普法:一
PIA即我们通常所说的个人信息安全影响评估。个人信息安全影响评估是个人信息控制者实施风险管理的重要组成部分,旨在发现、处置和持续监控个人信息处理过程中对个人信息主体合法权益造成不良影响的风险。一般情况下,个人信息控制者必须在收集和处理个人信息前开展个人信息安全影响评估,明确个人信息保护边界,根据评估结果实施适当的安全控制措施,降低收集和处理个人信息的过程对个人信息主体权益造成的影响;另外,个人信息控制者还需按照要求定期开展个人信息安全影响评估,根据业务现状、威胁环境、法律法规、标准要求等情况持续修正个人信息保护边界,调整安全控制措施,使个人信息处理过程处于风险可控的状态。
二、为什么要开展PIA工作
(一)PIA可以直观体现企业的商业价值
实施个人信息安全影响评估,能够有效加强对个人信息主体权益的保护,有利于组织对外展示其保护个人信息安全的努力,提升透明度,增进个人信息主体对其的信任。包括:
a) 在开展个人信息处理前,组织可通过影响评估,识别可能导致个人信息主体权益遭受损害的风 险,并据此采用适当的个人信息安全控制措施。
b)对于正在开展的个人信息处理,组织可通过影响评估,综合考虑内外部因素的变化情况,持续修正已采取的个人信息安全控制措施,确保对个人合法权益不利影响的风险处于总体可控的状态。
c)个人信息安全影响评估及其形成的记录文档,可帮助组织在政府、相关机构或商业伙伴的调查、执法、合规性审计等中。证明其遵守了个人信息保护与数据安全等方面的法律、法规和标准的要求。
d) 在发生个人信息安全事件时,个人信息安全影响评估及其形成的记录文档,可用于证明组织已经主动评估风险并采取一定的安全保护措施,有助于减轻、甚至免除组织相关责任和名誉损失。
e) 组织可通过个人信息安全影响评估,加强对员工的个人信息安全教育,参与评估之中,员工能 熟悉各种个人信息安全风险,增强处置风险的能力。
f) 对合作伙伴,组织通过评估的实际行动表明其严肃对待个人信息安全保护,并引导其能够采取适当的安全控制措施,以达到同等或类似的安全保护水平。
(二)PIA是法定的义务
《个人信息保护法》第五十五条对个人信息保护影响评估做了概括性的要求。有下列情形之一的,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录:(一)处理敏感个人信息;(二)利用个人信息进行自动化决策;(三)委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;(四)向境外提供个人信息;(五)其他对个人权益有重大影响的个人信息处理活动。如果企业的业务场景存在上述情况,需要事前进行PIA评估。
(三)不做PIA的法律风险
1、行政责任
《个人信息保护法》对企业非法处理个人信息、未依法履行个人信息保护义务的行政责任做出了规定。《个人信息保护法》第六十六条规定,违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
有前款规定的违法行为,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。
2、可能会被记入诚信档案
《个人信息保护法》第六十七条规定,有本法规定的违法行为的,依照有关法律、行政法规的规定记入信用档案,并予以公示。
3、可能引发公益诉讼
《个人信息保护法》第七十条规定,个人信息处理者违反本法规定处理个人信息,侵害众多个人的权益的,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。
三、什么场景下需要开展PIA评估
PIA评估的典型场景包括如下内容:
a) 数据处理涉及对个人信息主体的评价或评分、特别是对个人信息主体的工作表现、经济状况、健康状况、偏好或兴趣的评估或预测。
b) 使用个人信息进行自动分析给出司法裁定或其他对个人有重大影响的决定。
c) 系统性的监控分析个人或个人信息、如在公共区域监控采集个人信息等。但仅在涉及违规事件分析时才使用的视频监测系统除外。
d) 收集的个人敏感信息数量、比重较多,收集频率要求高与个人经历、思想观点,健康、财务状况等密切相关。
e)数据处理的规模较大,如涉及100万人以上、持续时间久,在某个特定群体的占比超过50%、涵盖的地理区域广泛或较集中等。
