7月20日，第二期数据保护官（DPO）沙龙如期在京举行，主题为“隐私影响评估（PIA），企业准备好了吗？”。与会嘉宾主要围绕6月上旬发布的国家标准《信息安全技术 个人信息安全影响评估指南（征求意见稿）》（以下简称“指南”）发表了自己的意见和建议。

企业可根据附录模板形成评估体系

PIA是为减少个人信息遭受侵害而进行的事前风险评估，受到国际普遍认可。5月1日正式实施的国家标准——《信息安全技术 个人信息安全规范》中，有20多处提及开展个人信息安全风险评估工作，其重要程度可见一斑。

作为《个人信息安全规范》的配套标准，指南针对机构、企业提出了个人信息安全影响评估的基本概念、框架、方法和流程，供其自评估使用；同时为国家主管部门、第三方测评机构等开展个人信息安全监管、检查、评估等工作提供指导和依据。

中国电子技术标准化研究院信息安全研究中心审查部技术总监何延哲是指南的主要起草人之一。他指出，指南的必要性在于它可以被广泛适用于实践案例上，并且起到平衡发展与安全的作用，帮助企业尽早“排雷”。

主要起草人之一、中国电子技术标准化研究院信息安全研究中心审查部技术总监何延哲。图/娜迪娅

何延哲表示，指南的评估对象是个人信息处理行为和活动，可能包括数据披露、对接、匹配、采集、调研等。此外，活动目的也可以被纳入评估，这是与传统的资产评估最大的区别。

另一个重要区别在于，评估是企业站在用户的角度去做的，而不是从企业角度，因此评估最终关注的是个人信息处理行为对用户权益产生的影响。“相当于在企业中扮演观察者、审计者的角色，提醒决策者可能存在的风险”，何延哲说。

据介绍，指南有四个核心理念：一是影响个人自主决定权，比如欧盟《一般数据保护条例》中提到的数据可携权；二是引发差别性待遇，比如大数据杀熟；三是名誉受损或精神压力；四是个人财产受损，也是个人最关心的方面。

“评估过程中应该四条线并行，得出的结果也可能不止一个，而是一个风险组”，何延哲提到，评估结果可能涉及多个风险，企业只需关注并优先降低最高的几个风险。

他说，消费者权益和商业利益博弈的过程，实际上体现了双方对风险的认知，企业可能为了巨大的商业利益，愿意承担与之相伴的安全风险。“这是企业决策对商业利益的妥协，不代表评估不存在价值”，他表示，“我们希望指南能够成为对企业真正有帮助的工具。”

南都记者了解到，指南是基于通用性和普遍指导意义做出的，企业在使用过程中可以自行修改。何延哲指出，这也是在附录里加入评估模板的初衷，希望帮助企业形成自己的评估体系和知识库，让评估结果越来越准确。

隐私评估是否应该包含信息安全？

指南在附录中指出，按照定性方式，安全事件可能性可从“网络环境和技术措施”、“处理流程规范性”、“参与人员与第三方”、“安全态势及处理规模”四个方面进行评估。

对此，有与会嘉宾提出疑问：指南融入了隐私保护之外的很多内容，比如信息安全、数据的物理防护等，这是否扩大了隐私保护的外延？

会上各位嘉宾讨论热烈。图/娜迪娅

指南牵头人、四川大学网络安全研究院特聘副研究员洪延青表示，这个问题的答案取决于指南的定位。“简单来说，个人信息保护无非就是安全加控制。无论是不是个人数据，都要考虑安全；控制则是对个人自主权的满足。”

他提到，在起草过程中，对于个人信息保护要不要包含信息安全的问题，两方观点都存在：支持方认为指南将来是为数据保护官所用，不能纯谈隐私，因为决策者很可能不会把隐私和安全分开；反对方认为做隐私保护就够了，安全不在考虑范围内。

何延哲则表示，目前影响评估只涉及四个与个人权益相关的方面，把传统的数据安全评估和PIA拆开了，目的就是引导大家只关注隐私相关，而非安全相关，因为后者可以通过《信息安全技术信息安全风险评估规范》完成。

但是他同时指出，只提隐私相关的内容确实比较主观，所以又在附录里给出了安全事件可能性等级评估。“本来一开始没有加入技术评估部分，可是后来我们发现很多个人信息泄露事件真的跟技术有关”，他说，“如果把隐私和安全分开，各评各的，隐私保护一点安全相关的都不考虑好像也不对；如果都考虑，跟传统的信息安全又‘撞车’了。”

“所以在可能性评估上，我们采取了可选择的方式”，何延哲表示，企业不一定要四列要素全选，只需要选择自己关心、和业务场景相关的要素，达到把可能性评估出来的目的就行。

比如一起个人信息泄露事件，评估“处理流程规范性”已经没有意义了，企业可以只选择“网络环境和技术措施”和“安全态势及处理规模”两列。其中对于技术的评估，则可以沿用根据其他标准完成的评估结果。