iLaw
編者按:為保護使用者個人資訊,尤其是敏感個人資訊,以及增強公司和使用者之間的信任,開展PIA工作已成為現代企業數字化發展中隐私保護工作的重要手段。随着業務場景的不斷增加和複雜化,各個企業不斷提升合規意識,主動對自身進行評估,以此關注企業重點風險。通過進行“因企制宜”的PIA評估來制定相應的防護政策,保證自身業務開展的合規性,已經成為了企業資料合規工作中的“标準動作”。但由于各企業的業務場景不一,不同企業會因為各自的企業規模和管理方式的差異,影響PIA評估實施方式。在不同場景下如何讓PIA評估“因企制宜”滿足管理、監管訴求成為企業需要思考的問題。本文将針對上述問題展開,為讀者提供實用性的建議。
✨溫馨提示:
1.文末附「《 個人資訊保護合規指引》(近250頁)&22項個人資訊保護規範、模闆大合集」,全面且系統,如有需要,可自行擷取!
2.如有需要金誠同達彭凱律師0427直播精彩回放與課件的可以掃碼咨詢圈圈!
3.由于微信更改訂閱規則,如果大家喜歡iLaw合規的内容,記得星标🌟「iLaw合規」公衆号,避免錯過未來的精彩内容~
作者:彭凱
機關:金誠同達律師事務所
微信号:plucky0810
一
開展PIA工作的監管要求及制度體系
(一)PIA簡述
1、是什麼
PIA(Privacy Impact Assessment,另一種縮略語為PIPIA,Personal Information Protection Impact Assessment)對應的中文表述為“個人資訊保護影響評估”,是指《中華人民共和國個人資訊保護法》(下稱“個保法”)規定的,在特定情形下需要由個人資訊處理者開展的評估。
2、何時要做
PIA是在特定情形觸發的個人資訊處理活動開展前進行的事前評估。作為一種合規工具,PIA在企業側有着很重要的影響。
3、為什麼要做
PIA是個保法和個人資訊出境規制下個人資訊處理者的法定義務。所有被大陸個保法納入規制的個人資訊處理者,都必須承擔包括員工勞動個人資訊、使用者個人資訊等的PIA工作開展;針對個人資訊出境情形(以SCC備案路徑為典型),也必須有PIA,且該等場景觸發的PIA相對于個保法增加了更多評價的次元。
(二)開展PIA工作的實施要點
1、傳遞一個報告足夠嗎?
在個保影響評估報告之外還需要有對應的處理情況記錄。為了得出這個報告,企業還會有一些其他的評估流程,也就會有相應的評估過程留痕。有些企業會自上而下從制度側開始把PIA的流程在企業側進行制度化。此外,還需要在報告之外對處理情況進行記錄,個保法中規定要求儲存至少3年,包括按照這份報告裡面所去調研獲得的或者實際評估的處理方式、實際的處理活動怎麼開展等,都要有對應一個處理記錄,而這個記錄同樣也是需要至少儲存3年。
2、有沒有操作指引?
目前比較常作為參考的是個人資訊安全影響評估指南(GB/T 39335),個人資訊出境場景則另有出境規制相關指南參考(如SCC備案指南、個人資訊跨境處理認證指南等)。就GB/T 39335而言,即使其中不少内容并不會在實踐中被完全運用,但GB/T 39335所劃定的一些基礎底層評估邏輯、次元等,比如橫縱軸形态的合規影響評價和安全影響評價這樣的評估方法、比如PIA開展的流程方面的參考、比如特定觸發場景的評價次元參考等,這些都可以作為重要參考被實務開展所吸收、借鑒。
二
重要場景下個人資訊保護影響評估的實施路徑
(一) 具體的實施流程
1、各不相同
企業側的人員配置、部門設定以及不同部門的側重都會導緻PIA流程的不同。
2、經典的合規四步走政策(僅作參考,不代表通行做法)
(1)場景摸排:弄清楚到底可能會有多少場景可能會觸發PIA。
(2)場景篩選:梳理并确定優先順序,選中某個場景進行試點方案制定。
(3)方案制定:在標明的場景項下,排查清楚要求是什麼、評價次元有哪些、實際的情況是什麼,确定方案執行手段,比如調研、問詢、訪談等,核心會包括合規表單的制作與場景适配填寫等。
(4)差異分析:如果差異很大,影響到了評估結論,那就需要啟動一個修正機制;如果說整體是可控的,是一個中風險,甚至是低風險,那就會導向到輸出這份報告,以及按照這個報告去遵循後面3年留存和處理記錄執行。
(二)企業側哪些人員參與
1、業務、技術、合規基礎三件套
評估報告中的評價尺度,涉及到安全風險的話,如評價的是敏感個人資訊處理,就要去評價敏感度到底如何、有多少敏感字段、這些敏感字段有沒有加密、傳輸保護措施之類,就會帶出安全側的、技術側的一些内容。此外,評價次元還包括所采取的保護措施是否合法有效并與風險程度相适應。保護措施裡面有技術措施,用了哪些加密手段,安防做得如何等等,這些其實都是技術側的内容。業務人員的參與更多是在不同的業務場景中面臨資訊處理的活動,進而觸發了PIA合規義務,需要業務人員啟動PIA程式,填報背景情況。而合規人員則負責PIA中的合規側評價,包括法定義務履行情況、對個人權益影響等的評價。可以說,基礎三件套,涵蓋了技術、業務、合規三類人員,缺一不可,各有分工,略有交叉。
2、外部顧問聘請與否取決于預算情況
企業在進行PIA工作時,既可以通過自己的内部團隊以及符合自身企業情況的制度體系完成這項合規義務,也可以委托外部的顧問團隊進行。如何選擇,要根據企業自身制度是否成熟以及預算情況來确定。
(三)最核心的工作内容
在制作PIA報告時,文本側最核心的工作内容就是每一類觸發場景對應評估表單細顆粒評價次元的設計。針對工作開展的頻次,要明白場景觸發不等于場場觸發,複用機制很關鍵(可以提高效率、降低成本)。
(四)如何把握評估與業務側的協調
不同的企業之間有着不同的合規文化與風險偏好,合規部門在進行評估時可能需要面臨業務部門的對立立場引發的不了解和不支援。是以對于合規人員來說,除了高風險和明顯違規的場合,在其他場合盡量不要做攔路虎。利用好PIA的設計,與業務側做好協調,追求平衡很重要。
(五)完整評估的具體工作
1、管理制度:總領PIA工作的制度側内容,劃定參與人員組成與分工,框定PIA流程與機制。
2、場景方案:具體類型化的場景需要制定不同的場景方案。
3、評估表單:在某個具體的場景評估中,疊加相應的實際業務活動,在特定的評價次元下形成評估表單并進完成表單填具與評價。
4、報告記錄:基于上述評估工作,得到PIA報告,執行處理并記錄,并将報告和記錄至少留存三年。
三
如何讓PIA評估“因企制宜”滿足管理、監管訴求?
(一)評估結果的模型自己建構
進行PIA工作之後,如何得出最後的結論,進而在不同評價次元之間綜合得到一個結果,需要企業根據自身情況建構。如何配置設定各個次元的比重可以自己制定安排,可以是權重打分制,也可以可以根據木桶原理就低值等,沒有固定和法定做法。
在合規實踐中,企業側的合規推進速度整體較慢、各成一派,但重視度在不斷提升。
(二)CBDT與PIA
個人資訊出境安全評估中的自評估不能當然吸收掉PIA的法定義務,兩者都是企業在進行合規工作時不能忽視的重要内容。可行的做法是,自評估正常做,PIA報告可從自評估内容中抽取自成一體。
(三)合法、正當、必要的範式三性評價操作
“三性評價”應該有一個以結果導向的反向評價次元設計。相當于這是一道證明題,結論已經在那裡了,但是企業要怎麼去設計一些更細顆粒度的待論證要點,然後得出“三性适格”的大結論。
(四)個保影響評估隻是在解決個保影響評估?
PIA看似是一個單向的合規義務,因為它隻見于個保法55 、56 條,企業要做的特定場景也是一個獨立成體系的内容。但是在具體到這一合規義務的過程中,會發現它絕對不是一座孤島,并且會跟很多其他的内容進行串聯和互動。具體而言:
一方面,在進行PIA時企業一定會去梳理自己的業務場景,而且是具體到資料處理活動的業務場景中。這個前置工作就變成是場景梳理、個人資訊處理活動排查等等,這些工作也是在解決企業很多其他個保義務落地工作中經常會前置進行的。是以它不是孤島,它一定會有一個前置的、更通用的相關工作内容,也就是大家普遍需要要先做完的事情。
另一方面,企業做個保評估的過程中,又會發現它雖然是自成一項合規義務,但是它一定會跟很多其他的合規義務牽連在一起,比如三性評價要考量的合法性,必然會帶出“告知、同意”之類的義務履行情況,是以,真正完整的PIA需要上升到制度體系層面,是整個個保體系建設工作的重要一環。
文末福利
為更切實、便利地幫助讀者們開展資料合規業務,我們精心準備了《個人資訊保護合規指引》(近250頁),内容詳實,深入解讀個人資訊保護與資料安全,另附22項個人資訊保護規範、模闆大合集,以期助力企業實務開展!
■ 直播預告
👓 你一定還想看
1. 年度合集第一彈:共同迎接2023合規新征程
2. 年度合集第二彈:以行業視角,洞察資料合規強監管态勢
3. 2022年資料合規實踐的繼續探索——紀念《個人資訊保護法》實施一周年
4. 2022全球資料合規年度大事件回顧(附下載下傳)
5. 重磅來襲!《個人資訊保護與資料合規法律彙編V3.0》
6. 企業合規管理實務要點:新《辦法》、新思路
7. 企業用工合規典型場景全解——以《個人資訊保護法》為視角
■
THE END.
Copyright©2022iLaw.All rights reserved.
本文正文内容由作者享有版權,除此之外的内容及配圖設計為iLaw原創版權所有,任何個人或公司未經授權嚴禁轉載使用。
如需轉載請微信聯絡 @ilawhegui3
![擷取個人資訊,這些法律邊界要知道![圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)