根据《PIA意见稿》(征求意见稿)-- 浅议企业对PIA落地执行之方法论
前言
6月11日,全国信息安全标准化技术委员会在其官网上发布了十几个新标准(征求意见稿),其中国家标准《信息安全技术个人信息安全影响评估意见稿》(征求意见稿)(以下简称“《意见稿》”)是笔者非常关心且期待的,因为它是我国《个人信息安全规范》(标准GB/T35273)和欧盟的《一般数据保护条例》中提出的合规方法之一,即数据在特定网络运行环境和面临新的风险时需要进行隐私影响评估和/或数据保护影响评估(分别简称“PIA/DPIA”)。
按笔者经验,虽然该标准目前尚处于征求意见阶段,但最终的总体逻辑与框架应该不会发生太大改变。对企业而言,若想在标准正式生效后尽快执行合规,需要现在就开始积极思考如何能够将标准中的有效信息转化成实际可以落地的方案与措施。
本专题中,笔者将结合自己项目管理的实践经验,从PIA的含义、作用、优点、适用对象、执行主体以及实施流程几大方面,将自己对《意见稿》的解读与落地方案与广大同仁交流探讨,以期为企业合规经营提供参考。
一、隐私影响评估(PIA)是什么?(链接:《意见稿》第4.1、4.6条)
简单说,隐私影响评估(PIA)是一种工具,是个人信息控制者实施风险管理的重要组成部分。可帮助企业确定遵守数据保护义务并满足个人对隐私期望的最有效方式。
有效的PIA将使企业能够在收集和处理个人信息前(早期阶段)进行,发现并解决问题,从而降低可能发生的相关成本和声誉损害。PIA是隐私设计(Privacyby design)方法不可分割的组成部分。
隐私影响评估是帮助企业识别和降低项目隐私风险的过程。一个有效的PIA将使企业能够系统而彻底地分析特定项目或系统将如何影响相关个人的隐私,从而明确个人信息保护的边界,并根据法律、标准与业务环境对这个边界不断进行调整与修正。
PIA是一个协助企业识别和最大限度减少隐私风险的过程,其涉及与企业内部人员、合作伙伴和受影响人员合作,确定并降低隐私风险,确保在早期阶段通过更简单、成本更低的方式发现潜在问题并解决这些问题。并且,通过制定更好的政策和流程以及改善企业和个人之间的关系来使企业和个人受益。
二、做PIA能带来什么益处?(链接:《意见稿》第4.2、4.3条)
虽然网安法中,只是提到关键信息基础设施的运营者对网络的安全性和可能存在的风险进行评估,但是《人个信息安全规范》(GB/T35273)明确提出了企业在特定场景下进行PIA的要求。监管部门也可能向企业询问是否执行了PIA。它通常是向个人信息主体、监管机构与舆情机构证明个人数据处理符合法律的最有效方法。
对于PIA所带来的好处,其实在本文第一点中已经有所涉及,这里将系统性进行阐述。PIA的好处可以说对个人信息主体与对个人信息控制者是共益的。首先,对个人信息主体来说,第一个好处是,他们可以放心,使用他们信息的企业遵循了最佳实践。一个受PIA约束的项目应该不那么会侵犯隐私(如《意见稿》第4.2条中所提出的可达到七点目的),因此不太可能以负面的方式影响个人。其对个人信息主体的第二个好处是,PIA更像是赋予了个人信息主体对企业的一种信任度,通过提高透明度,并使个人信息主体更容易理解他们的信息如何以及为什么被使用。
其次,进行有效PIA,对个人信息控制者也能受益。第一,评估的过程将有利于改善企业如何使用影响个人隐私的信息,反过来又会降低企业不履行法律义务和违反法律的可能性。第二,开展和宣传PIA将有助于企业与使用其服务的用户建立信任。在PIA过程中和之后采取的行动可以改善个人信息控制者对其客户的理解。如在初始阶段在职能与非职能要求中加入个人信息保护要求-可实现、可追踪,进而为产品或者服务设计与交付提供决策依据;在产品或服务交付后,在产品功能、互联网安全环境和法律法规变更时,对PIA的结果进行审核和修订。第三,提前发现问题通常解决起来更简单,成本更低(包括时间管理成本和金钱成本)。在可能的情况下,PIA可以通过尽量减少收集或使用的个人信息主体的数据量和为工作人员设计更直接的流程等措施,降低项目的持续成本,为企业而带来经济利益。第四,使用PIA需要对企业内部员工进行教育,增强他们对隐私和数据保护问题的意识,并确保参与项目的所有相关人员在项目的早期阶段就会考虑隐私。最后,企业还可在监管机构进行调查或者约谈时,为企业已经进行尽职调查提供相关证据,同时也可以向合作伙伴或者服务商证明自己已经履行了必要的合同义务。
三、哪些项目需要进行PIA?(《意见稿》第6条)
PIA的核心原则可应用于任何涉及使用个人数据的项目,或适用于可能影响个人隐私的任何其他活动。
《意见稿》第6条对评估实施的类型做了具体化分析,包括
(1)整体性与局部性合规差距评估(主要区别在于处理活动的范围是集合性的还是部分子活动),旨在将个人信息控制者当前处理个人信息的现状与相关法律、法规、政策及标准进行比较和分析后得出差距;
(2)典型个人信息处理活动的评估,通常我们比较熟悉的需要做PIA的场景包括:
a)新项目或者新业务的开拓或者产生;
b)对现有系统进行更改时,PIA可用于审查现有系统,以及对系统进行必要更改的机会;
c)个人信息出境前,需要进行安全评估,这不但在《网安法》中予以提出,而且在《个人信息安全规范》中也有相应的规定。这部分内容会由《信息安全技术数据出境安全评估意见稿》详细说明;
d)个人信息处理目的变更前的影响评估;
e)匿名化和去标识化后的效果评估;
f)委托处理、转让、共享或公开批露个人信息前进行影响评估;
g)个人信息安全事件的影响评估;
h)可能产生高风险的个人信息处理活动,如对个人信息主体进行直接画像和自动化决策的行为,对个人进行系统性监控并给出分析结论,收集敏感信息数量较多且持续时间较长的行为,以及对特殊类型人群进行个人信息收集和使用某些创新技术或者解决方案进行数据收集的,如生物特征识别、IoT和AI技术等进行评估。
这与WP29“Guidelines on Data Protection Impact Assessment”
(WP248 rev.01)中所列举的可能导致高风险的九类标准是高度近似的[1]。此外,WP29还用一个表格的形式列举了相关实例和匹配的相关标准,比如说,医院处理患者遗传和疾病的健康数据(医院信息系统)、使用摄像头系统监控高速公路上车牌的数据,公司系统监控员工活动和工作的数据、公共社交媒体收集并存档的数据都认为需要进行DPIA。在不清楚是否需要DPIA的情况下,WP29建议执行DPIA,是由于DPIA是帮助控制者遵守数据保护法的有用工具。
PIA也应该适用于特定项目,并且应该在可能对项目产生影响的时候均应适用。这意味着PIA在应用于新项目或修改现有项目或收集、处理敏感信息时更有可能被使用。正如《意见稿》第4.2条中所述,PIA通常被视为一种预警机制,可帮助企业在项目实际处理之前评估风险、实施预防措施和专项保护措施。如果安全影响非常严重并且无法预防或保护的,整个项目都可能被撤销。故,企业应在早期阶段便要发挥PIA的需求能力,并应考虑将其尽早纳入项目管理或其他业务流程。
四、由谁来做PIA? (《意见稿》第4.4、5.2条)
每个企业都可以决定谁最适合协调和执行PIA流程。如《意见稿》所述,通常应由企业内部的安全职能部门或者由客户企业或非政府企业对流程、信息系统或程序进行PIA。大型企业更有可能拥有专门的数据保护员。DPO便很适合在PIA中发挥重要作用,并且可以设计一套反映企业现有流程的PIA工具和在企业中进行所有PIA的日志。但是,当前并非所有企业都有自己的DPO,或者DPO可能很难执行所有PIA。《意见稿》还推荐了由研发可能对隐私造成影响的新技术、服务或其他提案的项目经理来承担。如第5条所介绍的,PIA有其一般方法和流程,因此也可以适用于非专家。即使这些项目经理事先没有专业数据保护知识,但通过预设的方法和流程,并且可以通过咨询内部和/或外部相关人员提供帮助,使他们能够识别不同的隐私风险和解决方案。当然,有经济能力的企业还可以将PIA项目外包给独立的第三方,请外部专家进行有效评估。
《意见稿》第5.2.1条更是详细地介绍了如何组建评估团队,还要求评估人需要定义风险准则并且该风险准则需要确保管理层的认可。《意见稿》还规定了评估人的职责和需要回答管理层如何设立规则的维度,清楚如何接受公众的咨询,将PIA报告提交给谁和申请PIA项目预算与团队配置的必要资源。
评估人的职责包括制定评估计划、确定评估对象和范围,并且经常需要和相关方进行咨询。咨询是PIA的重要组成部分,但无需将其视为单独的一步。咨询会在PIA流程的各个阶段进行。咨询没有固定的流程,它取决于各种因素,特别是企业规模和项目规模。一般分为内部咨询与外部咨询。
(1)内部咨询指与企业内部同事进行有效的咨询,可包括非正式讨论和电子邮件,更正式的项目管理会议以及董事会层面的批准。大多数内部利益相关者已经对项目有一定程度的参与,但PIA的目标则是将注意力集中在隐私问题上。比如向项目经理咨询项目总体实施情况,向产品研发人员咨询如何在产品落地时处理可行的隐私解决方案,向IT人员咨询安全性问题和软件的可用性,向PR寻求帮助,以便了解如何向公众明确表达一个项目的信息和传递PIA执行情况,向BI咨询新项目收集的信息可用于分析客户行为或其他统计目时,如何用更有效的安全措施如匿名化来预防风险。
(2)外部咨询为企业提供了从更广泛的视角和企业内部可能不存在的专业知识受益的机会。外部咨询还意味着征求受项目影响的人们(有可能是公众,也可能指企业内员工(例如将受新的HR系统影响的员工))的意见,使企业能够理解这些人的关注点,同时也让被咨询人意识到企业是如何使用他们的信息,提高透明度。外部咨询还包括向公共部门进行正式咨询。根据不同的情况,企业可以制定咨询计划、受咨询的相关方清单等。
五、PIA的评估流程应该怎么做?(《意见稿》第4.7、5.1、5.3-5.9条)
《意见稿》第4.7条总括了整个PIA流程的基本实施步骤,同时4.8条则进一步阐明了在评估流程中将运用的基本评估方法(访谈-检查-测试)。前述已提到,PIA应与项目和风险管理相结合,当一个项目明确表示项目会对隐私产生一些影响时,企业应该在项目初期便开始考虑他们将如何处理这个问题,如何实施PIA,并尽早启动PIA。PIA应该与项目开发过程同时进行,在整个生命周期项目中更新PIA,确保始终考虑数据保护和隐私,鼓励创建促进合规的解决方案。随着开发过程的进展,重复评估的各个步骤也可能是必要的,许多企业将从制定自己的PIA过程和相关指导中受益。正如WP29所说,实施DPIA是一个持续的过程,而不是一次性的练习。[2]
第一步:必要性分析-确定是否需要PIA(《意见稿》第5.1条)
第一步是确定是否需要PIA。如《意见稿》所述,企业应在新产品或者服务的开发、启动、发布等环节分析针对其开展的新的PIA工作的必要性。
一个良好实施的PIA过程是作为项目过程一部分开展的,其规模与范围应与项目相匹配。通过回复隐私问题与现有会议、咨询和其他流程,将PIA整合到项目中。一般情况下,PIA可以由企业内的专家(如DPO或者合规经理)来主导。如第四点中提及的,有时候PIA可能会由项目经理或其他不擅长数据保护或隐私问题的非专家工作人员进行操作,那么就需要在一开始就建立一些供其评估风险的问题,旨在帮助企业决定是否需要PIA。这些问题(如下表举例),如其答案为“Yes”,那么表明PIA是需要有效开展的。每个企业可以根据实际业务或者项目类型,设计符合自身实践的问题清单。
问题举例 | Yes | No |
该项目是否会收集关于个人的新信息? | ||
该项目是否会迫使个人提供有关他们自己的信息? | ||
将有关个人的信息披露给企业或以前没有常规获取信息的人员吗? | ||
您是否正在使用有关个人的信息,目的不在于当前使用的信息,还是以目前未使用的方式使用信息? | ||
该项目是否涉及使用可能被视为侵犯隐私的新技术?例如,使用生物识别或面部识别。 | ||
该项目是否会导致您以可能对个人产生重大影响的方式对其作出决定或采取行动? | ||
关于某类个人的信息是否可能引起隐私问题或期望?例如,健康记录,犯罪记录或人们认为特别私密的其他信息。 | ||
该项目是否会要求您以可能侵犯他人的方式联系个人? |
PIA过程的后期阶段,要求企业考虑隐私的影响是否与实现的结果成比例。因此WP29提出了Assessment ofthe necessity and proportionality的概念。并非所有项目都需要相同程度的PIA,详细程度可由企业决定,并取决于各种因素,包括项目团队可用的时间和资源,个人主体可能会受到的侵扰性程度等。
在回答问题后,企业有可能会决定该项目不需要PIA,因为项目对隐私产生的影响非常之小。这种情况下,保留答案的记录仍然有用,以便将来如有必要可以展示已经做过PIA的合规性评估。
第二步:数据映射分析-描述具体信息流(《意见稿》第5.3条)
《意见稿》指出,企业应针对个人信息控制者的个人信息处理过程进行全面的调研,这里便需要综合运用《意见稿》第4.8条中的三种评估方法,最后通过数据清单和数据映射图表(格式如资料性附录B-1/B-2)描述项目的信息流,即解释什么样的信息被使用,它被用于什么,从谁获得并向谁披露,谁将有权访问,哪些属于敏感信息以及其他必要的信息。作为PIA过程的一部分,企业应该描述如何收集,存储,使用和删除和共享信息(格式如资料性附录B-3)。这一步是PIA过程的关键部分。只有企业充分了解如何在项目中使用信息,才能对隐私风险进行全面评估,否则将产生重大风险,例如数据可能被用于不公平的目的,或者被不恰当地披露。
如果一些企业此前已经在项目开始之初进行制定了项目建议书或类似文件,里面内含信息审计、产品开发信息图和用户数据流等内容的,或者对企业的信息资产已经登记入册,笔者认为PIA的这一部分工作可以与任何已经完成的记录(流程图,信息资产登记册,项目设计摘要)相结合,将其作为最终PIA报告的重要组成部分。
第三步:识别隐私和相关风险(《意见稿》第5.4-5.6条)
如上所述,实施PIA,是进行一种风险管理。在这个阶段,企业应评估与该项目相关的可能的隐私问题。项目可以通过多种方式影响隐私或可能引发隐私风险。有些会对个人造成风险,例如数据不准确或安全漏洞所造成的损害,或者由于不必要的侵犯隐私而造成个人的不适。个人隐私风险通常会给企业带来经济损失与合规风险,例如一个被公众视为有侵入性或不安全的项目会给企业也带来罚款、名誉损失、业务损失和项目失败的风险,乃至财务成本或数据泄露等。具体来说,《意见稿》第5.4条指出,准确评估个人权益是否受影响,一般可从四个维度来衡量:
个人是否失去了自主决定权? 如被强迫执行了不愿意执行的操作;新的监视方法可能是对个人的隐私造成了不合理侵扰;信息被使用或披露的背景可能会随着时间的推移而变化,导致个人信息主体在不知情的情况下其个人信息被用于不同的目的;缺乏相关知识或者缺少相关渠道更正个人信息;个人人身自由受限;可能引发人身伤害等。
是否会引发歧视性待遇?弱势群体可能会特别关注识别或披露其信息的风险。还如对用户的病史、婚史、性取向或特定习惯等进行跟踪或者泄露,导致个人受到差别性甚至歧视性待遇,或者因此而受到不必要的困扰,这种伤害可能是身理上的不舒适或者精神上的不愉悦。
是否会对个人名誉受到伤害或者使个人遭受某种精神压力?比如企业使用未经用户同意的生物识别信息或使用潜在的侵入性跟踪技术使个人信息主体产生了某种精神上的压力,亦比如说公开了个人不愿为人知晓的过往经历而使其名誉受到了极大损害。
是否会对个人财产造成损害?例如一家征信机构不必要地收集和存储个人信息,或未正确管理个人信息而使数据库遭到泄露,对个人主体的财产造了不必要的损失。另外还有企业因技术措施或者运营管理手段不有效而导致用户账户被盗,用户受诈骗等财产性损害结果。
《意见稿》私和相关风险的识别方法用资料性附录的方式给予了参考,在上述四类影响维度的基础上又具体对每类维度细化了影响测量程度—严重、高、中和低四档。这四档程度还给予了判断的原则与具体描述。当然,企业还应该制定自己的更适合的方法来识别隐私风险和相关影响,并应将其与现有的风险或项目管理方法结合起来。正如《意见稿》第5.6条所述,决定个人信息事件发生的可能性很多,假如企业的网络环境和技术措施是否管理到位?个人信息的全生命周期的管理流程是否规范?参与项目的第三方人员其资质、职责、控制能力是否合格?企业近期是否收到过安全预警或者网络受攻击等安全事件?但无论如何,通过发生的严重程度和可能性结合进行风险识别,应该是正确的逻辑思路。笔者认为,企业也可以使用自己的数字标度来记录风险的程度,比如使用第一级、第二级、第三级等。《意见稿》的附表也只是给予企业提供一些思路上的帮助与参考,更多地则是鼓励企业根据实际情况用开放的灵活的做法来达到一致目的。
第四步:制定隐私风险解决方案(《意见稿》第5.8条)
《意见稿》第5.8条解释了如何解决每个不同等级的风险。我们知道有些风险可能完全消失,有些风险可能会降低,但大多数风险如果不采取处理措施/解决方案将会对隐私产生一定影响。因此《意见稿》建议对严重的风险应当立即处置,对高风险应限期内处置,中风险在权衡影响和成本后处置,而低风险可选择接受(PIA的目的不是要完全消除对隐私的影响,PIA的目的是将影响降低到可接受的水平,同时仍然允许实施有用的项目)。企业应该确保记录隐私风险及采取措施消除风险的过程,比如企业内部设置风险登记册,对风险处置的落实情况持续跟踪,并实时评估剩余风险,并确定谁负责批准和实施解决方案。
消除、减少隐私风险的解决方案,可能包括以下措施:如决定不收集或存储特定类型的信息;设计保留期限,只保留必要的信息,并计划安全销毁信息;实施适当的技术安全措施;确保员工接受过适当的培训并意识到潜在的隐私风险;对个人信息进行匿名化处理,采取措施确保个人充分了解他们的信息使用情况,并在必要时联系企业寻求帮助;制定数据共享协议,明确哪些信息将被共享,如何共享以及与谁共享等等。这些解决方案只是笔者简单举例,企业应根据自身实际情况与成本/收益相平衡原则制定最佳解决方案。
第五步:制作、签署和发布PIA报告(《意见稿》第5.7条、5.9条)
PIA报告包括的内容在《意见稿》第5.7条中已经清晰列明。一份PIA报告应该包括项目的概述,解释为什么这样做以及它会如何影响隐私,在PIA期间生成的材料以及数据映射分析,例如数据流和隐私风险注册表的描述,总结个人信息影响评估的整个过程以及为降低隐私风险企业所采取的措施。它还应记录为消除、减轻或接受已确定的风险而采取的决策。本文结尾根据意见稿的要求设计了PIA报告模板作为附件。
