个人信息保护影响评估(PIA)全流程(上)

来源:广东启源律师事务所

文章摘要
前言 个人信息保护影响评估(PIA)是一种企业针对个人信息在其整个生命周期内(涵盖收集、保留、应用、加工、传递、提供、公开及销毁等阶段)进行的审查程序。
前言

个人信息保护影响评估(PIA)是一种企业针对个人信息在其整个生命周期内(涵盖收集、保留、应用、加工、传递、提供、公开及销毁等阶段)进行的审查程序。
PIA主旨是检验这些操作的合法性、安全措施的有效性以及对个人信息当事人合法权益可能带来的威胁。
PIA核心任务是识别、应对并持续跟踪在处理个人信息期间可能对个人信息当事人合法权益造成的不利影响。
就全球范围而言,诸如美国、加拿大、欧盟、中国等多个国家和地区都已建立了PIA相关规定。从时间轴来看,自2020年起,中国陆续发布了涉及个人信息保护的法律、国家标准和指导原则,对个人信息保护影响评估的监督要求越发严格和完善。
一、国内外PIA发展历史情况

1995年5月,美国《隐私法案》规定联邦部门在建立或改进信息系统时进行PIA,此后加拿大、欧盟、澳大利亚等国家和地区也逐步推行了PIA相关规定;
2000年4月,加拿大《个人信息保护与电子文件法》旨在确保个人信息的隐私与安全,适用于在加拿大联邦领域内经营的企业;
2018年5月,欧盟《通用数据保护条例》(GDPR)要求对潜在的高风险数据处理进行DPIA评估;
2020年3月,中国颁布《信息安全技术个人信息安全规范》(GB/T 35273-2020),提倡建立个人信息保护影响评估机制;
2020年11月,中国颁布《信息安全技术个人信息安全影响评估指南》(GB/T 39335-2020),详细说明个人信息保护影响评估的关键原则和实行程序;
2021年11月,中国《中华人民共和国个人信息保护法》明确了在某些特定情况下处理个人信息前需进行个人信息保护影响评估的要求;
2022年7月,中国《中华人民共和国数据出境安全评估办法》规定,在数据出境数量达到一定程度时,机构需进行数据出境安全风险评估。
总的来说,PIA通常被认为是一种预防性警示系统,它能够使企业在项目的实际操作之前对风险进行评估,并采取预防性和专门的保护措施。同时,作为一种重要的工具,PIA是个人信息管理者进行风险控制的关键环节,有助于企业遵循数据保护的法律要求,并达到人们对隐私保护的期望。有效的PIA实施可以使企业在收集和处理个人信息的早期阶段进行介入,及时发现并解决问题。
二、为什么要开展个人信息保护影响评估?
《个人信息保护法》第五十五条规定:有下列情形之一的,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录:
(一)处理敏感个人信息;
(二)利用个人信息进行自动化决策;
(三)委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;
(四)向境外提供个人信息;
(五)其他对个人权益有重大影响的个人信息处理活动。
未进行评估可能导致企业承受重大后果,包括承担高额的罚金、信誉受损、需要进行整改、暂停运营,乃至营业执照被吊销等。此外,这还可能对企业的商务声誉带来负面影响。
PIA的主要目的是保障个人的隐私权。对企业来说,实施PIA有助于减轻个人信息处理的风险,增加客户和伙伴的信赖,维护企业的好名声和品牌价值,并推动创新与持续发展,同时提升数据安全和隐私保护的水平。企业开展PIA的意义可以从以下三个层面进行阐述:

法律层面:
符合法规:根据《个人信息保护法》第五十五条的规定,企业在处理数据时,若符合特定条件,则必须进行PIA。PIA有助于确保企业在处理个人信息时符合法律要求,以避免潜在的罚款和声誉损失;
应对审查:在接受监管机构或商业伙伴的调查、法律执行、合规审计时,PIA能作为企业遵守个人信息保护和数据安全法律法规的证明;在数据安全事故发生时,PIA也可以作为企业已经采取必要安全措施的证据,有助于减轻或免除责任和名誉损失。
企业层面:
提升企业管理:建立完备的PIA体系有助于企业及时识别、处理及持续监测在个人信息处理中的风险,加强信息保护工作;
强化数据安全:PIA有助于企业评估其信息处理活动中的安全风险,并采取适当的安全措施来保障客户和用户的个人信息安全,避免黑客攻击和数据泄露等安全事件。
市场层面:
保障客户信息安全:通过PIA,企业能够向客户展示其数据保护水平,获得更多合作机会,并通过妥善处理客户信息来满足安全标准;
增加用户信任:企业通过PIA的评估和隐私保护措施,能够提高用户对品牌的信任,进而推动业务增长。通过发布PIA评估报告,企业可以向公众展示其对个人信息保护的重视,并增强客户的信任。
技术驱动法律,专业成就未来