天之未雨绸缪牖户：企业如何实施个人信息安全影响评估？

Original 陈际红蔡鹏等中伦视界 2022-07-31

收录于合集 #2021世界知识产权日系列文章 10个

作者：

陈际红蔡鹏

陈瑊杨润骆天

作为《个人信息保护法（草案）》的亮点之一，草案设置了个人信息安全影响评估（Personal Information Security Impact Assessment, “PISIA”或“PIA”）制度性安排，一旦生效，将成为数据处理者的一项法定义务。同时，GB/T 39335-2020《信息安全技术个人信息安全影响评估指南》（“《指南》”）已正式发布，并将于2021年6月1日正式实施，指南详细规定了进行PIA的流程和基本要求。

结合我们协助一家大型金融企业进行PIA的经验，本文将从法律基本规定、项目执行经验及PIA制度建设三个角度为企业提供可理解、可操作、可落地的解读与建议。

一.

项目背景

本项目的客户为一家大型金融公司（以下称为“A公司”），其业务领域为强监管的消费金融行业，业务覆盖全国，个人客户数量达到千万级别。由于业务需要，其希望委托第三方技术服务供应商对其收集的用户个人信息进行部分数据处理工作。

经过与A公司的沟通，我们了解到，此次委托处理场景涉及A公司所收集的用户个人信息（不包括C3及C2类别信息中的用户鉴别辅助信息[1]），其中包括大量的个人敏感信息、个人金融信息等，数据规模大，敏感程度高，一旦发生数据泄露等安全事件将对个人信息主体、业务正常运行及公司形象造成重大影响。同时，A公司对供应商的数据处理能力及安全保障能力的了解尚不充分。

基于上述原因，我们认为，为保证数据处理活动的合规性，根据《个人金融信息保护技术规范》[2]及《指南》的规定，此次数据处理活动有必要进行PIA。

二.

法律演进——PIA逐渐从企业良好实践到强制性法律要求

1、什么是PIA

根据《指南》，PIA是针对个人信息处理活动，检验其合法合规程度，判断其对个人信息主体合法权益造成损害的各种风险，以及评估用于保护个人信息主体的各项措施有效性的过程。评估旨在发现、处置和持续监控个人信息处理过程中的安全风险，督促企业建立预警机制，进行合规性检查，同时也有利于企业展示其保护个人信息安全的努力，提升透明度，增强个人信息主体对其的信任。

点击可查看大图

对PIA的理解包括两个层次，首先，PIA可能成为一项法定的合规义务。在我国现行的法规、国家标准等不同层面，对PIA也提出了明确的要求。例如，2019年实施的《儿童个人信息网络保护规定》、2020年实施的《个人金融信息保护技术规范》等。2020年10月21日公布的《个人信息保护法（草案）》中，明确了个人信息处理者应当对个人信息处理活动进行事前进行风险评估的场景，同时明确了对处理情况进行记录的合规义务。根据立法趋势判断，正式生效的《个人信息保护法》有较大可能保留该规定，一旦正式其发布，PIA将成为一项确定的法定义务。

欧盟《通用数据保护条例》（GDPR）下有一个类似的法律制度安排——个人数据保护影响评估（Data Protection Impact Assessment，“DPIA”）。根据GDPR第35条，在数据处理活动可能会给个人数据主体的权利和自由造成高风险时，数据控制者应当履行DPIA的法定义务。

其次，PIA是一种普遍适用的数据处理活动风险评估方法论。即使一项数据处理活动不属于法定需要进行PIA的场景，企业同样可以运用PIA的基本原理和方法论，对具体场景下可能存在的合规风险进行分析，并在此基础上采取相应的应对措施，不断提高合规水平。

2、何时需执行PIA

对于PIA的适用场景，我们对目前相关法律法规、国家标准等进行了梳理，具体如下表：

点击可查看大图

对于企业而言，在涉及上述触发场景的情况（尤其是强制性要求的场景下）进行PIA并处置个人信息处理活动存在的安全风险，是遵循相关法规、完善合规工作的应有之义。除此之外，《指南》还建议企业在法律法规及标准的基线之上主动进取，在涉及高风险个人信息处理活动时进行尽责性风险评估。

与GDPR下对DPIA的要求一致，目前我国强制要求需进行PIA的场景核心特点同样为可能会“对个人有重大影响”、“对个人基本权利和自由带来高风险”。除上表中列出的场景以外，《指南》附录B还列出了其他高风险个人信息处理活动示例（例如涉及对个人信息主体的评价或评分、使用个人信息进行自动分析给出司法裁定或其他对个人有重大影响的决定），与欧盟数据保护委员会（EDPB）前身第29工作组（WP29）发布的指南[4]基本一致。