《意见稿》并未指出PIA一定需要正式的签署过程,但笔者认为这取决于项目的性质。总体来说,签字可以帮助确保高层高度重视并且采取必要的行动的落实方案。如果一个企业正在从事风险较高的大型项目,那么确保PIA获得高层批准将是一个良好的实践。当然,如前所述PIA将被视为大型项目的一部分,那么它也可以作为大项目批准的一部分来签署。对于较小的项目,它可以适合于项目负责人接受隐私风险。
《意见稿》第5.9条中称 “发布PIA报告是促进自证合规、配合监管、增加客户信息的重要方式”,它将提高透明度和问责制,并让个人更多地了解企业拟开展的项目如何影响到用户,增加公众对其信息使用方式的理解。不可否认,内部PIA报告有时可能包含不适合披露的信息,例如有关安全措施或预期产品开发的信息。因此《意见稿》建议企业可以对内部PIA报告进行适当简化,对最敏感的元素进行编辑。一个企业尽可能多地披露报告是最好的做法,但如果企业不希望公布风险登记册的详细信息或数据使用方式的描述,则应考虑制作适合公布的汇总报告或以不同方式传达PIA的结果。
《草案》建议PIA报告通常应不少于以下方面:收集和处理个人信息的必要性和给个人给来的益处、收集和处理的个人信息类型(个人敏感信息需单独强调)、个人信息处理的例外情况(法律法规规定)、合规性分析的概况、评估过程和结果概况、已实施和将要实施的风险处置措施概况、对个人信息主体的建议、实施评估责任部门或人员的联系方式和解答疑问的渠道等。
PIA报告的发布也有其正向作用,比如可以通过让公众阅读PIA报告来告知或者宣传企业拟将实施的项目,让PIA可以成为项目沟通战略的重要组成部分。当然作为负责任的企业,除了提供PIA报告以外,还可以为个人信息主体提供新的隐私通知和隐私政策。
第六步:将PIA结果集成到项目计划中(《意见稿》第5.8条)
PIA所需的大部分工作将在规划和早期实施项目期间进行,并通过采取的措施适当实施并且正在发挥预期效果。但是项目的目标也经常会在项目生命周期内发展或改变,因此企业可能需要重新审视PIA适用问题以确保其仍然适用。即使仍然适用,也有可能随着整体项目的调整而调整。因此,从笔者总结的实施步骤的第一步到第六步,可能是一个循环的过程。WP29注释25强调,“DPIA过程是迭代的:实际上,在完成DPIA之前,每个阶段可能会重复多次。”笔者非常同意这个观点,而且对WP29第16页中给出的这幅图印象深刻。但由于《意见稿》并非与WP29的描述完全一致,因此在具体执行步骤上会略有不同(有些步骤可能二步并一步,但基本思路相似)。
即使项目未发生改变,企业也需要确保根据PIA的而确定的行动得以跟踪落实,并将PIA的结果应反馈到更广泛的项目管理流程中,在项目进行后评审或者扩大时也可以发挥重要参考作用。整个PIA的实施流程的记录和经验总结也将有助于新项目启动进行新的PIA过程的有效借鉴。
作者:孟洁,总法律顾问,出门问问信息科技有限公司
[1] WP29在WP248rev.01中所列举的九类高风险标准为:评估或评分、自动化决策产生法律或类似显著效果、系统性监控、敏感数据或高度个人性质的数据、大规模处理数据、匹配或者组合的数据集、易受攻击的数据主体的数据、创新使用或者应用新技术或者企业解决方案、处理本身阻止数据主体行使权利或者使用服务或合同
[2] WP29-Guidelines on Data Protection Impact Assessment (DPIA) anddetermining whether processing is “likely to result in a high risk” for thepurpose of Regulation 2016/679 (WP248 rev.01), Page 14.