《个人信息安全影响评估指南》解读及实践(一)
近日,国家市场监督管理总局、国家标准化管理委员会在2020年第26号公告中正式发布了推荐性国标《个人信息安全影响评估指南》(GB/T39335-2020,以下简称“国标39335”),该标准自2021年6月1日开始实施。在此之前,2020版《个人信息安全规范》首次详细规定了个人信息安全影响评估的适用场景、主要内容及报告形式等。
结合国标39335的主要内容、最新立法趋势及开展个人信息安全影响评估(以下简称“PISIA”)的行业实践及近期项目经验,简要分析如下:
一
企业为什么要开展PISIA
1. 开展PISIA是企业合规遵从的重要内容
越来越多的行业实践证明,开展PISIA是个人信息保护的重要策略之一,有利于事前最大化避免个人信息安全事件发生。因此,PISIA正在成为越来越多的法律、法规及标准文件推崇的个人信息保护策略。
法律层面,《网络安全法》中明确规定了个人信息跨境传输及网络安全事件发生后的安全评估机制,《儿童个人信息网络保护规定》中还明确规定了企业在儿童个人信息转移及委托处理场景的安全评估责任。标准层面,《个人信息安全规范》详细规定了PISIA适用场景,具体包括汇聚融合、自动化决策、委托处理、共享/转让、公开披露等,同时还详细规定了PISIA的负责部门、评估内容及报告形式等。
近期,《个人信息保护法(草案)》除了细化了《网络安全法》的有关要求外,还专门设立了广受关注的54条,列举规定了PISIA的适用场景、评估内容及报告形式要件等。此外,关保条例及等保条例征求意见稿等也有PISIA的相关规定。
2. 开展PISIA是责任事件发生后企业抗辩的重要事由
网络安全事件在所难免,尤其是在数字化浪潮下,企业数据(含个人信息)在整个业务链条上广泛流动,上下游牵连的网络安全事件和法律风险进一步扩大。
一旦企业自身或上下游牵连发生网络安全事件(包括但不限于个人信息泄露事件)的,按照执法部门关注的重点可能不是企业的网络是否绝对安全,而是企业为网络安全采取了哪些事前合规措施,其中一个很重要的措施就是PISIA 。尤其是在“一案双查”机制下,被上下游安全事件牵连的企业,是否开展数据流动前的PISIA,是其责任抗辩(是否承担责任,责任大小,以及单位责任还是个人责任)的一个重要事由。
3. 开展PISIA是树立企业数据合规形象的重要路径
根据国标39335规定,企业主动开展PISIA,“有利于组织对外展示其保护个人信息安全的努力,提升透明度,增进个人信息主体对其的信任”,进而有利于企业树立数据合规、产品合规的正面形象。
此外,PISIA还有利于识别、预判企业的数据风险,加强上下游企业风险监管,强化内部机构或员工的合规意识,等等。
二
企业什么时候开展PISIA
根据《个人信息保护法(草案)》、《个人信息安全规范》以及国标39335等规定,并参照行业实践,在下列几个时间点,企业应当开展PISIA:
(1) 业务或外部环境发生重大变化。包括但不限于法律法规发生较大变化,内外部发生牵连性安全事件,新产品或新业务的关键节点,企业发生并购重组,等等。
(2) 个人信息生命周期的关键节点。包括但不限于汇聚融合、自动化决策、委托处理、共享/转让、公开披露、跨境转移,等等。
(3) 处理特殊类型的个人信息。包括但不限于儿童个人信息、个人金融信息、生物识别信息、健康医疗个人信息等等敏感个人信息的处理。
此外,根据《个人信息保护法(草案)》第五十三条规定,参考行业实践,企业还应当定期(建议每年不少于一次)对个人信息保护工作(包括但不限于用户个人信息、员工个人信息、上下游有关的个人信息等)开展合规审计或PISIA,以确保相关业务的动态合规。