3、如何执行PIA

点击可查看大图

（1）人员配置

根据《指南》，企业可以指定负责执行PIA的责任部门或责任人员，负责整体工作流程的指定、实施、改进，并对PIA工作结果的质量负责。由于PIA涉及多个部门的共同配合，实践中企业通常会组建包括业务部门、法务部门、合规部门及信息安全部门的评估工作组或评估团队。

PIA可以由企业自己进行，也可以聘请外部独立第三方来承担具体的评估工作。需要注意的是，无论是企业自己进行评估还是聘请外部第三方进行评估，企业所指定的责任部门或责任人员仍为责任主体，对工作结果负责。

（2）评估流程及要求

根据《指南》，评估工作内容主要包括数据映射分析、个人权益影响分析、安全事件可能性分析、风险综合评估四个部分（基本原理如下图）。

点击可查看大图

数据映射分析（Data Mapping）是评估工作的基础。评估团队需根据个人信息的类型、敏感程度、收集场景、处理方式、涉及相关方等要素，对个人信息处理活动进行分类调研，并描述每类个人信息处理活动的具体情形，便于后续分类进行影响分析和风险评价。一般来说，数据映射分析的方法为数据调研，包括访谈、检查等方式。调研内容包括个人信息收集、存储、使用、对外提供、废弃环节涉及的目的和具体实现方式，以及个人信息处理过程涉及的资源和相关方（如策略和规程、合同和协议、内部信息系统、个人信息处理者、第三方、交易平台经营者、外部服务供应商、云服务商等），调研过程中应考虑已下线系统、系统数据合并、企业收购、并购及全球化扩张等情况。在数据映射分析完成后，评估团队需形成清晰的数据清单及数据映射图表，为后续的评估提供有效依据。

在结束数据映射分析后，需要根据调研结果进行个人权益影响分析及安全保护措施有效性分析。在个人权益影响分析中，其分析过程包括个人信息敏感程度分析、个人信息处理活动特点分析、个人信息处理活动问题分析，以及综合前阶段分析结果的综合影响程度分析。安全保护措施有效性分析的分析要素包括网络环境和技术措施、个人信息处理流程、参与人员和第三方以及业务特点和规模及安全态势。

完成个人权益影响分析及安全保护措施有效性分析后，应结合二者的评估结果进行风险综合评估，并形成评估报告作为评估工作成果。此后，还应根据评估结果进行风险处置和持续改进。在完成评估报告和风险处置后，企业可以根据内部管理制度要求或实际情况决定是否公布评估报告。

三.

项目执行——PIA项目的实施经验

在前文所述项目中，接到A公司委托后，项目组律师对其需求进行梳理，分析项目重难点。经初步分析，项目组律师判断，本项目面临的重难点问题主要包括：

数据映射工作量大：该项目中数据委托处理活动涉及公司所掌握的千万级别的用户的个人信息，数据字段数万行。
企业内部分工不明确：A公司在此次PIA之前并未开展过评估工作，尚未建立个人信息安全评估机制，对于应当由何部门及人员组织领导评估工作缺少明确认知。
供应商安全保障能力及后续处理措施不够明确：在评估前，A公司对于供应商的能力缺乏明确了解。
项目时间紧张：由于该技术服务对于A公司的业务开展有重要意义，因此A公司希望在短时间尽快内完成评估工作，项目安排紧凑。

根据上述项目重难点分析，结合《指南》给出的评估原理及流程，项目组律师制定了如下工作计划：

点击可查看大图

1、评估团队组建

《指南》中明确，组织应当制定PIA的责任部门或责任人员，由其负责领导本项目工作、负责签署评估报告，并对评估工作的质量负责。同时，公司管理层需为评估团队配置必要的资源。

在本项目中，由于暂未进行系统的数据映射分析，同时涉及大量对信息系统的安全性判断、技术措施有效性判断及供应商技术评估，仅依靠企业法务合规部门无法对评估工作提供足够的支持。因此，项目组律师根据A公司实际情况，建议其组建了以数据处理项目负责人（业务）为PIA负责人，包含法务合规部门、信息安全部门、IT运维部门人员的评估团队，共同推进评估工作的进行。

2、数据映射分析

项目组律师采取了调查问卷与访谈相结合的方式，结合A公司初步梳理的数据字典，对数据处理活动及A公司本身的安全保障能力进行全面摸底，了解了此次数据处理活动的项目背景情况，委托数据处理的范围、处理方式、时间及频次，同时对供应商的安全能力、对数据可能的处理情况等进行了调查，为后续的分析打下了坚实的基础。