f)对不同处理活动的数据集进行匹配和合并,并应用于业务
g)数据处理涉及弱势群体的,如未成年人、病人、老年人、低收入人群等。
h)创新型技术或解决方案的应用,如生物特征识别、物联网、人工智能等。
i) 处理个人信息可能导致个人信息主体无法行使权利、使用服务或得到合同保障等。
四、企业如何开展PIA工作
(一)确定评估的责任主体
组织指定个人信息安全影响评估的责任部门或责任人员,由其负责个人信息安全影响评估工作流程的制定、实施、改进,并对个人信息安全影响评估工作结果的质量负责。该责任部门或人员具有独立性,不受到被评估方的影响。通常,组织内部牵头执行个人信息安全影响评估工作的部门为法务部门、合规部门或信息安全部门。
组织内的责任部门可根据部门的具体能力配备情况,选择自行开展个人信息安全影响评估工作,或聘请外部独立第三方来承担具体的个人信息安全影响评估工作。
对于具体的产品、服务或项目,由相应的产品、服务或项目负责人确保个人信息安全影响评估活动的开展和顺利进行。并给予相应支持。
(二)评估开展的基本流程
开展评估前,需对待评估的对象(可为某项产品、某类业务、某项具体合作等)进行全面的调研,形成清晰的数据清单及数据映射图表(data flow charts),并梳理出待评估的具体的个人信息处理活动。开展评估时,通过分析个人信息处理活动对个人信息主体的权益可能造成的影响及其程度,以及分析安全措施是否有效、是否会导致安全事件发生及其可能性,综合两方面结果得出个人信息处理活动的安全风险及风险等级。并提出相应的改进建议,形成评估报告。
(三)评估内容
个人信息安全影响评估报告的内容主要包括:评估所覆盖的业务场景、业务场景所涉及的具体的个人信息处理活动、负责及参与的部门和人员、已识别的风险、已采用及拟采用的安全控制措施清单、剩余风险等。
(四)评估方法
评估实施过程中采用的基本评估方法,包括但不限于以下三种:
a)访谈:指评估人员对相关人员进行谈话,以对信息系统中个人信息的处理、保护措施设计和实施情况进行了解、分析和取证的过程。访谈的对象包括产品经理、研发工程师、个人信息保护负责人、法务负责人员、系统架构师、安全管理员、运维人员、人力资源人员和系统用户等。
b) 检查:指评估人员通过对管理制度、安全策略和机制、合同协议、安全配置和设计文档、运行记录等进行观察、查验、分析,以便理解、分析或取得证据的过程。检查的对象为规范、机制和活动,如个人信息保护策略规划和程序、系统的设计文档和接口规范、应急规划演练结果、事件响应活动、技术手册和用户/管理员指南、信息系统的硬件/软件中信息技术机制的运行等。
c)测试:指评估人员通过人工或自动化安全测试工具进行技术测试,获得相关信息,并进行分析以便获取证据的过程。测试的对象为安全控制机制,如访问控制、身份识别和验证、安全审计机制、传输链路和保存加密机制、对重要事件进行持续监控、测试事件响应能力以及应急规划演练能力等。
(五)评估报告
评估报告的内容通常包括:个人信息保护专员的审批页面、评估报告适用范围、实施评估及撰写报告的人员信息、参考的法律、法规和标准、个人信息影响评估对象(明确涉及的个人敏感信息)、评估内容、涉及的相关方等,以及个人权益影响分析结果,安全保护措施分析结果、安全事件发生的可能性分析结果、风险判定的准则、合规性分析结果、风险分析过程及结果、风险处置建议等。
(六)评估后的改进
根据评估结果,组织可选取并实施相应的安全控制措施进行风险处置。通常情况下,可根据风险的等级,采取立即处置、限期处置、权衡影响和成本后处置,接受风险等处置方式。
组织需持续跟踪风险处置的落实情况,评估剩余风险,将风险控制在可接受的范围内。此外,还可将评估结果用于下一次个人信息安全影响评估工作。
官微链接:
https://mp.weixin.qq.com/s?__biz=MzA3MTcyMDc0MA==&mid=2648993618&idx=1&sn=b9abc8b59ea4d71893796b8646dd1b14&chksm=87398519b04e0c0faf4e009de82c260914bf6b39a9e2dc2d3a331bf73eb0c75895e93eabbd88&token=2008219605&lang=zh_CN#rd
