“专题研讨”系列延伸阅读
研讨背景
以下观点仅代表专家个人观点。
本期研讨主题
如何以个人信息保护影响评估(PIA)工作推动个人信息保护持续合规?
研讨问题
研讨问题1:个人信息保护影响评估(PIA)在各类行业的应用面如何,PIA通常以何种形式开展?PIA的方法是否趋向于一致?企业内部对PIA的看法如何?精彩观点如下:
PIA在不同行业的应用情况不尽相同,互联网、汽车、教育、金融、医疗等行业开展较多,可以说与个人信息保护监管在行业的深入程度相关。相对于国内企业,外资企业开展PIA的积极性更高,原因一是境外企业总部开展PIA/DPIA的时间更早,内部形成了相关机制,二是个人信息出境标准合同也涉及到PIA。国内企业对PIA的了解程度和积极性则显得不足,除非面临App安全合规检查、个人信息保护相关合规认证、融资上市等情况时,企业由于不了解PIA或考虑到合规工作先后次序、成本等因素往往没有主动开展PIA。
目前国内企业开展PIA有多种形式:一种是以最基本的法律要求为指导,对新产品、新功能上线、第三方合作开展前等情形,使用简单的问卷进行考察,形成是否通过PIA的结论,该方式还可能进一步简化为召开联席会议、或多部门头脑风暴形式在会议纪要中形成PIA结论;另一种是参考了国家标准GB/T 39335-2020《信息安全技术 个人信息安全影响评估指南》等标准规范,使用较完备的方法论对特定个人信息处理活动进行全面评估,形成权益影响分析和风险评估的结论,并对参与风险进行跟踪。采用该方法的企业很多有过引入了第三方专业机构进行评估的情形,以确保PIA方法的规范性。还有少数关注PIA比较早、有国际业务的企业,开始尝试(少量已经具备)将PIA嵌入自动化流程,作为前置控制点,通过工单、问卷和流转机制,实现线上线下融合,确保PIA流程后半段的线上半自动化运作,以提高PIA的效率和覆盖面。
就上述三种情形来看,由于企业开展PIA的形式不同,不可避免地导致企业采取的具体的PIA方法、评估细致度、评估结论合理性等均出现不一致的情况。同时,与所有评估类工作一样,PIA也存在评估结论依赖主观判断的问题,不同评估人员经验不同、对评估对象的了解程度不同,均可能导致得出的评估结论有所差别。GB/T 39335-2020《信息安全技术个人信息安全影响评估指南》作为国家标准,其根本目的还是统一思路,给出了PIA的一般原则和方法,在评估实施时需依赖于评估人员经验和其他标准(如分析安全措施的有效性),对于评估结果依赖主观判断的问题,有待进一步通过归纳总结行业实践经验等方式给出PIA评估“风险判定”指引等文件,以进一步促进评估结果的一致性。
企业内部对PIA的看法,首先是“要不要做”的问题,法律法规的规定之外,合规审计、出境备案等机制的推动仍是关键,否则企业将长期处于观望状态。第二是“值不值得做”的问题,如果大量开展PIA工作,启动和长期投入成本会比较高,如果成效不足显得“吃亏”。第三是“做到什么程度”的问题,很多了解PIA的企业从法律法规要求出发,认为需要做,但又认为如果根据国家标准做,则工作量大、业务反弹大,就会出现简单应付的情况。总之,能够了解并开展PIA的企业仍占到非常小的比例,企业目前对PIA的认识还处于被动合规状态,监管部门的处罚案例成为管理层关注的关键,离利用PIA进行个人信息保护的风险管理从而达到主动合规的法律条款期许的愿景相差甚远。
研讨问题2:企业开展PIA需要什么样的前提条件?PIA对人员的要求有哪些方面?开展PIA的规模、范围、周期等工作节奏如何把握?精彩观点如下:
组织保障、制度流程、明确目标是企业开展PIA的前置条件。组织层面,需要管理层对PIA的价值认同并提供资源支持,否则无法协调各相关方充分参与PIA过程,导致PIA工作成效不佳;制度流程层面,需要在组织的当前的个人信息保护相关制度中明确开展PIA的要求,并通过程序文件等形式明确触发条件、负责部门、参与人员、实施流程及协作机制;明确目标是指对开展PIA达成的目的有明确的界定,比如,开展PIA以履行《个人信息保护法》等法律法规规定的义务,通过PIA是产品或功能上线的必要条件,通过PIA推动产品或服务进一步完善内部合规水平等。
