致產生特定個人信息泄露以及其他事態的風險,通過特定個人信息保護評估表的形式確認并宣布采取減輕該風險的妥當措施3


      (三) 我國有關PISIA的法規體系及《評估指南》的定位


      隨著2017年《網絡安全法》、《民法總則》的實施,我國不斷從民事權利、網絡安全的角度強化對個人信息的保護規制,以下圖所示的主要體系為中心不斷完善。同時,在法律法規、國家標準等不同層面,逐步對個人信息安全影響評估提出明確的要求。


      民法總則.png

       

      法律層面,2017年實施的《網絡安全法》中明確規定了個人信息跨境傳輸及網絡安全事件發生后的安全評估機制,2019年實施的《兒童個人信息網絡保護規定》明確規定了企業在兒童個人信息轉移及委托處理場景下的安全評估責任。2020年公布的《數據安全法(草案)》規定了重要數據處理者應當定期開展風險評估并向主管部門報送風險評估報告。2020年10月21日最新公布的《個人信息保護法(草案)》,進一步細化了《網絡安全法》的有關要求,第54條還專門列舉規定了PISIA的適用場景、評估內容及報告形式要件等。


      國家標準層面,2018年開始實施的《個人信息安全規范》(2020年10月1日起被GB/T 35273—2020替代)對PISIA做出定義,并詳細規定其適用場景,具體包括基于個人信息的自動化決策、個人信息委托處理、共享/轉讓、公開披露活動等。2018年公布的《信息安全技術 個人信息安全影響評估指南(征求意見稿)》對評估做了統一全面的規定;2019年公布的《個人信息出境安全評估辦法(2019征求意見稿)》專門針對個人信息出境,規定了實施評估的場景、主管部門、評估報告內容等。


      根據《評估指南》征求意見稿編制說明,《評估指南》是《個人信息安全規范》標準落地的有力抓手,是完善我國個人信息安全保護標準體系的關鍵環節,使我國首次有了較為權威的評估個人信息安全的方法論與路線圖。《評估指南》以標準形式給予個人信息安全保護更科學、更專業、一致性的指導,促進個人信息安全風險評估取得實效,便于監管機構用于檢查和監督《個人信息安全規范》的落地,從而支撐《網絡安全法》、《個人信息保護法(草案)》以及GDPR項下的DPIA實施工作。


      二、個人信息安全影響評估的義務主體及實施形式


      (一) 義務主體


      關于有義務實施個人信息安全影響評估的主體,《個人信息安全規范》規定為 “個人信息控制者”4,而《個人信息保護法(草案)》規定為“個人信息處理者”5。從用語表達來看,似乎兩個規范性文件規定的義務主體互不相同,但是從用語指代的實際內容來看,義務主體的內涵相同,均是指能夠自主決定(有能力決定)個人信息處理目的、方式等個人信息處理事項的組織或個人。結合該定義,“能夠自主決定個人信息處理目的、方式的組織”范圍非常廣泛,可能涵蓋企業、公司、外國公司駐華機構等,不論通過網絡方式或者線下方式自主處理個人信息,只要其處理個人信息的活動落入上述法規、國家標準規定的應當實施評估的情形,均有義務實施個人信息安全影響評估。


      (二) 評估實施形式


      從評估的發起主體來看,個人信息安全影響評估分為自評估和檢查評估兩種形式。自評估指的是企業等組織自行發起對其個人信息處理行為的評估,檢查評估是指企業等組織的上級組織發起的個人信息安全影響評估工作。


      從評估的實施主體來看,不論是自評估還是檢查評估,都可以指定企業內部專門負責評估、審計的內部崗位或角色(例如法務部門、合規部門或信息安全部門)開展評估;也可以委托外部專業機構(網絡安全評估機構、律師等)開展評估工作。值得注意的是,企業指定內部責任部門(一般為上述法務部門、合規部門或信息安全部門)實施評估時,應當保證該部門或責任人員的獨立性,防止受到被評估方的影響。根據我們的經驗,企業通常會聘請律師等外部專業機構、獨立第三方參與評估工作,以保證責任部門在實施評估工作過程的獨立性和客觀性。


      三、基線合規要求——應事先實施安全評估的場景及評估要點


      根據《個人信息保護法(草案)》第54條,企業實施以下活動時,需要事先進行風險評估并制作風險評估報告,并記錄個人信息處理情況。風險評估報告和處理情況記錄應當至少保存三年:

      (1) 處理敏感個人信息;

      (2) 利用個人信息進行自動化決策;

      (3) 委托處理個人信息、向第三方提供個人信息、公開個人信息;

