《个人隐私信息保护法》作为个人信息保护领域的首部综合立法,明确对个人信息处理者提出了各种合规要求。其中包含了在特定情形下有必要进行的个人隐私信息保护影响评估(PIA)。PIA以数据映射为起点,数据处理活动为单位,多维度开展评估工作,可以全方面提高企业数据合规程度,是目前
个人隐私信息保护影响评估(PIA)是针对个人隐私信息处理活动,检查其合法合规程度,判断其对个人隐私信息主体合法权益造成损害的各种风险,以及评估用于保护个人隐私信息主体的各项措施有效性的过程。《个人隐私信息保护法》中明确规定,在特定情形下个人信息处理者应当事前进行个人信息保护影响评估,且评估报告和处理记录应当至少保存三年。
如上文所述,《个人信息保护法》第五十五条明确规定了个人信息处理者应进行PIA的几种情形,企业数据处理如果存在其中任何一种情形,PIA都将成为企业一定进行的合规项目。
PIA作为个人隐私信息处理者的基础合规要求,是某些特定行为审查的合规要求之一。例如,近日发布的《网络安全标准实践指南—个人隐私信息跨境处理活动安全认证规范》明确规定了个人信息跨境认证的合规要求中包括了企业一定完成个人信息安全影响评估。
企业面对监督管理的机构或商业伙伴的调查、执法、合规性审计等活动时,可以证明其遵守了个人隐私信息保护与数据安全等方面的法律、法规和标准的要求;如发生数据安全事件,PIA可用于证明企业已经主动评估风险并采取一定的安全保护的方法,有助于减轻、甚至免除企业相关责任和名誉损失。
目前随着个人隐私信息保护法律和法规相继落地,PIA的流程与方法已逐步落地,并广泛被应用。
数据映射分析是评估工作的基础。评估团队需根据自己信息的类型、敏感程度、收集场景、处理方式、涉及相关方等要素,对个人隐私信息处理活动进行分类,并描述每类个人信息处理活动的具体情形。
数据映射分析的方法为数据调研,具体包括访谈、检査、測试等方式。调研内容最重要的包含个人隐私信息收集、存储、使用、转让、共享、删除等环节涉及的个人隐私信息类型、处理目的、具体实现方式等,以及个人信息处理过程涉及的资源(如内部信息系统)和相关方(如个人信息处理者、平台经营者、外部服务供应商、云服务商等第三方)。调研过程中应考虑己下线系统、系统数据合并、企业收购、并购及全球化扩张等情况。在数据映射分析完成后,评估团队需形成清晰的数据清单及数据映射图表,为后续的评估提供有效依据。
评估团队将通过调研访谈、査阅支撑性文档、功能检査、技术测试等方式,从四大维度(网络环境和技术措施、个人信息处理流程、参与人员与第三方、业务特点和规模及安全态势)识别企业目前存在的主要风险源,再分析已实施的安全保护的方法、相关方、处理规模等要素,评价安全事件发生的可能性等级。
评估团队会依据数据映射分析结果及确定需要评估的个人信息处理活动,结合有关规定法律、法规、标准的要求或企业自定义的个人信息安全目标,分析个人信息处理活动全生命周期或特定处理行为对个人权益可能会产生的影响,以及个人隐私信息泄露、毁损、丢失、滥用等安全事件对个人权益可能会产生的影响,具体影响也包括四个维度:是否限制个人自主决定权、是否引发差别性待遇、是否使个人名誉受损或遭受精神压力还有是不是使人身财产受损。
综合考虑安全事件可能性和个人权益影响程度两个要素,综合分析得出个人信息处理活动的安全风险等级。在完成针对特定个人信息处理活动影响评估之后,综合针对所有相关个人信息处理活动的评估结果,形成对企业整体的风险等级,并出具评估报告。企业要进一步落实报告中提出的整改方案。
本文从PIA的适用条件、为什么进行以及怎么样做三个方面,对个人隐私信息保护影响评估进行了介绍,从目前的实务角度来看,个人隐私信息保护影响评估慢慢的变成了医疗、金融等个人隐私信息密集型行业普遍需要完成的合规项目。接下来的文章将对近期陆续出台的数据出境的相关规则以及企业要进行的合规事项做介绍,敬请期待。