PIA工作对实施人员能力、经验的要求较高,更适合具备综合素质的人员开展,或由多方面人员密切合作方式开展。从PIA的评估原理和关注的评估内容来看,如果仅由技术人员介入,则可能对个人信息保护合规差距的分析不够准确,如果仅由法律人员介入,则可能造成对已有安全措施是否充分的分析不足,无法全面识别风险源,如果没有业务人员参与或缺少对业务功能的了解,则可能无法准确把握个人信息处理对个人可能产生的影响。从现有开展的PIA工作的需求来看,可熟练、深入开展PIA工作的专业人员严重不足,有待通过培训、认证等机制培养PIA专业人员。
开展PIA的规模、范围、周期是PIA工作负责人员(通常是企业的隐私保护/个人信息保护负责人,或数据/隐私保护官)首先关注的问题。作为法定义务,PIA是必须逐步落实的工作内容,如何基于当前的企业规模、业务范围等选择适宜的策略,才能逐步深入实施PIA,保障业务平稳发展。比如,如果每个场景都由第三方机构评估,则成本过于高昂,如果所有场景均为自行评估,缺乏第三方参与或缺少独立监督机制,则评估结果公信力不足,如果所有评估工作均从头开始调研、分析,则耗费人力过多,对业务打扰太大。因此,根据企业业务特点,对待评估场景进行分类分级评估是一种可行的方案,比如,简单场景通过内部评估工具表单等自行评估,复杂场景和关键场景可由第三方进行全面评估。
从PIA的规模、范围、周期,以及发展的视角来看,企业大量通过自评估方式完成合规义务应该是常态,但开展自评估同样存在现实的问题,一是是否评估地足够深入愿意充分暴露风险(哪怕是内部暴露)的问题,二是是否能够做到对业务产生约束作用(踩刹车)的问题。因此,如果企业没有完备的内部自律机制,长期来看引入合规审计或者第三方PIA是保证PIA高质量实施的必要措施。
有一点需要引起关注,《个人信息保护法》将PIA定义为事前评估机制,但近年来,补充对已上线的业务场景进行PIA成为了常见现象,补充PIA的工作有助于发现问题提升能力,是值得肯定的;但同时,还应当关注在新业务新产品上线前、新合作开展前通过PIA来切实降低个人信息处理安全风险,充分发挥PIA的“风险预防”价值。
研讨问题3:PIA如何与业务流程进行融合,以提升PIA的效率?如何对产品或服务持续运营情况进行跟踪,以保证PIA的效果?精彩观点如下:
PIA与业务流程融合通常有两种方式,第一种就是内部提出PIA的制度和流程后,由业务人员提出,法务和合规人员协助开展的方式落实PIA要求,并通过PIA进一步完善产品或服务的个人信息保护水平。第二种是明确需要进行PIA的场景,并嵌入到内部工作流程,设置Control Point,能够根据业务推进的必要阶段前置触发,通过下发工单、线上问卷、流转评审、改进复核等步骤完成PIA。
目前,陆续出现了将PIA工作流程、评估内容等形成模块化的产品的、提供PIA线上化能力的工具、系统、平台等产品,为企业完善内部PIA机制提供了更多选择。但是,切合企业业务特点的定制化PIA工具模板、以及智能化的个人权益影响评估、风险分析功能仍是难点,有待通过不断丰富和优化资料库、人工智能技术应用等方式促进PIA相关产品的创新发展。
如何体现PIA的成效,是进一步增强企业管理层信心,保障PIA工作可以持续深入开展的重要因素。在产品和服务持续运营过程中,可以从以下视角体现PIA成效:一是通过跟踪观察产品和服务的社会反馈、用户投诉情况,以是否在隐私保护方面得到了良好的反馈,是否未收到或很少收到用户对隐私保护方面的质疑、投诉情况,来体现PIA的作用;二是通过产品或服务接受个人信息保护监督管理过程中,以是否能够避免被监管部门通报整改、处罚、下架的视角,来体现PIA的作用。此外,还可以通过案例对比的方式,阐明如果未经过PIA上线涉及敏感个人信息处理、自动化决策等的其他产品和服务,因隐私保护引发了社会舆情、监管关注,以此体现PIA的成效。
研讨问题4:PIA如何有效支撑个人信息保护合规审计、个人信息保护相关认证等工作,第三方审核PIA工作的质量有哪些关注点? 精彩观点如下:
目前,个人信息保护相关认证(App安全认证、PIP认证等国推认证)均以GB/T 35273为认证依据,GB/T 35273中明确了企业应当建立PIA管理制度,因此在个人信息保护相关认证中,PIA为企业必须开展的工作。可以预见,随着认证范围逐步拓宽,认证实施逐步深入,对企业PIA工作的规范性、全面性等将提出进一步要求。
个人信息保护合规审计是《个人信息保护法》下企业的应尽义务,在国家网信办发布的《个人信息保护合规审计办法(征求意见稿)》中,明确将企业是否开展个人信息保护影响评估工作作为审计的要点内容。显而易见,企业根据要求开展PIA是遵守《个人信息保护法》的重要体现。随着个人信息保护合规审计工作逐步落地,将对PIA工作开展起到显著促进作用。