3、个人权益影响分析及安全分析

（1）个人权益影响分析

个人权益影响分析是指根据不同的个人信息处理活动，分析其是否存在对个人信息主体权益产生影响。在本项目中，首先，在数据映射分析的基础上，项目组律师确认了此次数据处理涉及的个人信息的敏感程度，并根据A公司所采取的降低数据的敏感程度的措施对敏感程度进行了修正；其次，根据此次数据处理活动的传输方式、流程、频次，对传输是否会涉及限制个人自主决定权、引发差别待遇、个人名誉受损或遭受精神压力、人身财产受损等情况进行了分析；随后，项目组律师又从所涉数据的收集正当性、授权同意情况、数据接收方的处理目的、安全事件通知机制等多个维度对此次数据处理活动的问题进行分析。最终，在前述分析的基础上，依据《指南》给出的判定方法及标准，结合其附录D.2中的《个人权益影响程度判定准则》及《影响程度判定表》，项目组律师对此次数据处理项目对个人权益产生的影响进行了综合性判定。

（2）安全措施有效性分析

安全措施有效性分析即风险源识别，重点在于分析个人信息处理活动面临的威胁以及是否采取足够的安全措施。在安全措施有效性分析评估过程中，由于此次数据处理活动属于个人信息委托处理前的影响评估，项目组律师参考《指南》附录A.5所给出的评估要点，分别通过安全防护体系、安全管理制度、人员管理制度、审计机制、应急处置预案及数据处理流程、投诉情况及安全事件等角度对A公司及供应商的数据安全能力进行评估。在此基础上，项目组律师综合二者的分析结论，根据《指南》附录D.1中的《安全事件可能性等级判定准则》及《可能性判定表》，逐项对照其给出的可能性描述及客户业务的满足程度，同时结合ISO 27001[5]、GB/T 37998-2019《信息安全技术数据安全能力成熟度模型》等信息安全相关标准文件，对此次数据处理项目的安全保护措施有效性进行了综合性判定。

4、风险评估及报告输出

点击可查看大图

在完成个人权益影响分析评估及安全措施有效性分析评估后，依据《指南》给出的判定方法及标准，结合其附录D.5中的《风险等级判定表》，项目组律师综合个人权益影响程度和事件发生可能性的评估结果，从上述两个维度对本次数据处理项目进行了个人信息安全风险综合评估。

同时，项目组律师还结合此次数据处理双方的数据安全能力、业务的重要程度及立法、执法趋势，对此次数据处理项目提出了操作建议。在与A公司充分沟通后，评估团队形成成了PIA报告并予以发布。

四.

企业PIA制度建设——PIA机制的建立与落实

在涉及PIA触发场景的情况进行PIA并处置所存在的风险，是遵循相关法规的要求，完善合规工作的应有之义。因此，企业应当提前准备、主动应对，针对自身的个人信息处理活动及合规实践，建立并落实适合企业实际情况的PIA机制。PIA机制应当包括由谁执行、如何执行、如何决策等内容，我们建议企业可以从以下几个方面着手：

1、明确职责分工

点击了查看大图

一般而言，业务作为需求方，应对数据处理活动的风险负责。业务部门在开展数据处理活动之前及开展数据处理活动的全过程中，均应当具备风险评估的意识，在遇到高风险场景时清楚地认识到需进行PIA。

由于PIA是一项综合性的风险评估活动，其中既涉及到信息安全风险的分析，同时也包括在此基础上对个人权益影响的分析。因此，在实践中往往由信息安全部门或法务部门牵头执行。业务部门、信息安全部门及法务合规部门可组成PIA评估团队，负责PIA工作的具体执行及持续改进。企业可根据自身的实际情况指定适当的责任部门或责任人，作为PIA团队的领导，对评估结果负责。

2、嵌入业务流程

点击可查看大图

首先，企业PIA机制应当明确进行PIA的内部流程。一般情况下，可以分为以下几个阶段：

第一阶段：业务部门在进行数据处理活动时如遇到可能会导致高风险的场景，则在法务合规的协助下判断是否会触发PIA。针对可能触发PIA的场景，企业应当以客观化、量化的方式明确列出，方便业务部门理解。

第二阶段：如是，企业应及时组建PIA团队，由其负责制定PIA计划，执行PIA具体要求并输出PIA报告。

第三阶段：由企业个人信息保护专员审批PIA报告。业务部门需根据评估结果，在法务合规及信息安全部门的协助下进行风险处置并持续改进。如有必要，PIA团队可以制定报告发布策略并公开发布。