      (4) 向境外提供個人信息; 

      (5)其他對個人有重大影響的個人信息處理活動。


      需要注意的是,全國人大常委會法工委于2020年12月11日舉辦答記者會,指出2021年度的立法工作計劃已納入對《個人信息保護法》等法律案的繼續審議,爭取早日出臺。根據人大常委會的立法進程,一般認為《個人信息保護法》有望2021年內通過,屆時企業在實施第54條規定的個人信息活動之前,將承擔實施個人信息安全影響評估的法定義務。


      同時,盡管沒有列入上述《個人信息保護法(草案)》第54條的規定,但根據《個人信息安全規范》,企業出現以下場景時,為降低個人信息處理活動的違規風險,應開展個人信息安全影響評估:(1)在產品或服務發布前,或業務功能發生重大變化時;(2)在法律法規有新的要求時:(3)在業務模式、信息系統、運行環境發生重大變更時;(4)發生或重大個人信息安全事件時。


      對于企業實施上述個人信息處理活動、場景時的安全評估要點,《評估指南》附錄A的相關指南做了詳細規定,企業可以相應參照實施。


      四、主動進取——盡責性風險評估


      企業在日常經營過程中,除為遵守相關法規的基線要求而實施安全評估之外,有時出于審慎經營、聲譽維護、品牌建立等目的,往往主動選取可能對個人合法權益產生高風險的個人信息處理活動,開展盡責性風險評估,以盡可能降低對個人信息主體合法權益的不利影響。以下基于《評估指南》附錄B,概括常見的高風險個人信息處理活動及場景示例。

       

      個人信息處理活動

      場景示例

      a)數據處理渉及對個人信息主體的評價或評分,特別是對個人信息主體的工作表現、經濟狀況、健康狀況、偏好或興趣的評估或預測:

      對個人信息主體使用社交網絡和其他應用程序的行為進行分析,以便向其發送商業信息或垃圾郵件。

      b)使用個人信息進行自動分析給出司法裁定或其他對個人有重大影響的決定:

      電商平臺監控用戶購物行為,進行用戶畫像,分析用戶的購買偏好和購買能力,設置針對用戶特定偏好的營銷計劃。

      c)系統性的監控分析個人或個人信息,如在公共區域監控、采集個人信息等,但僅在涉及違規事件分析時才使用的視頻監測系統除外:

      設置在工作場所的IT監測系統,監控員工的電子郵件、所使用的應用程序等,用于分析員工工作時間及使用工具(如電子郵件、互聯網)的情況

      d)收集的個人敏感信息數量、比重較多,收集頻率要求高,與個人經歷、思想觀點、健康、財務狀況等密切相關:

      通過智能手表、手環、制服、頭盔或其它移動設備持續收集或監控個人信息主體的活動、健康相關數據。

      e)數據處理的規模較大,如涉及100萬人以上、持續時間久、在某個特定群體的占比超過50%、涵蓋的地理區域廣泛或較集中等:

      社交網絡、在線瀏覽器、有線電視訂閱服務大規模收集用戶瀏覽網站、購買記錄、觀看記錄、收聽記錄等數據。

      f)對不同處理活動的數據集進行匹配和合并,并應用于業務:

      電商平臺、零售商店通過分析顧客的購物、優惠券使用等行為數據,結合顧客的信用數據、第三方和社交網絡數據等,獲得提高銷售額的營銷策略。

      g)數據處理涉及弱勢群體的,如未成年人、病人、老年人、低收入人群等:

      能夠連接網絡的智能玩具收集兒童玩耍的音頻、視頻數據,或收集兒童的年齡、性別、位置等信息。

      h)創新型技術或解決方案的應用,如生物特征識別、物聯網、人工智能等:

      健身俱樂部、酒店等入口控制系統,指紋支付或刷臉支付等支付程序,通過收集和處理個人信息主體的個人生物識別信息,判斷是否擁有進入某些區域、使用某些功能的權限。

      i)處理個人信息可能導致個人信息主體無法行使權利、使用服務或得到合同保障等。

      提供貸款、信貸、分期付款銷售的實體通過收集、處理包含有債務人或類似個人信息主體的數據庫信息,針對潛在客戶制定信貸決策。


      五、個人信息安全影響評估的基本原理及主要流程


      (一) 基本原理


      開展評估前,需要對評估的對象(可能為某項產品、某類業務、某項具體合作等)進行全面的調研, 形成清晰的數據清單及數據映射圖表(data flow charts),并梳理出待評估的具體的個人信息處理活動。


