个人信息安全影响评估有助于防范“年度账单”事件
2017年12月29日,国家标准GB/T 35273-2017《信息安全技术 个人信息安全规范》正式发布,为网络运营者在个人信息保护方面应遵守的原则和基本要求做出规定,是《网络安全法》相关条文有效落地的进一步细化。
其中,《个人信息安全规范》提出了个人信息控制者应建立个人信息安全影响评估制度,评估处理活动遵循个人信息安全基本原则的情况,以及个人信息处理活动对个人信息主体合法权益的影响,并针对影响提出有针对性的保护措施。
个人信息安全影响评估的目的
个人信息安全影响评估在国际上被习惯性称为隐私影响评估(Privacy impact assessment,简称PIA),PIA已成为包括欧盟、英国、法国、美国等众多国家和地区的个人信息保护监管机构所共同推行的重要制度。
那什么是个人信息安全影响评估?以下给出两个国际上通行的定义。
欧盟第29条工作组在其对《通用数据保护条例》(GDPR)要求的数据保护影响评估(Data Protection Impact Assessment)的指导意见中明确:A DPIA is a process designed to describe the processing, assess its necessity and proportionality and help manage the risks to the rights and freedoms of natural persons resulting from the processing of personal data by assessing them and determining the measures to address them. 【旨在描述个人信息处理活动、评价其必要性和合比例性、帮助管理信息处理活动对自然人权利和自由带来的风险、并决定消弭风险的措施的一整套流程】
ISO国际标准则在29134中明确,隐私影响评估(PIA)是overall process of identifying, analysing, evaluating, consulting, communicating and planning the treatment of potential privacy impacts with regard to the processing of personally identifiable information, framed within an organization’s broader risk management framework.【对在个人信息处理活动中产生的对隐私的潜在影响的一整套识别、分析、评价、咨商、沟通、规划的流程,这个流程纳入组织整体的风险管理框架其中。】
在国家标准《个人信息安全规范》中,个人信息安全影响评估是这么被定义的:“针对个人信息处理活动,检验其合法合规程度,判断其对个人信息主体合法权益造成损害的各种风险,以及评估用于保护个人信息主体的各项措施有效性的过程。”
其实,用大家可能更加常见的例子来说明就是,好比建造大楼之前要做交通影响评估、建造大坝前需要做环境影响评估一样,组织在开展特定的个人信息处理活动之前,也需要掌握对个人信息主体合法权益可能带来的影响,并以此指导后续保护措施的采用。其实,这个评估也是落实“通过设计实现隐私保护”(privacy by design)的一个必要步骤。
开展个人信息安全影响评估的主要要求
总的来说,在《个人信息安全规范》构建起的体系中,个人信息安全影响评估是组织实施个人信息安全风险管理的重要组成部分,旨在发现、处置和持续监控个人信息处理过程中的对个人合法权益造成的风险。
一般情况下,组织必须在收集和处理个人信息前开展首次个人信息安全影响评估,明确个人信息保护边界,根据评估结果选择和实施适当的安全控制措施,确保收集和处理个人信息的过程不会对个人信息主体权益造成高风险影响;
另外,组织还需按照要求定期开展个人信息安全影响评估,根据业务现状、威胁环境、法律法规、标准要求等情况持续修正个人信息保护边界,调整安全控制措施,使个人信息处理过程处于风险可控的状态。
在组织实践中,并非所有的个人信息处理活动均需一一评估,比如组织应在新的产品或服务的开发、启动、发布等环节重点关注是否有必要开展评估,以提前预防违反现行法律法规要求、侵害个人权益的情形。
同时,在出现以下情形时也应考虑开展新的评估或更新评估程序,比如出现新的或可预期的技术会引起个人信息处理过程变化、决定处理个人敏感信息、个人信息保护相关的法律、法规、政策和标准等对个人信息处理的要求发生变化、业务模式或运行环境发生重大变化、发生重大个人信息安全事件、发生收购、兼并、重组等情形。
目前,与《个人信息安全规范》相配套的国家标准《个人信息安全影响评估指南》正在制定过程中。
个人信息安全影响评估的实际应用
接下来本文将对“支付宝2017年度账单”事件做一个法律上、标准上的分析,以此凸显正在制定中的国家标准《个人信息安全影响评估指南》对保护个人信息能起到的重要作用。
事情分析
支付宝和芝麻信用分属两家公司。因此在支付宝年度账单上展示信用信息,其个人信息的流向(data flow)是从芝麻信用--->支付宝。等于是说,芝麻信用要和支付宝共享个人信息。本质上就是这么一件事。
法律和标准要求
我们知道,在新浪微博诉“脉脉”不正当竞争案中,北京知识产权法院确立了平台之间通过API共享信息需要遵循“用户授权”+“平台授权”+“用户授权”三重授权的原则【以新浪微博诉脉脉案为例看反法第二条的适用】
