汇业评论 |《个人信息安全影响评估指南》解读及实践
近日,国家市场监督管理总局、国家标准化管理委员会在2020年第26号公告中正式发布了推荐性国标《个人信息安全影响评估指南》(GB/T39335-2020,以下简称“国标39335”),该标准自2021年6月1日开始实施。在此之前,2020版《个人信息安全规范》首次详细规定了个人信息安全影响评估的适用场景、主要内容及报告形式等。
结合国标39335的主要内容、最新立法趋势及开展个人信息安全影响评估(以下简称“PISIA”)的行业实践及近期项目经验,汇业律师事务所黄春林律师团队简要分析如下:
一、企业为什么要开展PISIA
1. 开展PISIA是企业合规遵从的重要内容
越来越多的行业实践证明,开展PISIA是个人信息保护的重要策略之一,有利于事前最大化避免个人信息安全事件发生。因此,PISIA正在成为越来越多的法律、法规及标准文件推崇的个人信息保护策略。
法律层面,《网络安全法》中明确规定了个人信息跨境传输及网络安全事件发生后的安全评估机制,《儿童个人信息网络保护规定》中还明确规定了企业在儿童个人信息转移及委托处理场景的安全评估责任。标准层面,《个人信息安全规范》详细规定了PISIA适用场景,具体包括汇聚融合、自动化决策、委托处理、共享/转让、公开披露等,同时还详细规定了PISIA的负责部门、评估内容及报告形式等。
近期,《个人信息保护法(草案)》除了细化了《网络安全法》的有关要求外,还专门设立了广受关注的54条,列举规定了PISIA的适用场景、评估内容及报告形式要件等。此外,关保条例及等保条例征求意见稿等也有PISIA的相关规定。
2. 开展PISIA是责任事件发生后企业抗辩的重要事由
网络安全事件在所难免,尤其是在数字化浪潮下,企业数据(含个人信息)在整个业务链条上广泛流动,上下游牵连的网络安全事件和法律风险进一步扩大。
一旦企业自身或上下游牵连发生网络安全事件(包括但不限于个人信息泄露事件)的,按照执法部门关注的重点可能不是企业的网络是否绝对安全,而是企业为网络安全采取了哪些事前合规措施,其中一个很重要的措施就是PISIA 。尤其是在“一案双查”机制下,被上下游安全事件牵连的企业,是否开展数据流动前的PISIA,是其责任抗辩(是否承担责任,责任大小,以及单位责任还是个人责任)的一个重要事由。
3. 开展PISIA是树立企业数据合规形象的重要路径
根据国标39335规定,企业主动开展PISIA,“有利于组织对外展示其保护个人信息安全的努力,提升透明度,增进个人信息主体对其的信任”,进而有利于企业树立数据合规、产品合规的正面形象。
此外,PISIA还有利于识别、预判企业的数据风险,加强上下游企业风险监管,强化内部机构或员工的合规意识,等等。
二、企业什么时候开展PISIA
根据《个人信息保护法(草案)》、《个人信息安全规范》以及国标39335等规定,并参照行业实践,在下列几个时间点,企业应当开展PISIA:
(1) 业务或外部环境发生重大变化。包括但不限于法律法规发生较大变化,内外部发生牵连性安全事件,新产品或新业务的关键节点,企业发生并购重组,等等。
(2) 个人信息生命周期的关键节点。包括但不限于汇聚融合、自动化决策、委托处理、共享/转让、公开披露、跨境转移,等等。
(3) 处理特殊类型的个人信息。包括但不限于儿童个人信息、个人金融信息、生物识别信息、健康医疗个人信息等等敏感个人信息的处理。
此外,根据《个人信息保护法(草案)》第五十三条规定,参考行业实践,企业还应当定期(建议每年不少于一次)对个人信息保护工作(包括但不限于用户个人信息、员工个人信息、上下游有关的个人信息等)开展合规审计或PISIA,以确保相关业务的动态合规。
