個(gè)保法系列解讀 | 特定場(chǎng)景下,個(gè)人信息影響評(píng)估有哪些要點(diǎn)?
正式實(shí)施的《個(gè)人信息保護(hù)法》(以下簡(jiǎn)稱“《個(gè)保法》”)已經(jīng)成為各類個(gè)人信息處理者的基本行為規(guī)范。為了幫助企業(yè)更好地了解《個(gè)保法》的合規(guī)要求,TalkingData法務(wù)合規(guī)部特別撰寫了系列文章,解析重點(diǎn)議題與對(duì)應(yīng)法條,并對(duì)企業(yè)實(shí)踐情況進(jìn)行調(diào)研,供相關(guān)從業(yè)者參考。
2021年11月1日正式實(shí)施的《個(gè)保法》提出了個(gè)人信息影響評(píng)估的要求,旨在發(fā)現(xiàn)、處置和持續(xù)監(jiān)控個(gè)人信息處理過程中的風(fēng)險(xiǎn),并不斷加強(qiáng)對(duì)個(gè)人信息的保護(hù)。為了進(jìn)一步促進(jìn)評(píng)估的有效落地實(shí)施,全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員發(fā)布了《信息安全技術(shù)?個(gè)人信息安全影響評(píng)估指南》(GB/T 39335-2020)(以下簡(jiǎn)稱“《指南》”),TalkingData也參與了此項(xiàng)國(guó)家標(biāo)準(zhǔn)的編寫。本篇文章將結(jié)合《個(gè)保法》與《指南》的內(nèi)容,對(duì)個(gè)人信息影響評(píng)估進(jìn)行解讀。
一、個(gè)人信息影響評(píng)估
1.什么情形需要進(jìn)行個(gè)人信息影響評(píng)估?
處理敏感個(gè)人信息;或利用個(gè)人信息進(jìn)行自動(dòng)化決策;或委托處理個(gè)人信息、向其他個(gè)人信息處理者提供個(gè)人信息、公開個(gè)人信息;或向境外提供個(gè)人信息;或進(jìn)行其他對(duì)個(gè)人權(quán)益有重大影響的個(gè)人信息處理活動(dòng)均需進(jìn)行個(gè)人信息影響評(píng)估。針對(duì)其他有重大影響的活動(dòng),《指南》進(jìn)行了細(xì)化列舉以供參考,例如系統(tǒng)性的監(jiān)控分析個(gè)人或個(gè)人信息;數(shù)據(jù)處理的規(guī)模較大,持續(xù)時(shí)間久;創(chuàng)新型技術(shù)或解決方案的應(yīng)用;處理個(gè)人信息可能導(dǎo)致個(gè)人信息主體無(wú)法行使權(quán)利、使用服務(wù)或得到合同保障等情形。
2.個(gè)人信息影響評(píng)估應(yīng)重點(diǎn)評(píng)估哪些內(nèi)容?
個(gè)人信息影響評(píng)估應(yīng)重點(diǎn)評(píng)估個(gè)人信息的處理目的、處理方式等是否合法、正當(dāng)、必要;對(duì)個(gè)人權(quán)益的影響及安全風(fēng)險(xiǎn);所采取的保護(hù)措施是否合法、有效并與風(fēng)險(xiǎn)程度相適應(yīng)。相關(guān)企業(yè)可以通過對(duì)相關(guān)人員進(jìn)行訪談;對(duì)管理制度、安全策略和機(jī)制、合同協(xié)議、安全配置和設(shè)計(jì)文檔、運(yùn)行記錄等進(jìn)行檢查;使用人工或自動(dòng)化安全測(cè)試工具進(jìn)行技術(shù)測(cè)試等方式來(lái)實(shí)現(xiàn)對(duì)上述內(nèi)容的評(píng)估。
3.如何進(jìn)行個(gè)人信息影響評(píng)估?
開展評(píng)估前,企業(yè)需先對(duì)評(píng)估對(duì)象(可為某項(xiàng)產(chǎn)品、某類業(yè)務(wù)、某項(xiàng)具體合作等)進(jìn)行全面的調(diào)研,形成清晰的數(shù)據(jù)清單及數(shù)據(jù)映射圖表,并梳理出待評(píng)估的具體個(gè)人信息處理活動(dòng)。開展評(píng)估時(shí),通過分析個(gè)人信息處理活動(dòng)對(duì)個(gè)人信息主體的權(quán)益可能造成的影響及其程度,以及分析安全措施是否有效、是否會(huì)導(dǎo)致安全事件發(fā)生及其可能性,綜合兩方面結(jié)果得出個(gè)人信息處理活動(dòng)的安全風(fēng)險(xiǎn)及風(fēng)險(xiǎn)等級(jí),并提出相應(yīng)的改進(jìn)建議,形成評(píng)估報(bào)告。具體的評(píng)估原理如下:
4.如何進(jìn)行個(gè)人權(quán)益影響分析?
個(gè)人權(quán)益影響分析指分析特定的個(gè)人信息處理活動(dòng)是否會(huì)對(duì)個(gè)人信息主體合法權(quán)益產(chǎn)生影響,以及可能產(chǎn)生何種影響。個(gè)人權(quán)益影響分析過程一般包含對(duì)個(gè)人信息敏感程度分析、個(gè)人信息處理活動(dòng)特點(diǎn)分析、個(gè)人信息處理活動(dòng)問題分析以及影響程度分析四個(gè)階段。個(gè)人權(quán)益影響可依據(jù)限制個(gè)人自主決定權(quán)、引發(fā)差別性待遇、個(gè)人名譽(yù)受損或遭受精神壓力、人身財(cái)產(chǎn)受損這四個(gè)維度再進(jìn)行細(xì)化分析。
5.某些特殊場(chǎng)景應(yīng)注意重點(diǎn)評(píng)估哪些要素?