      開展評估時,通過分析個人信息處理活動對個人信息主體的權益可能造成的影響及其程度,以及分析安全措施是否有效、是否會導致安全事件發生及其可能性,綜合兩方面結果得出個人信息處理活動的安全風險及風險等級,并提出相應的改進建議,形成評估報告。評估原理示意圖如下所示(參見《評估指南》第4.5條)。


      QQ瀏覽器截圖20201228101824.png

       

      評估的規模往往取決于受到影響的個人信息主體范圍、數量和受影響的程度。通常,企業在實施該類個人信息安全影響評估時,個人信息的類型、敏感程度、數量,涉及個人信息主體的范圍和數量,以及能訪問個人信息的人員范圍等,都會成為影響評估規模的重要因素。


      (二) 主要流程


      不管是自評估還是檢查評估,兩種形式的評估的實施流程是一致的,主要的流程分為九大步驟,詳細內容如下表所示。

       

      流程

      內容

      1、評估必要性分析

      包括合規差距評估、盡責性風險評估

      2、準備工作

      包括組建評估團隊、制定評估計劃、確定評估對象和范圍、制定相關方咨詢計劃。

      3、數據映射分析

      在針對個人信息處理過程進行全面的調研后,形成清晰的數據清單及數據映射圖表。需要結合個人信息處理的具體場景,開展方式可參考《評估指南》附錄C中表C.1《基于處理活動/場景/特性或組件的個人信息映射表》和C.2《個人信息生命周期安全管理》

      4、風險源識別

      對要素進行簡化,歸納為網絡環境和技術措施、個人信息處理流程、參與人員與第三方、業務特點和規模及安全趨勢。

      5、個人權益影響分析

      分析特定的個人信息處理活動是否會對個人信息主體合法權益產生影響,以及可能產生何種影響,主要包括四個維度:限制個人自主決定權、引發差別性待遇、個人名譽受損或遭受精神壓力、人身財產受損。可參考《評估指南》附錄D.2《評估個人信息主體權益影響程度》。

      6、安全風險綜合分析

      評價安全事件發生的可能性等級,評價對個人權益影響的程度等級,綜合考慮安全事件可能性和個人權益影響程度兩個要索,綜合分析得出個人信息處理活動的安全風險等級。

      7、評估報告

      編制評估報告。

      個人信息安全影響評估報告的內容主要包括:評估所覆蓋的業務場景、業務場景所涉及的具體的個人信息處理活動、負責及參與的部門和人員、己識別的風險、己采用及擬釆用的安全控制措施清單、剩余風險等。

      8、風險處置和持續改進

      通常情況下可根據風險的等級,采取立即處置、限期處置、權衡影響和成本后處置、接受風險等處置方式。

      9、制定報告發布策略

      包括選取并實施安全控制措施,持續跟蹤風險處置落實情況,評估剩余風險等。


      六、個人信息安全影響評估報告的用途


      實施個人信息安全影響評估,能夠有效加強對個人信息主體權益的保護,有利于企業對外展示其保護個人信息安全的努力,提升透明度,増進個人信息主體對其的信任。具體而言,其主要用途包括: 

      (1) 在開展個人信息處理前,企業可通過影響評估,識別可能導致個人信息主體權益遭受損害的風險,并據此釆用適當的個人信息安全控制措施。

      (2) 個人信息安全影響評估及其形成的記錄文檔,可幫助企業在政府、相關機構或商業伙伴的調查、執法、合規性審計中,證明其遵守了個人信息保護與數據安全等方面的法律、法規和標準的要求。

      (3) 在發生個人信息安全事件時,個人信息安全影響評估及其形成的記錄文檔,可用于證明企業己經主動評估風險并釆取一定的安全保護措施,有助于減輕、甚至免除企業的相關責任和名譽損失。


      2020年11月18日,國家信息安全標準化技術委員會召開了《個人信息安全規范》的試點工作啟動會,共有15家典型互聯網公司被確定為試點單位,從頂層規劃、企業管理的各個環節逐步落實個人信息安全規范。《評估指南》作為實施安全規范的重要抓手和切入點,進一步受到相關企業的重視。

      實踐中,我們已協助一些企業參照《評估指南》實施個人信息安全影響評估的合規自查。對于企業來說,合理評估并處置個人信息處理活動存在的安全風險,是遵循相關法規的合規要求,更是主動應對大數據時代信息風險的應有之義。 



      1.《網絡安全法》第37條:關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業務需要,確需向境外提供的,應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估;法律、行政法規另有規定的,依照其規定。