终审判决书是这么描述三重授权原则的:“数据提供方向第三方开放数据的前提是数据提供方取得用户同意,同时,第三方平台在使用用户信息时还应当明确告知用户其使用的目的、方式和范围,再次取得用户的同意。”平台授权则是指第三方通过API从数据提供方获取数据,也需要数据提供方的授权同意。
实践中,数据提供方如涉及对外共享个人信息,按照《网络安全法》的要求,其隐私条款中往往会表述为“向某类型第三方+某些特定目的+共享某些类型个人信息”。因此三重授权原则就转换为:
第一重用户授权:数据提供方就“向某类型第三方+某些特定目的+共享某些类型个人信息”这件事取得用户的授权同意。
平台授权:第三方从数据提供方获取数据,需要数据提供方的授权同意。
第二重用户授权:第三方仅在第一重用户授权的范围内收集、使用个人信息。任何超范围的信息处理行为,需要重新征得用户的授权同意。
对此,国家标准《个人信息安全规范》对此表述为8.2 + 5.3 (b)项:
第一层数据流分析:数据从支付宝流向芝麻信用
这是最初遭到质疑的页面设置(支付宝对此已经迅速整改并道歉)。注意到“我同意《芝麻服务协议》”是默认勾选的。因此,当用户做出“上滑开启年账单”时,且同意了《芝麻服务协议》,会产生如下法律效果:
由于有支付宝账号就意味着要实现同意支付宝的隐私权政策,让我们看《支付宝隐私权政策》的第五点“ 我们如何共享、转让和公开披露个人信息”中,支付宝声明:“6、如您授权第三方向我们查询、采集您在支付宝的信息,则我们会在法律法规允许范围内及您对第三方的授权范围内向第三方共享您的信息。”因此,这意味着支付宝获得了向芝麻信用传输数据的第一重用户授权。
“我同意《芝麻服务协议》”:意味着芝麻信用获取了用户的授权同意,可以向合法存有用户信息的第三方收集用户的数据了。【见《芝麻服务协议》中“您授权我们可以从合法保存有您信息的第三方,采集及处理您的各类信息,同时为避免每次采集都需要经过您的反复确认而导致过程繁杂,或者因此给您带来的不便,您同意第三方可直接向我们提供您的信息而不需要您再次授权”。】因此,这意味着芝麻信用获得了从支付宝获得数据所需的第二重用户授权。
支付宝和芝麻信用同属于蚂蚁金服旗下,一定有合作关系,所以平台之间的授权肯定是没问题的。
所以从三重授权原则角度来看,用户同意《支付宝隐私权政策》和《芝麻服务协议》,实际上就允许了支付宝向芝麻信用提供其在支付宝上的有关信息。等于说,数据可以从支付宝流向芝麻了。当然,数据是否实际上从支付宝流向芝麻,这一点我们不得而知。
第二层数据流分析:数据从芝麻信用流向支付宝
以上是数据从支付宝流向芝麻信用。由于在年度账单中展示信用信息,还需要数据从芝麻信用流向支付宝。对此分析如下:
《芝麻服务协议》中写道:“您理解并同意,就征信服务而言,当第三方向我们查询您的相关信息时,该第三方应当获得您的事先书面同意并在约定范围使用。但是法律规定可以不经您授权即可查询的除外。因此,当您在相应场景下希望我们根据您的授权向第三方提供您的信息时,您应当向第三方做出清楚明确的授权,否则可能导致我们拒绝提供相应服务,或错误提供该等服务,因此可能会给您造成不利影响或损失。” 等于说,芝麻信用获得了向支付宝提供信用信息的第一重授权。
那支付宝如何获得从芝麻信用获得用户信用信息的第二重授权呢?还是那张图,关键是“上滑开启年账单”。等于说,用户上滑的动作,实际上就是上一点所说的《芝麻服务协议》要求的“向第三方做出清楚明确的授权”,换句话说,上滑动作实际上就给予了支付宝向芝麻信用获取数据所需要的第二重授权。
支付宝和芝麻信用同属于蚂蚁金服旗下,一定有合作关系,所以平台之间的授权肯定是没问题的。
所以从三重授权原则角度来看,用户勾选同意《芝麻服务协议》并做出上滑开启动作,实际上就允许了芝麻信用向支付宝提供用户的信用信息。等于说,数据可以从芝麻流向支付宝了。
获取三重授权的合规性分析
虽然说,支付宝和芝麻信用通过上述动作同时获得了双向数据流所需要的三重授权。但是获得用户授权同意的合规性是否得到了保证?是否符合了明示同意的要求?特别是用户一次上滑的动作,实际上是相当于同时做出两次同意,分别是同意了《芝麻服务协议》以及同意了支付宝代表其向芝麻信用调取数据。这样的设计是否合规?
上述双向数据流对个人合法权益的影响分析
(从略)
以上是一次个人信息安全影响评估的最基本的步骤,供大家参考。
事件进展
上图为改版后的界面。注意到支付宝实际上至少做出了两个极大的改进:
全程不再需要用户同意《芝麻使用协议》。这件事极大地让从未开通过芝麻账号的用户无需担心自己在支付宝的数据能够直接流到芝麻。
用户在最开始上滑开启年度账单的动作,不再意味着同意支付宝向芝麻信用调取数据。相反,这个授权是以非常明显的语句突出显示在目前这个界面中的,点开之后是明确、简洁的说明,而且提供了撤回授权的路径,应当说是尊重了用户的知情权和选择权。
总结
近期,个人信息相关的安全问题屡屡成为了人们关注的焦点,比如据媒体报道,部分省市在低保、保障房等福利分配相关政务信息公开时涉及在个人信息泄露,多地高校公示信息涉及受助学生个人隐私等。
上述两个案例,均属于个人信息处理方式不当引起的事件,对组织声誉、业务拓展等造成了较大的负面影响,究其原因即是对产品新功能上线前、公开披露个人信息前未进行科学、严谨、有效的评估和审核。从必要性来看,产品新功能上线和公开披露个人信息均属于开展个人信息安全影响评估的常见触发条件。
通过以上案例分析可以看出,合理、正确、适时地实施个人信息安全影响评估是预防个人信息处理活动对个人权益造成危害、推动组织个人信息处理行为持续规范的有效措施,同时也是从组织角度出发,提升个人信息保护能力水平的关键要素。