The following article is from 数据安全共同体计划
Author 张仁卓
本文章首次发表于“数据安全共同体计划”,发表时间2022年11月18日。时间回到2019年,当落地k匿名、差分隐私、安全聚合屡屡被挑战与质疑之后,终于使我们意识到单纯的隐私增强技术是无法完全解决业务团队所面临着的问题。面对业务准确度或运行性能的下降,开发团队想要的不仅仅是怎么做,更有理由知道为什么必须这样做。也就是说,技术落地终究是要建立在合规管理的支撑之上,管理+(工程能力)+技术全领域隐私保护解决方案之路才是正确之路,这也符合网络安全熟悉的“七分管理、三分技术”
从这之后,我们开始接触法律、法规及相关解读,向众多的合规律师或法务请教,学习业界各项技术标准、分析产业界优秀实践,期望能够设计出一套隐私合规管理系统。这套合规管理系统,既要能保证合规工作的完备性,确保合规管理的可视、可管、可控、可闭环,又要能实现功能简单、自动与高效。总之,希望这套系统能够将合规与业务冲突最小化的前提下,实现隐私合规管理目标。也许基于背景、经历、视角的不同,伴随着这个系统的设计与开发,我们逐步发现对某些功能的认识与许多人并未完全一致,其中就包括当前许多公司和法务正在进行的个人信息保护影响评估(PIA)。在这篇文章中,我从隐私合规管理系统构建和组织内大规模推行隐私合规管理落地,而非单纯法律法规的角度,探讨一下PIA的重要作用,希望给企业合规团队在设计PIA时提供更多的思考方向。《个人信息保护法》明确对个人信息处理者提出了各种合规要求,其中就定义了在特定情形下需要进行的个人信息保护影响评估(PIA)。它通常被视为一种隐私风险评估过程,根据其对个人数据隐私的影响来评估涉及个人信息的实施或操作,目的是避免或尽量减少不利影响。《信息安全技术—个人信息安全影响评估指南》(GB/T 39335-2020)给出了个人信息安全影响评估的基本原理、实施流程。它一般包括数据映射分析、数据收集目与方式、数据准确性与保留期限、数据使用等,由个人权益分析、安全风险综合分析、风险缓解建议、PIA报告等组成。PIA已经成为处理个人信息企业强制性义务,也是个人信息处理企业的基础合规需求,支撑某些特定场景例如跨境安全评估的必备要件,更是企业自证清白的有利武器。企业面对监管机构执法或商业伙伴的调查与审计等时,可借助PIA证明其遵守了个人信息保护与数据安全等方面的法律法规要求;发生数据泄露事件时,PIA可证明企业已主动评估风险并采取合适的安全保护措施,有助于减轻甚至免除企业相关责任。所以,单纯从法律法规角度看,PIA的作用已然巨大!这也成为许多企业推行隐私合规管理的主要抓手。但,这只是PIA作用的一部分!隐私合规管理系统设计之初,我们就从未间断思考如下问题:如果隐私保护要在一个公司规模推广与落地,核心控制点是什么?隐私政策、权限管理、数据分级分类似乎都有道理,因为毕竟这是监管治理重点或者被人反复提起;但似乎又不是,因为这些活动,显然并未驱动整个合规管理活动的开展:隐私政策与权限管理,过于聚焦采集侧,并未深入涉及企业内部数据处理活动的管理;而数据分级分类,又过于聚焦真实数据,缺乏与合规管理的联接。正如大多数系统都是设计出来一样,隐私合规管理不能脱离于产品开发的基本规律,聚焦于这一角度,显然,只有PIA才能承担此重任。原因有二:1)PIA通过多领域协作,定义了采集数据的类型、目的、采集方式、用途、存留期限、与第三方共享情况、数据跨境情况等等,它涉及到数据的采集、存储、处理、交换共享的全声明周期。实际上,PIA定义了隐私合规管理过程中的管理基线,定义了在此特性隐私合规管理中“正确”是什么!2)PIA虽然是一个组织协作的过程,却也是“最懂业务”的业务人员参与合规管理最主要的途径之一,而业务合规人员,也实际是业务开发或操作过程中最主要的落地人员;通过完备全面的PIA,除了评估风险,更是定义了隐私合规管理中“正确的事儿”,又保证了“正确的人”的参与。当确保了隐私合规管理的设计,就确保了后续隐私合规管理闭环的基线。所以,从这个角度来看,PIA不仅仅是为了评估风险,更是为了隐私合规管理的设计!它是组织推行隐私合规管理的核心控制点。源于主要目的或考核侧重不同,基于“屁股决定脑袋”的朴素规律,合规与业务存在一定的天然对立。但隐私合规管理顺利落地,却又强依赖于脆弱的业务人员合规积极性。所以,如何保证业务人员积极充分的参与合规工作是隐私合规管理系统的核心目标。而PIA作为隐私合规管理的核心控制点,成为合规与业务的第一冲突点!在当前的合规管理实践中,大部分人简单的认为PIA就是一个简单的问卷或模板,略微强一些会有针对性的设计相应的管理流程。但实际上,为了保证业务人员的参与,PIA要尽可能提升自动化能力,这里至少包括如下五个方面:流程定制能力、问卷或模板定制能力、知识应用能力,动态系统能力以及自动化处理能力。其中,知识应用能力主要为PIA问卷提供各种隐私法规指导及相应的法律解读;风险库能够辅助识别风险和制定控制计划。动态协调能力,联动数据发现、数据映射等,协同支撑评估,提升评估准确度与成熟度。多种自动化组件将提高评估效率和简化评估流程,譬如问题的跳转、问题的自动作答、数据的自动分级分类等。所以,从这个角度来看,设计一份PIA问卷或模板简单,但设计一个用户体验良好、高效自动的PIA评估系统很难。基于隐私合规管理系统化落地的角度,PIA的作用不仅仅是一个风险评估,更是组织隐私保护的核心控制点。它识别隐私合规风险,更定义了后续合规开发和管理的基线。它既定义了隐私合规管理中“正确的事儿”,又保证了“正确的人”的参与。PIA的重要不可也不能低估!希望大家慎重对待PIA工作,不要把PIA设计成一份简单的问卷或模块,而是尽量让PIA高效、自动,去保护业务人员脆弱的合规积极性,保障组织隐私合规管理工作的开展。