《指南》針對(duì)某些特定的場(chǎng)景給出了一些評(píng)估要點(diǎn)提示以供參考,具體如下:
特定場(chǎng)景 | 評(píng)估要點(diǎn) |
使用自動(dòng)化決策方式處理個(gè)人信息的評(píng)估 | 是否向用戶說明了自動(dòng)化決策的基本原理或運(yùn)行機(jī)制; 是否定期對(duì)自動(dòng)化決策的效果進(jìn)行評(píng)價(jià); 是否對(duì)自動(dòng)化決策使用的數(shù)據(jù)源、算法等持續(xù)優(yōu)化; 是否向用戶提供針對(duì)自動(dòng)化決策結(jié)果的投訴渠道; 是否支持對(duì)自動(dòng)化決策結(jié)果的人工復(fù)核。 |
個(gè)人信息匿名化和去標(biāo)識(shí)化效果評(píng)估 | 個(gè)人信息匿名化和去標(biāo)識(shí)化過程的規(guī)范性,所采用技術(shù)的通用性; 匿名化后的個(gè)人信息是否為統(tǒng)計(jì)型結(jié)果; 去標(biāo)識(shí)化后的個(gè)人信息是否能夠達(dá)到使用目的; 匿名化和去標(biāo)識(shí)化后的個(gè)人信息使用場(chǎng)景; 如委托第三方進(jìn)行去標(biāo)識(shí)化或匿名化時(shí),需評(píng)估其采用的方案及數(shù)據(jù)安全保障能力; 能否在公開渠道或數(shù)據(jù)交易組織獲得類似的個(gè)人信息; 未經(jīng)去標(biāo)識(shí)化或匿名化處理保留的個(gè)人信息類型和內(nèi)容的特殊性。 |
個(gè)人信息委托處理、轉(zhuǎn)讓、共享或公開披露前的影響評(píng)估 | 個(gè)人信息的類型、數(shù)量、敏感程度等; 是否向個(gè)人信息主體告知了轉(zhuǎn)讓、共享、公開披露的基本情況,并征得個(gè)人信息主體的明示授權(quán)同意; 數(shù)據(jù)發(fā)送方的安全管理保障和安全技術(shù)保障能力; 數(shù)據(jù)接收方的安全管理保障和安全技術(shù)保障能力(不包括公開披露); 數(shù)據(jù)接收方可能會(huì)開展的個(gè)人信息處理活動(dòng),或公開披露的個(gè)人信息可能會(huì)被使用的個(gè)人信息處理場(chǎng)景; 個(gè)人信息是否進(jìn)行過去標(biāo)識(shí)化處理; 發(fā)生個(gè)人信息安全事件后的補(bǔ)救措施; 數(shù)據(jù)接收方所能響應(yīng)個(gè)人信息主體的請(qǐng)求的范圍,如訪問、更正、刪除等。 |
確定個(gè)人信息安全事件處置方案的評(píng)估 | 個(gè)人信息的類型、數(shù)量、敏感程度、涉及的個(gè)人信息主體數(shù)量等; 發(fā)生事件的信息系統(tǒng)狀況,對(duì)其他互聯(lián)系統(tǒng)的影響; 已采取或?qū)⒁扇〉奶幹么胧┘按胧┑挠行裕?/p> 對(duì)個(gè)人信息主體權(quán)益造成的直接影響和長(zhǎng)期影響; 向個(gè)人信息主體告知事件的方式和內(nèi)容; 是否達(dá)到《國(guó)家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》等有關(guān)規(guī)定的上報(bào)要求。 |
6.個(gè)人信息影響評(píng)估報(bào)告應(yīng)留存多久?
個(gè)人信息保護(hù)影響評(píng)估報(bào)告和處理情況記錄應(yīng)當(dāng)至少保存3年。
二、企業(yè)實(shí)踐情況調(diào)研
經(jīng)過對(duì)Apple App Store前30款免費(fèi)App的調(diào)研發(fā)現(xiàn),所有的App均會(huì)在隱私政策中披露如何保護(hù)用戶的個(gè)人信息,從技術(shù)措施、管理措施、安全響應(yīng)等角度予以闡述。
*可關(guān)注本公眾號(hào),發(fā)送關(guān)鍵詞「?jìng)€(gè)人信息影響評(píng)估」,獲取完整版報(bào)告
其中約13%的App還明確指出會(huì)將個(gè)人信息影響評(píng)估作為重要的個(gè)人信息保護(hù)措施,例如韓劇TV和快手,具體截圖如下:
韓劇TV隱私政策
快手隱私政策
實(shí)施個(gè)人信息安全影響評(píng)估是加強(qiáng)對(duì)個(gè)人信息主體權(quán)益保護(hù)的有效舉措。在開展個(gè)人信息處理前,公司可通過影響評(píng)估,提前識(shí)別風(fēng)險(xiǎn),并據(jù)此采用適當(dāng)?shù)膫€(gè)人信息安全控制措施。對(duì)于正在開展的個(gè)人信息處理,企業(yè)可通過影響評(píng)估,持續(xù)完善己采取的個(gè)人信息安全控制措施,確保風(fēng)險(xiǎn)處于總體可控的狀態(tài)。TalkingData內(nèi)部已經(jīng)制定了個(gè)人信息影響評(píng)估制度,會(huì)在嚴(yán)格遵守《個(gè)保法》的相關(guān)規(guī)定的基礎(chǔ)上積極推進(jìn)個(gè)人信息保護(hù)工作,完善公司內(nèi)部的合規(guī)體系。
推薦閱讀:
TalkingData——用數(shù)據(jù)說話
每天一篇好文章,歡迎分享關(guān)注