      《數據安全法(草案)征求意見稿》第28條: 重要數據的處理者應當按照規定對其數據活動定期開展風險評估,并向有關主管部門報送風險評估報告。

      風險評估報告應當包括本組織掌握的重要數據的種類、數量,收集、存儲、加工、使用數據的情況,面臨的數據安全風險及其應對措施等。

      《個人信息保護法(草案)》第54條: 個人信息處理者應當對下列個人信息處理活動在事前進行風險評估,并對處理情況進行記錄。

      2. 參見中國人民大學丁曉東副教授翻譯《一般數據保護條例》。

      3. 參見日本個人信息保護委員會2018年公布的《特定個人情報保護評価指針の解説》。

      4.《個人信息安全規范》第3.4條:個人信息控制者是指,有能力決定個人信息處理目的、方式等的組織或個人。

      5.《個人信息保護法(草案)》第69條:個人信息處理者,是指自主決定處理目的、處理方式等個人信息處理事項的組織、個人。

      君合是兩大國際律師協作組織Lex MundiMultilaw中唯一的中國律師事務所成員,同時還與亞歐主要國家最優秀的一些律師事務所建立Best Friends協作伙伴關系。通過這些協作組織和伙伴,我們的優質服務得以延伸至幾乎世界每一個角落。
      盈满彩票 www.houyanjun.com:泰顺县| www.g9773.com:巫山县| www.safehavenproj.org:郓城县| www.mikepetch.com:保定市| www.qdsej.com:曲水县| www.biz2345.com:宁南县| www.photolockr.com:泰安市| www.cdcxsc.com:桐乡市| www.plasticdaisy.net:台北市| www.xnguopin.com:凤山市| www.5i7du.com:祁连县| www.wp733.com:宁化县| www.sjdhgs.com:鲁甸县| www.crpdh.cn:桃园县| www.lodhaamara.org:张家港市| www.chinaheliang.com:满洲里市| www.ships4ever.com:万安县| www.ranpuya.com:兰坪| www.cufeedulx.com:清原| www.kpt555.com:崇文区| www.cambiemosgalapagar.net:德兴市| www.lbgnjy.com:泗水县| www.hobigoods.com:万年县| www.summeranciationalize.com:兖州市| www.plg-light.com:郑州市| www.ridgwaytowing.com:武乡县| www.jnjfk.cn:纳雍县| www.aumetrodeslilas.com:比如县| www.798666v.com:平远县| www.e-young2009.com:呼伦贝尔市| www.bulgariatourguide.com:济南市| www.degenerat-nerve-angel.com:祁东县| www.xyyueqi.com:栾城县| www.culasse-moteur.com:康马县| www.xzjwgczw.com:出国| www.aircompressorhose.org:靖江市| www.cp6779.com:乐清市| www.gamezhuan8.com:温宿县| www.mlshgs.com:鄯善县| www.bgesystems.com:黄冈市| www.silverspoonhoney.com:美姑县| www.o8o7.com:河西区| www.kingswatt.com:靖西县| www.implantdentalve.com:同心县| www.fengxiangfa.com:连山| www.worldofps.com:灌云县| www.blue7088.com:隆尧县| www.alanseptictank.com:宁明县| www.klccw.com:屯昌县| www.s5865.com:正宁县| www.cqgspclaw.com:嘉善县| www.degenerat-nerve-angel.com:阜南县| www.zn355.com:昭通市| www.z3858.com:布尔津县| www.dolls-haven.com:滁州市| www.xdemachinery.com:田阳县| www.shoe-top.com:新龙县| www.considerthereasons.com:通辽市| www.legion6.org:视频| www.bildungerziehung.org:兴海县| www.15221109153ks.com:马龙县| www.ratenest.com:宣城市| www.david-bird.com:依兰县| www.kjyjw.cn:上林县| www.arcoiristours.com:博客| www.focusmedia-zh.com:泊头市| www.bjahwt.com:上蔡县| www.vosmisi.com:灌云县| www.gotbadgeapp.com:大洼县| www.sanwencaipiao.com:融水| www.mhicons.com:潼关县| www.fydisplay.com:长顺县| www.23682368.com:永安市| www.chunhobojogi.com:全州县| www.orodfish.com:吴川市| www.kyxjw.cn:潢川县| www.vxaing1.com:宜章县| www.debydebo.com:江安县| www.999yingcheng.com:阿克| www.400nanchong.com:吴川市| www.redrosemovie.com:正定县| www.lx9188.com:阜宁县| www.aaronbown.com:宾阳县| www.ccwanzhou.com:莒南县|