在开展个人信息保护相关认证和个人信息保护合规审计过程中,第三方工作人员需要对企业开展PIA的规范性进行审核,主要关注点包括:一是PIA的工作方法、过程是否规范(如参考了相关国家标准);二是影响评估和风险分析的方法是否恰当,得出的评估结果是否客观,特别是对于高风险的判定,应有充分的证据支撑;三是整改措施是否足够和适当,以及是否有具体的整改实施计划。如果企业已自行开展的PIA工作无法达成有效降低个人信息处理安全风险的效果,则可在合规审计、认证等过程中对PIA工作中提出改进、完善的要求。
研讨问题5:持续开展PIA的价值如何得到更多认同?如何通过PIA推动个人更深入理解企业合规措施?如何通过PIA引导个人信息得到更充分利用?精彩观点如下:
合规价值认同始终是合规工作能否长久有效开展的关键所在,对于PIA工作来说亦是如此,抛开PIA对降低个人信息安全风险、提升个人信息保护水平的效用,以下方面的价值有待进一步探讨:
一是,对于企业内部的个人信息保护负责人及合规管理人员来说,缺乏日常工作抓手将可能导致相关岗位的价值无法得到体现,PIA作为法律赋予的强制性义务,理应成为合规管理人员日常工作的一部分,是合规管理人员理想的工作抓手;同时,随着PIA工作的持续开展,PIA相关结论、过程数据形成的态势等可视化内容,还能向个人信息保护负责人以及高层管理人员提供更为直观的参考,以便于其进行规划和决策;因此,PIA理应得到个人信息保护负责人及合规管理人员的认同;
二是,就目前开展PIA的现状来看,多为对个人信息保护工作了解更全面、重视程度高的企业开展,这也从另外一个侧面反映了开展PIA工作是“主动合规”的一种体现。因此,从合规管理层面,建议将企业主动开展PIA以及PIA报告等结果作为监督管理过程中的企业的优秀实践予以提倡;从合规免责层面,建议对PIA报告等作为企业合规的应诉、证明材料(具体还取决于PIA工作开展的规范性、PIA报告的科学性)予以重视;从投资价值层面,建议投资方等角色对主动开展PIA的企业在履行个人信息保护情况的评价上有所倾斜。
从设定PIA工作机制的出发点来看,还有一个价值不可忽略,就是PIA工作有助于推动个人更深入理解企业合规措施。在GB/T 39335《个人信息安全影响评估》和相关的国际标准中,对引入相关方咨询和公开PIA报告均有强调,其核心逻辑是让个人能够介入PIA以及让个人更加了解PIA结果,以增进对个人信息保护措施的信心,帮助个人对其个人信息处理值和风险进行衡量后做出选择。PIA体现该理念的出发点是强化PIA的公正性、合理性,更好平衡信息利用和隐私保护,在实际的实施过程中,尚需要不断尝试和探索。比如,引入个人参与PIA可以与《个人信息保护法》第五十八条提出的“重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者应当成立主要由外部成员组成的独立机构对个人信息保护情况进行监督”相结合,由独立机构成员参与到PIA过程中。再比如,PIA报告内容的公开可能涉及到敏感信息披露的风险,则可以选择以披露报告概要或者公开“标识”的方式增进外界对其开展PIA工作的了解,“PIA专题工作”所发布的标识就是一种全新的探索。
如今,在充分发挥数据要素作用,大力发展数字经济的背景下,尽可能推动更多数据在更多场景下合法合规安全应用成为相关工作的核心目标,其中,个人信息是数据要素中占比极高的部分,如何推动个人信息的更充分应用是当下关注的一大焦点。PIA属于典型的风险管理措施,其根本出发点是保证个人信息处理过程中,对个人权益的影响及安全风险处于可控状态,这与当前促进数据应用的核心目标一致。因此,PIA为促进数据应用、流通提供了一种重要的方法论,通过对复杂场景、潜在高风险场景等开展PIA,充分保障个人权益,降低安全风险,将可能促进个人信息在更多场景的应用中发挥其经济和社会价值。
CCIA数据安全工作委员会持续欢迎大家参与以上具体问题的研讨,通过观点交汇、碰撞,为推动深入研究难点问题、启发安全保护措施创新贡献一份微薄之力。
(记录整理:CCIA数据安全工作委员会)
“专题研讨”系列延伸阅读
原文始发于微信公众号(CCIA数据安全工作委员会):专题研讨 | 如何以个人信息保护影响评估(PIA)工作推动个人信息保护持续合规?
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论