中国个人信息保护立法 | 善用个人信息保护影响评估 灵活实现创新和个人保护的平衡
编者按:
在万众瞩目下,我国《个人信息保护法》历经多年的酝酿,终于和国人乃至世界见面。对这部我国“数字时代的基本法”进行解读,从不同的角度能看到不一样的精妙之处。此前,本公号发表过的关于此议题相关文章包括:
继上一篇关于GDPR风险路径的分析文章之后,本篇文章关注我国《个人信息保护法》中最直接体现风险路径的制度——个人信息保护影响评估。本篇文章从《个人信息保护法》第五十五和五十六条所规定的“个人信息保护影响评估”入手,剖析该创新性的制度在“保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用”方面的重要作用。
一、“个人信息保护影响评估”是风险路径的直接体现
规范个人信息处理者的信息处理行为,无非是两个主要路径。一是直接设定具体的行为规范。此方面主要体现在《个人信息保护法》第二章“个人信息处理规则”。这一章对个人信息处理的全生命周期的主要环节——“收集、存储、使用、加工、传输、提供、公开、删除”——逐一给出了规定动作。首先,开展个人信息处理之前,个人信息处理者需要根据处理个人信息的目的,确定适当的合法性基础,即第十三条所规定的各种情形。其次,针对个人信息处理者选择个人的同意作为合法性基础时,第十四至十八条共同规定了告知的内容和例外、个人的同意形式、同意的撤回、同意的自愿性质等。再次,第十九条规定了个人信息存储时间最小化的准则。此外,第二十至二十三条规定了共同处理、委托处理、向其他个人信息处理者提供其处理的个人信息,以及“因合并、分立、解散、被宣告破产等原因需要转移个人信息”等不同情形中的行为规范。《个人信息保护法》第二章的第二节还专门对“敏感个人信息”的处理规则做出了规定。以上种种,均是直接对个人信息行为做出了具体规范。
除了直接的行为规范之外,不少国家和地区的个人信息保护相关的法律、法规、标准的规定提出了一种“评估式合规”要求(assessment-based compliance)。这类规定并没有针对特定的个人信息处理活动提出明晰、确定的安全控制措施,而是要求组织针对特定个人信息处理活动,开展具体的风险分析并采取与风险相称的安全控制措施,将对个人信息主体合法权益不利影响的风险降低到可接受的程度,才符合其规定。我国《个人信息保护法》提出的“个人信息保护影响评估”和欧盟《通用数据保护条例》(GDPR)提出的“数据保护影响评估”(data protection impact assessment)即为典型的例子。这样的规范路径并不事先设定,而是要求个人信息处理者完成一个完整的风险评估流程,并根据评估得到的风险自主提出合规措施。
简单来说,针对某一信息处理环节直接设定具体的行为规范,即直接明确“规定动作”;而“评估式合规”要求,则需要个人信息处理者通过风险评估这个“规定动作”得出合适的“自选动作”。因此,后者是基于“风险路径”,其核心目的是在一定场景中,超越“静态底线式”的个人信息保护合规,实现有效、全面地掌握信息处理行为对个人合法权益影响的风险变化,有针对性地提出安全保护措施,最终达到动态优化式的权益保护效果。这样的思路在个人信息处理行为日益复杂化、泛在化、链条化的今天,尤为重要。
二、“个人信息保护影响评估”符合国际先进实践
其实,风险路径对信息安全来说并不陌生,信息或网络安全风险评估已有成熟的实践,其针对的是组织的IT和数据等资产不受来自外界和内部的风险源的破坏。但在个人信息保护的语境下,组织之外的个人是保护重点。因此风险路径完成了“由内及外”的视角转换。为了与过去的风险评估相区别,国际上均采用了影响评估的概念(例如考虑对生态影响的环境影响评估),目的是控制组织的信息处理行为对外(即对个人)的影响。