其次，企业应当将PIA嵌入业务流程。业务部门在初步构思一项数据处理活动或涉及一项产品功能之前，可以融入设计和默认的隐私保护（Privacy by Design and Default，PbD）理念，通过PIA的方式识别可能存在的数据保护风险，在结合PbD 机制，充分地将隐私保护要求内化到构建数据处理活动概念之初，以减少产品的隐私漏洞及后续添加升级时的高昂成本。

3、善用外部资源

考虑到PIA的专业性和复杂性，企业可以引入外部第三方机构协助进行评估。在此种情况下，由于报告内容依赖于第三方专业意见，企业可以在评估报告增加第三方评估机构（如律所或技术机构）意见的部分，作为企业作出评估分析的依据，以彰显评估结果的客观性、专业性。

此外，若由企业自身进行PIA，可考虑借助智能化工具对评估工作进行辅助。《指南》在评估准备工作的介绍中提到了自动化评估工具的使用[6]。在GDPR项下，为简化业务评估流程，避免资源浪费，部分大型技术公司设计研发了DPIA智能化评估工具以帮助企业进行GDPR项下的合规义务履行。上述工具的核心逻辑在于对评估要点的量化。法律评价的基础在于事实判断，自动化评估工具结合统计学的计算和法律理解，通过一系列便于企业填写的简单问题以及对问题的加权、赋值等计算，智能生成可视化的评估结果，以便于企业简便地完成其DPIA工作。

目前，上述工具在国内尚未大规模使用，但已有部分企业开始探索中国法律体系下PIA的智能化评估工具，我们也在积极协助企业的工具开发工作。我们建议企业对自身业务进行评估判断，若可能大量触发PIA的适用，则可以考虑针对自身业务模式、数据流程、制度规范等实际情况，开发适用于自身的智能化评估工具，使员工能在日常业务活动中高效便捷地推进PIA工作，降低PIA的评估成本以及对业务的影响。

结语

正如《礼记·中庸》所言，“凡事预则立，不预则废”。在《个人信息保护法》有望正式出台、《个人信息安全影响评估指南》行将生效之际，我们建议企业一方面提前准备、主动应对，审视自身的个人信息处理活动及合规实践，主动进行合规性评估，积极响应尽责性风险评估，同时梳理形成针对企业自身的、精炼的合规评估流程及对策；另一方面要逐步提升合规意识，将PIA内化为一种合规能力，提前识别核心风险，找到最优解决方案，赋能产品发展。

[注]

[1] 根据《个人金融信息保护技术规范》的规定，C3类以及C2类别中的用户鉴别辅助信息，不应委托给第三方机构进行化成处理。

[2]《个人金融信息保护技术规范》第6.1.4.4条金融业机构因金融产品或服务的需要，将收集的个人金融信息委托给第三方机构（包含外包服务机构与外部合作机构）处理时，具体技术要求如下：……d）应对委托行为进行个人金融信息安全影响评估，并确保受委托者具备足够的数据安全能力，且提供了足够的安全保护措施；……

[3] 对于进行个人信息跨境传输时的安全评估，《信息安全技术数据出境安全评估指南》（2017征求意见稿）及《个人信息出境安全评估办法》（2019征求意见稿）规定了细致的评估流程和评估要求。我们理解，PIA的方法论同样适用。

[4] Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679

其中列举的“可能给个人权利和自由带来高风险”的场景包括：Evaluation or scoring, Automated-decision making with legal or similar significant effect, Systematic monitoring, Sensitive data or data of a highly personal nature, Data processed on a large scale, Matching or combining datasets, Data concerning vulnerable data subjects, Innovative use or applying new technological or organisational solutions, the processing in itself prevents data subjects from exercising a right or using a service or a contract.

[5] ISO/IEC 27001 Information technology-Security Techniques-Information security management systems-requirements.

[6] 《指南》第5.2.2条“制定评估计划” 计划需清楚规定完成个人信息安全影响评估工作所进行的工作、评估任务分工、评估计划表。此外，计划还需要考虑到待评估场景中止或撤销的情况。具体操作时考虑以下方面：

c) 进行评估每一步骤所需资源，如自动化的评估工具等。

The End

作者简介

陈际红律师

北京办公室合伙人

业务领域：知识产权权利保护, 网络安全和数据保护, 反垄断和竞争法

特色行业类别：金融行业, 通讯与技术

蔡鹏律师

北京办公室 合伙人

业务领域：网络安全和数据保护, 知识产权权利保护, 合规和反腐败