根据国家市场监督管理总局、国家标准化管理委员会发布的《中华人民共和国国家标准公告(2020年第26号)》,全国信息安全标准化技术委员会归口的《信息安全技术个人信息安全影响评估指南》(GB/T 39335-2020)(以下简称“《评估指南》”)正式发布,并将于2021年6月1日起正式实施。因目前正式版本的《评估指南》尚未在网上公布,本次解读基于《信息安全技术个人信息安全影响评估指南》最终版的文字内容。
一、概述
个人信息安全影响评估(以下简称“影响评估”)针对个人信息处理活动,检验其合法合规程度,判断其对个人信息主体合法权益造成损害的各种风险,以及评估用于保护个人信息主体的各项措施有效性的过程。影响评估旨在发现、处置和持续监控个人信息处理过程中对个人信息主体合法权益造成不利影响的风险,能够加强对个人信息主体权益的保护,有利于组织展示其保护个人信息安全的努力,提升透明度,增进个人信息主体对其的信任。
《评估指南》分为“范围”、“规范性引用文件”“术语和定义”“评估原理”“评估实施流程”五个主要部分以及“评估性合规的示例及评估要点”“高风险的个人信息处理活动示例”“个人信息安全评估常用工作表”“个人信息安全影响评估参考办法”四个附录,相较2018年的征求意见稿,进行了较大篇幅的变动。
《评估指南》作为《信息安全技术个人信息安全规范》(以下简称“个人信息安全规范”)的配套标准,借鉴了美、欧等国家和地区在个人信息安全影响评估方面最新的法律规定、制度设计与实践做法,以国内现有立法、行政法规、标准要求为出发点,具有重要指导意义。《个人信息保护法(草案)》第五十四条指出,当个人信息处理者进行该条所列举的各类个人信息处理活动时,应在事前进行风险评估,并对处理情况进行记录,风险评估保护和处理情况记录应当至少保存三年。虽然该条列举了应当进行风险评估的情形和内容,但并未对如何实施风险评估进行明确规定。《评估指南》的出台将有力支撑未来《个人信息保护法》的实施。
二、评估原理
《评估指南》第四部分从评估价值、评估责任主体、评估基本原理等方面详细介绍影响评估的评估原理。
《评估指南》明确在开展个人信息处理前以及对于正在开展的个人信息处理,组织可通过影响评估,识别可能风险,持续修正安全控制措施,以确保对个人合法权益不利影响的风险处于总体可控状态,完善了《个人信息安全规范》关于评估时间点的规定。
评估价值是指实施个人信息安全影响评估可达到的目的,如识别对个人权益造成的影响、评审新系统的安全风险、为个人信息主体提供建议、向合规部门反馈证据等。个人信息安全影响评估不仅是一种预警机制,能够为组织发现安全风险并落实预防措施,还可协助组织在持续合规性审计或调查中证明其遵守了相关个人信息与数据保护法律、法规和标准要求,向员工、客户、合作伙伴以及监管部门表明自身严肃对待个人信息保护的态度。
《评估指南》以流程图形式对评估原理进行了说明。从图中可知,个人信息安全影响评估以调研产生的数据映射分析报告为基础,在分析个人信息处理活动的前提下分别判定其对个人权益的影响程度和产生安全事件的可能性,两者结合最终确定风险级别。
(评估原理示意图)
组织需指定个人信息安全影响评估的责任部门或责任人员,通常由法务部门、合规部门或信息安全部门承担该工作职责。《评估指南》介绍了三种基本评估方法:访谈、检查与测试,并对其定义与对象进行详细规定。
影响评估分为自评估和检查评估两种形式,自评估是指组织自行发起对其个人信息处理行为的评估,可由本组织相关责任部门自行开展或聘请外部独立第三方来承担具体的影响评估工作。当组织自行进行影响评估时,主管监管部门和客户可要求独立审计来核证影响评估活动的合理性和完备性。同时,该组织允许主管监管部门对影响评估流程以及相关信息系统或程序进行取证。
检查评估则指组织的上级组织发起的个人信息安全影响评估工作。上级组织是对组织有直接领导关系或负有监督管理责任的组织。检查评估也可委托外部专业组织开展评估。
三、评估实施流程
《评估指南》第五部分将2018年的征求意见稿中的“5 评估流程”与“6 评估实施”内容进行合并,同时调整相关内容顺序,形成“评估实施流程”,为组织开展评估提供详细的流程指引。
(一)评估准备工作
开展评估前,组织应对其新产品或服务的开发、启动、发布等环节是否需开展评估进行必要性分析。必要性分析包括合规差距评估及尽责性风险评估两个方面。根据《网络安全审查办法》,若关键信息基础设施运营者采购网络产品和服务,影响或可能影响国家安全的,还应先依法进行网络安全审查。
在确定评估的必要性后,组织应进行评估准备工作,该阶段包括组建评估团队、制定评估计划、确定评估对象和范围以及制定相关方咨询计划。
首先,组织需任命评估人并指定人员负责签署评估评估报告,由评估人确定影响评估报告的提交对象、评估时间段以及是否会公布评估报告或其摘要。