GDPR在许多方面贯彻了风险路径,特别是其第24条对数据控制者保护义务的总体性规定。第24条的第一款规定:“考虑到数据处理的性质、范围、情境、目的,以及对自然人权利和自由的不同程度和大小的风险,数据控制者应采取合适的技术和组织方面的措施,以保证数据处理符合GDPR的规定。这些措施应经常评估和更新”。第二款更规定上述“措施应与数据处理的风险合乎比例,应包括在内部建立合适的数据保护政策。”显然,该条文的写法也突出风险路径。用大白话说就是,你要干什么事,就要考虑会对外界造成什么风险;为了降低这些风险,需要提出与面临风险相称的保护措施;这些保护措施还必须经常评估和更新,以适应风险态势的变化。
以上是对数据处理风险一般性的规定。对于高风险的数据处理行为,GDPR还专门规定数据控制者应当开展数据保护影响评估。第35条第一款规定:“在考虑数据处理性质、范围、情境、目的后,数据控制者如认为数据处理,特别是采用新技术的处理,可能导致个人权益有较高的风险被侵害的,应在处理前,进行数据保护影响评估”。该条第三款还规定了“在以下场景中,数据保护影响评估被特别要求:a)基于自动化数据处理,包括数字画像,对数据主体个人方面开展系统和广泛的评估,且评估对个人能产生法律效力,或类似重大的影响;b)对特定类别的数据进行大规模处理,或处理与刑事犯罪和刑事起诉相关的个人数据的;c)对公开区域进行大规模、系统性监控的”。开展数据保护影响评估的目的,在于督促数据控制者主动考虑风险,主动提出降低风险的方案。GDPR还在第36条规定,“如前述的数据安全影响评估表明,数据控制者不采取额外措施的话,数据处理将带来较高的风险,则数据控制者应在数据处理开始前,征求监管机构的意见。”
除了欧盟之外,日本、澳大利亚、加拿大、巴西、印度、新加坡、英国等主要国家的个人信息保护法律中,都有“个人信息保护影响评估”的类似规定。即便是尚未在联邦层面制定统一性的个人信息保护法律的美国,也在加州、弗吉尼亚州等州隐私立法方面,确立了类似隐私影响评估的制度。
三、“个人信息保护影响评估”具有科学的实施基础
我国《个人信息保护法》第五十五条规定了应当开展“个人信息保护影响评估”的情形,具体包括:(一)处理敏感个人信息;(二)利用个人信息进行自动化决策;(三)委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;(四)向境外提供个人信息;(五)其他对个人权益有重大影响的个人信息处理活动。第五十六条规定了评估的内容:(一)个人信息的处理目的、处理方式等是否合法、正当、必要;(二)对个人权益的影响及安全风险;(三)所采取的安全保护措施是否合法、有效并与风险程度相适应。并进一步规定了个人信息保护影响评估报告和处理情况记录应当至少保存三年。为了落实上述规定,个人信息处理者显然需要开展“个人信息保护影响评估”的操作指引,特别是开展评估的方法论。
2020年11月发布并于2021年6月1日生效的国家标准《信息安全技术 个人信息安全影响评估指南》(GB/T 39335-2020)恰好为《个人信息保护法》第五十五和五十六条的实施提供了坚实且科学的基础。【《个人信息安全影响评估指南》(GB/T 39335-2020)正式发布】该标准归口于全国信息安全技术标准委员会(TC260),制定时间超过两年,并充分借鉴了美、欧等国家和地区最新的法律规定、制度设计、标准文本和实践做法,例如我国《个人信息保护法(草案)》、ISO/IEC 29134:2017《隐私影响评估指南》、欧盟数据保护委员会(EDPB)的数据保护影响评估指南(WP248)、法国国家信息自由委员会(CNIL)的隐私影响评估指南和工具、美国国家标准技术研究所(NIST)关于隐私影响评估的标准文件等。