三、由谁开展PISIA
根据行业实践,开展PISIA的责任主体,主要涉及如下几个层面:
1. 个人信息上下游流动中的责任主体
根据《儿童个人信息网络保护规定》、《个人信息安全规范》等规定,PISIA的责任主体是“网络运营者”和“个人信息控制者”但是,根据《个人信息保护法(草案)》规定,PISIA的责任主体是“个人信息处理者”。因此,结合前述法律法规之规定,汇业律师事务所黄春林律师团队建议,在不发生个人信息控制权转移的一般业务场景中(例如非敏感个人信息的委托处理),应当仅由控制者开展PISIA;而其他场景中,建议数据上下游流动各方均单独开展PISIA。
2. 企业内部组织机构及人员
根据《个人信息安全规范》规定,PISIA由个人信息保护负责人和个人信息保护工作机构负责。国标39335进一步细化了组织及人员要求,企业“指定个人信息安全影响评估的责任部门或责任人员”(有专门的个人信息保护负责人和个人信息保护工作机构的,通常由该机构担任),由其负责PISIA工作并对结果负责。同时,国标39335还建议企业内部牵头执行PISIA工作的部门为法务部、合规部或安全部门等。
3. 外部机构参与
国标39335不止一次提到,企业除了可以自行开展PISIA外,还可以委托外部专业机构(包括但不限于律师事务所、安全技术机构、咨询公司等)开展评估工作;上级检查部门检查企业的PISIA工作时,也可以委托外部专业机构开展评估工作。
四、如何开展PISIA
结合行业最佳实践,国标39335给到了一些典型的PISIA方法、流程及工具等。实践中,每个企业需要结合自身个人信息类型、规模,以及企业类型、业务场景、系统情况等因素,制定符合自身特点的PISIA工作方法。
结合近期类似项目经验,汇业黄春林律师团队通常会按照如下工作流程,协助企业开展PISIA工作:
(1) 调研及访谈:通过现场访谈、问卷清单、技术监测等方式,调研项目有关的主要系统/数据类型、业务流程/场景/系统/合同、组织架构/政策制度、数据上下游流动情况等,制作数据地图(映射表),确定评估工作范围、目的、方式及里程碑等。
(2) 法律调研与影响评估:根据前期工作情况,结合最新立法、行业监管实践及执法案例情况,参照行业可对标企业/项目经验,利用风险暴露面识别工具/清单,出具书面评估报告(初稿)及整改建议,包括现有供应商审查、组织架构、业务流程、技术现状及文本制度等存在的合规差距。
(3) 评估情况沟通会:组织企业有关部门或人员研讨,汇报评估报告的情况,收集反馈意见,综合评估合规性、技术路径及落地成本等因素,并讨论整改方案/建议的可行性及落地方案。
(4) 协助整改实施(根据项目情况):根据前期整改建议,协助企业调整供应商、采购新设备,修改技术方案或网络结构,草拟配套制度,修改有关标准合同,制定相应的业务指引和流程控制文件,完善岗位设置及责任,等等。
(5) 出具最终评估报告:根据沟通会情况,出具正式评估报告,以及报告的保存、留档、备案、发布及公示等建议。
(6) 动态核查协助:评估项目实施完成后,协助企业建立动态检查机制。
若企业首次开展PISIA的,我们还会协助企业建立或完善PISIA制度、流程、组织架构、模板文本、标准合同等常态化合规机制。
黄春林
汇业律师事务所高级合伙人
Ramon.huang@huiyelaw.com
黄春林律师,现为上海市律协互联网与信息技术专业委员会副主任,主要执业领域为网络与数据合规、高新技术及泛娱乐领域综合法律服务,常年为数十家境内外企业提供前瞻性法律服务解决方案,2019年在人民法院出版社出版专著《网络与数据法律实务:法律适用及合规落地》,多次被LegalBand、知产力等评为中国顶级律师之一。
往期文章推荐: