为了回顾此前的项目实践,也同时为有志于从事企业数据保护官PPO提供经验,笔者整理、总结了一些企业隐私保护实践。鉴于本人接触的知识域广度和深度有限,如有疏漏,欢迎交流和讨论。
近年,国际国内关于隐私保护的声音密集出没,各国也加紧加快了相关立法进程。企业在生产经营过程中绕不开数据的采集、传输、存储等处理活动,其中的个人信息必须得到妥善的防护。
对于企业隐私合规而言,比较典型的工具包括隐私影响评估Privacy Impact Assessment、个人信息保护声明、数据处理协议、数据安全能力保护措施等。
方法论是其中的理论支撑,无论是在实践之前还是实践之后仔细查阅,都必然带来一些思考与收获。
本文将从方法论角度简要介绍PIA,作为PIA系列文 的前序(后面还将继续更新PIA企业实践、车联网ICV行业PIA等)。
个人信息安全影响评估:针对个人信息处理活动,检验其合法合规程度,判断其对个人信息主体合法权益造成损害的各种风险,以及评估用于保护个人信息主体的各项措施有效性的过程。(引自《个人信息安全规范》)
备注:对于隐私影响评估,有不同的全称,比如privacy impact assessment、data protection impact assessment、personal information security impact assessment。虽然不同称呼的评估范围稍有出入,但从实践角度而言,PIA和DPIA可以视为同一事物。以下全文统一使用PIA指代。
在2021年前,我国只是在《个人信息安全规范》中要求个人信息控制者开展PIA,作为一项推荐性国家标准,其并不像国外的GDPR一样,对PIA执行具备强制义务属性。
但2021年8月,中国《个人信息保护法》正式发布,明文定义须执行PIA。
“第五十五条 有下列情形之一的,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录:
(三)委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;
(五)其他对个人权益有重大影响的个人信息处理活动。”
国内个保法和欧盟的GDPR均直接规定了PIA必须具备的要素,比如处理目的、遵循合法&正当&必要原则、用户权利响应、数据安全措施等。
“第五十六条 个人信息保护影响评估应当包括下列内容:
(一)个人信息的处理目的、处理方式等是否合法、正当、必要;
(三)所采取的保护措施是否合法、有效并与风险程度相适应。
个人信息保护影响评估报告和处理情况记录应当至少保存三年。”
·A systematic description of the envisaged processing operations and the purposes of the processing, including, where applicable, the legitimate interest pursued by the controller对设想的处理操作和处理目的的系统描述,包括(如适用)控制者追求的合法利益
·An assessment of the necessity and proportionality of the processing operations in relation to the purposes评估与目的相关的处理操作的必要性和相称性
·An assessment of the risks to the rights and freedoms of data subjects对数据主体权利和自由的风险评估
·The measures envisaged to address the risks, including safeguards, security measures and mechanisms to ensure the protection of personal data and to demonstrate compliance with the GDPR, taking into account the rights and legitimate interests of data subjects and other persons concerned为应对风险而设想的措施,包括保障措施、安全措施和机制,以确保保护个人数据并证明符合 GDPR,同时考虑到数据主体和其他相关人员的权利和合法利益
1.《ISO/IEC29134:2017隐私影响评估准则》国际标准化组织2017年发布的指导企业实施PIA,主要包括
另外我国2020年发布的PIA GB也参考了其许多。
2.《WP248rev.01》EDPB WP29工作组 2017年出台的针对DPIA的的指南。帮助识别必须应用DPIA的高风险场景(即触发PIA的处理活动)
Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679, WP248 rev.01
3.《DPIA template》UK官方为GDPR实施制定的PIA模板,我们可以从Step目录感知到推荐的PIA步骤。
Step 1: Identify the need for a DPIA
Step 2: Describe the processing
Step 3: Consultation process
Step 4: Assess necessity and proportionality
Step 5: Identify and assess risks
Step 6: Identify measures to reduce risk
Step 7: Sign off and record outcomes
https://gdpr.eu/wp-content/uploads/2019/03/dpia-template-v1.pdf
GB/T39335-2020《信息安全技术 个人信息安全影响评估指南》
趁着《GB/T 35273-2020 个人信息安全规范》在2017版基础上的重新发布,同年,将此前一直为草稿的PIA指南终于指定GB编号正式发布并实施。
从目录来看,本指南的主体部分为第四章评估原理和评估实施流程,并通过详细的附录给企业评估提供工具模板参考。
参考传统信息安全风险评估模型,从识别资产、威胁和脆弱性开始,逐步推断出风险值。传统安全风险评估模型和PIA评估模型分别见图一和图二。
指南的第五章评估实施流程部分,除了5.3数据映射分析、5.5个人权益影响分析,剩余部分是典型的风险评估步骤。
有一个有趣的观点,实际上隐私合规主要由数据保护和数据安全两部分组成。
数据保护涉及收集和处理个人数据的法律要求。该领域侧重于信息自主性,因此关注企业是否以及出于何种目的可以获取和处理个人数据的问题。
数据安全解决了如何以及使用哪些措施来确保数据保护的问题, 这就是技术和组织措施TOM(Technical and organisational measures)的用武之地。
所以,笔者认为,指南给出的评估步骤,基于信息安全领域成熟的风险评估流程,添加数据流梳理和个人权益分析等,十分明智。(虽然在企业实践中仍需要进行精简和个性化定制)
《指南》提供了丰富的评估工具,对于新尝试PIA的企业,可复制、整理附录的模板,尝试就某业务线、某APP、某功能进行从数据映射分析开始,进行一次完整的PIA评估活动。
本文大致介绍了国际和国内对于PIA实施细则的指南,但各家企业负责PIA评估的岗位不一样(可能是安全人员、合规人员、企业法务人员等),具体评估步骤不一样(必定不一样,除非是从同一母公司继承的流程),实现形式不一样(可能是excel、word、应用、wiki等)。
这也是企业基于各自行业和业务场景进行PIA实施的有趣之处。笔者将在第二篇企业PIA实践挑选几类具体实践模板/大纲进行分享,且听下回分解。
说明:本公众号为青骥信息安全小组所有,不隶属于任何商业机构,部分信息为网络收集,版权归原作者所有,文中观点仅供分享交流,不代表本公众号立场。如涉及版权等问题,请您联系[email protected]告知,以便及时处理,谢谢!
原文始发于微信公众号(汽车信息安全):青骥原创 l PIA通用方法论