其次,评估计划在制定时应清楚规定完成评估需进行的工作、评估任务分工、评估计划表,此外还需考虑待评估场景中止或撤销的情况。
再次,在确定评估对象和范围时应从三个方面进行描述:系统基本信息、系统设计信息、处理流程和程序信息。
最后,需咨询的相关方包括但不限于员工、个人信息主体和消费者代表、分包商和业务合作伙伴、系统开发和运维人员以及对于评估有相应担忧的其他组织人员等,《评估指南》还就咨询计划的制定进行规定。
此外,组织在开展影响评估时,还可督促适当的相关方(主要包括分包商和业务合作伙伴)开展影响评估。适当的相关方有义务开展或者需配合组织开展,组织可应用相关方的影响评估报告作为咨询结果。
(二)评估实施
评估实施时需考虑评估规模、评估方法和评估工作形式等三要素。通常而言,组织在实施影响评估时,个人信息的类型、敏感程度、数量,涉及个人信息主体的范围和数量,以及能访问个人信息的人员范围等,都是影响评估规模的重要因素。评估方法与评估规模已在第二节介绍,不再赘述。
影响评估的具体实施具体包括风险源识别、个人权益影响分析以及安全风险综合分析三个方面,《评估指南》5.4、5.5及5.6对这三个部分的评估过程和评估要点进行说明。同时,《评估指南》在附录部分,为组织开展影响评估工作的评估要点、常用图表、判断准则等提供参考。
以“个人权益影响分析”为例,其指分析特定的个人信息处理活动是否会对个人信息主体合法权益产生影响,以及可能产生何种影响。组织可根据数据映射分析结果及确定需评估的个人信息处理活动,结合相关法律、法规、标准的要求或组织自定义的个人信息安全目标,分析个人信息处理活动全生命周期或特定处理行为对个人权益可产生的影响,以及个人信息泄露、毁损、丢失、滥用等对个人权益可能产生的影响,以审视是否存在侵害个人信息主体权益的风险。《评估指南》列举了分析过程中需考量的四个维度:
| 限制个人自主决定权 | 例如被强迫执行不愿执行的操作,缺乏相关知识或缺少相关途径更正个人信息、无法选择拒绝个性化广告的推送、被蓄意推送影响个人价值观判断的资讯等 |
| 引发差别性待遇 | 例如因疾病、婚史、学籍等信息泄露造成的针对个人权利的歧视;应个人消费习惯等信息的滥用而对个人公平交易权造成损害等 |
| 个人名誉受损或遭受精神压力 | 例如被他人冒用身份、公开不愿为人所知的习惯、经理等,被频繁骚扰,监视追踪等 |
| 人身财产受损 | 例如引发人身伤害、资金账户被盗、遭受诈骗、勒索等 |
个人信息权益分析过程一般包含“个人敏感程度分析阶段”“个人信息处理活动特点分析阶段”“个人信息处理活动分析阶段”“个人权利影响程度分析阶段”四个阶段。
第一阶段是针对个人信息自身敏感程度的评估;第二阶段则是对个人信息处理活动这一行为的具体评估;第三阶段是识别个人信息处理过程中可能存在的薄弱环节,如个人信息收集是否合法正当、从第三方获取的数据是否得到合法授权、收集个人信息是否遵循了最小必要原则等。在深入挖掘前一阶段发现的各个弱点的基础上,评估组织应总结出违法违规处理个人信息的具体问题。
最后,在个人权益影响分析阶段,组织应结合前三阶段的分析结果,综合组织的个人信息处理活动各环节涉及的个人信息特征与敏感程度,综合分析上述弱点与问题对个人权益可能造成的影响及其严重程度。
(三)评估后工作
组织实施个人信息安全影响评估后,应最终形成评估报告,结合第四部分与第五部分关于评估报告的要求,评估报告除用于组织内部完善相关个人信息保护措施外,还可提供给个人信息主体、主管监管部门以及合作伙伴,以配合监管活动,增加客户信任,加强与合作伙伴的协作。
5.7详细列明了评估报告所需包括的通常内容,比较重要的项目有:评估所覆盖的业务场景;业务场景所涉及的具体个人信息处理活动;负责及参与的部门和人员;已识别的风险;已采用及拟采用的安全控制措施清单以及剩余风险等。5.9还指出,组织可制定个人信息安全影响评估报告发布策略,在已有评估报告上予以简化,有选择地公开发布影响评估报告。
通常情况下,在影响评估工作完成后,组织可根据评估结果选取并实施相应安全控制措施进行风险处置。组织应持续跟踪风险处置的落实情况,评估剩余风险,将风险控制在可接受的范围内。此外,还可将评估结果用于下一次影响评估工作。
四、结语
近年来,个人信息安全逐渐成为社会的关注焦点,近日多家快递公司爆出个人信息泄露事件更是引发公众对个人信息安全问题的担忧和思考。但究其原因,均为个人信息处理者在进行个人信息处理活动时未能进行科学、严谨、有效的个人信息安全影响评估,并相应的采取适当的安全保障措施。《评估指南》的出台无疑为合法合规处理个人信息提供有力指引,个人信息处理活动进行前或进行中,应及时启动个人信息安全影响评估工作,根据评估结果采取或调整相应安全保障措施,才能有效控制风险,赢取公众的信任。