就内容而言,《个人信息安全影响评估指南》主要包括评估原理(第四章)、评估实施流程(第五章)、评估性合规的示例及评估要点(附录A)、高风险的个人信息处理活动示例(附录B)、个人信息安全影响评估常用工具表(附录C)等。其核心思路是从网络环境和技术措施、个人信息处理流程、参与人员与第三方、业务特点和规模及安全态势等四个可能存在风险或发生安全事件的维度出发,评估可能对个人权益造成的影响以及风险。具体而言,《个人信息安全影响评估指南》进一步将个人权益影响细分四个方面:一是,限制个人自主决定权,比如被强迫执行不愿执行的操作、无法更正错误上传的个人信息、无法选择推送广告的种类、被蓄意推送影响个人价值观判断的资讯;二是,引发差别性待遇,比如隐私信息(疾病、婚史、种族等)泄露造成的歧视、故意设置个人福利、资格、权利的差别等;三是,个人名誉受损或遭受精神压力,比如公开不愿为人知的事实(生活习惯、以往经历等),被频繁骚扰、监视追踪等;四是,个人财产受损或遭受人身伤害,比如账户被盗、遭受诈骗、被勒索恐吓、限制自由等。
事实上,在标准报批稿阶段,标准编制组还在2019年底选取了电子商务、金融、餐饮外卖、新闻资讯、车联网、SDK、智能家居等多种业态及场景,吸纳了10余家企业开展试点,对标准条款合理性和可操作性等进行验证,进一步保障我国法定的“个人信息保护影响评估”的实施落地。
四、总结
开展个人信息保护工作的根本目的,在于避免个人信息收集、使用等处理行为对个人信息主体的合法权益造成损害。我国《个人信息保护法》将“个人信息保护影响评估”作为一种特定场景下的事前预防机制,帮助个人信息处理者在业务开展之前,通过尽早考虑、分析和处理个人信息保护问题,识别对个人信息主体权益的不利影响,实施有针对性的保护措施。除了对个人的保护之外,“个人信息保护影响评估”能够降低个人信息处理者的管理成本、法律风险以及潜在的声誉或公众信任问题。此外,个人信息保护影响评估也能够帮助个人信息处理者在政府、相关机构或商业伙伴的合规性审计或调查中证明其遵守了个人信息与数据保护法律、法规和标准的要求。在发生个人信息安全风险或违规事件时,个人信息保护影响评估的制度及记录评估过程和结果的报告有利于证明处理者已经采取适当措施试图防止上述情况发生,有助于减轻、甚至免除相关责任和名誉损失。因此,无论是对个人,还是处理者本身,“个人信息保护影响评估”均有重要的意义。善用我国《个人信息保护法》中这个创新性的灵活保护工具,能够有效地实现业务发展和个人保护之间的平衡。(完)
域外数据安全和个人信息保护领域的权威文件,DPO社群的全文翻译:
DPO线下沙龙的实录见:
个人数据与域外国家安全审查系列文章
围绕着TIKTOK和WECHAT的总统令,本公号发表了以下文章:
第29条工作组/EDPB关于GDPR的指导意见的翻译:
关于美国出口管制制度,本公号发表过系列文章:
供应链安全文章:
数据跨境流动政策、法律、实践的系列文章:
传染病疫情防控与个人信息保护系列文章
关于数据与竞争政策的翻译和分析:
数据安全法系列文章:
健康医疗大数据系列文章:
网联汽车数据和自动驾驶的系列文章:
关于中美与国家安全相关的审查机制的系列文章:
美国电信行业涉及外国参与的安全审查(一):基本制度介绍
美国电信行业涉及外国参与的安全审查(二):国际性的第214节授权
美国电信行业涉及外国参与的安全审查(三):建立外国参与安全审查的行政令
美国电信行业涉及外国参与的安全审查(四):FCC对中国企业的陈述理由令
网络空间的国际法适用问题系列文章:
赴美上市网络、数据安全风险系列文章如下:
人脸识别系列文章:
关于欧盟技术主权相关举措的翻译和分析:
数据要素治理的相关文章包括:
人工智能安全和监管的系列文章:
关于保护网络和信息系统安全的相关文章包括:
数据执法跨境调取的相关文章: