一、什么是“个人信息保护影响评估”
“个人信息保护影响评估”或“隐私影响评估”等相关概念最早起源于加拿大、澳大利亚等数据保护相关条例较为发达的国家,在广泛推行和应用之后成为一项对个人信息必要的保护准则。
我国在2017年发布的《信息安全技术 个人信息安全规范》(GB/T 35273-2017)中首次提出应当开展“个人信息安全影响评估”(personal information security impact assessment,以下简称PIA)并作出定义:“针对个人信息处理活动,检验其合法合规程度,判断其对个人信息主体合法权益造成损害的各种风险,以及评估用于保护个人信息主体的各项措施有效性的过程。”在2020年出台的《信息安全技术 个人信息安全规范》(GB/T 35273-2020)《信息安全技术 个人信息安全影响评估指南》(GB/T 39335-2020)第3.4条保留了对PIA的基本定义。
什么时候做“个人信息保护影响评估”
图片
“个人信息保护影响评估”并非一种一劳永逸的评估,而是伴随着主体对个人信息处理活动的变化而需要不断更新的,即在特定情境发生时,就会触发评估的义务。
在以上情况发生的时候,企业就应当进行新一轮的个人信息保护影响评估,形成新的评估报告或更新已有的评估报告,并以此判定在新的节点或特定情境发生时,是否存在对个人信息主体合法权益造成损害的各种风险、用于保护个人信息主体的各项措施是否有效。
怎么做“个人信息保护影响评估”
图片
“个人信息保护影响评估”可以分为三个阶段、十一个步骤,具体详见下图:
第一步 组建评估团队
评估团队是对本次评估进行负责和操作的主体。在实施评估前,首先应当组织确认并任命负责进行个人信息保护影响评估的人员(评估人、责任人〉。此外,组织还要指定人员负责签署评估报告。评估人明确规定个人信息保护影响评估报告的提交对象、个人信息保护影响评估的时间段。
如有必要评估人需申请团队支持,例如由技术部门、相关业务部门及法律部门的代表构成的团队或是聘请专业第三方团队进行技术支撑。
第二步 制定评估计划
计划需清楚规定完成个人信息保护影响评估报告所进行的工作、评估任务分工、评估计划表。此外,计划还需考虑到待评估场景中止或撤销的情况。具体操作时应当考虑到人员、技能、经验及能力;执行各项任务所需时间;进行评估每一步骤所需资源,如自动化的评估工具等 。
在制定评估计划时,我们主要考虑采取以下的方法:
a) 访谈:指评估人员对相关人员进行谈话,以对信息系统中个人信息的处理、保护措施设计和实施情况进行了解、分析和取证的过程。访谈的对象包括产品经理、研发工程师、个人信息保护负责人、法务负责人员、系统架构师、安全管理员、运维人员、人力资源人员和系统用户等。
b) 检查:指评估人员通过对管理制度、安全策略和机制、合同协议、安全配置和设计文档、运行记录等进行观察、查验、分析,以便理解、分析或取得证据的过程检查的对象为规范、机制和活动,如个人信息保护策略规划和程序、 系统的设计文档和接口规范、应急规划演练结果、事件响应活动、技术手册和用户/管理员指南、信息系统的硬件/软件中信息技术机制的运行等。
c) 测试:指评估人员通过人工或自动化安全测试工具进行技术测试,获得相关信息,并进行分析以便获取证据的过程。测试的对象为安全控制机制,如访问控制、身份识别和验证,安全审计机制、传输链路和保存加密机制、对重要事件进行持续监控、测试事件响应能力、以及应急规划演练能力等。
第三步 确定评估对象和范围
主要包括系统基本信息、系统设计、处理流程和程序三个部分: