PIA Intro

来源:数据的朋友

文章摘要
今天我们聊Privacy Impact Assessment(PIA),个保法(PIPL)下的术语表达为“个人信息保护影响评估”。

今天我们聊Privacy Impact Assessment(PIA),个保法(PIPL)下的术语表达为“个人信息保护影响评估”。
几个关键词先列:
• 预防机制
• 多情形触发
• PIPL A56-57
• GB/T 39335-2020
• 一星二星三星
• SCC语境下有官方模板
• SCC之外都是内部合规留档
• 评估表单+评估报告+ROPA
PIA项目(暂不谈SCC语境下PIA)可以从两个层面来延展聊:
第一个层面,合规链条的相关配套,包括场景识别、字段梳理、交互关系确认、DPA签署、制度建设、安全措施。合规链条上的这些环节,都是交织联动的。
第二个层面,项目执行的一体两翼,需求侧(可能是业务,也可能是中后台,解决场景/字段/相关方对接),法律合规侧(解决评估模型中的“权益影响”维度),安全技术侧(解决评估模型中的“安全事件可能性”维度)。不要对需求侧抱有太高的期待,再用户友好的问卷,再自认清晰易懂的guidance,问卷和报告review定稿工作,多半还是legal/compliance来。
接着说乙方视角,外部顾问可以干全套,也可以干部分,包括但不限于:



  1. 全量场景梳理识别触发PIA场景并分类(字段,处理目的,处理方式,相关方,交互模式,触发情形判定,风险等级)。

  2. 全量模板设计(SPI/对外提供/委托处理/公开/非SCC CBDT/自动化决策/兜底其他),包括Policy/问卷/报告/ROPA/Guidance/SOP/Q&A。

  3. 内部试点,推荐三种,最简单的(解决内部说服),最常见的(解决日常高频需求),高风险的(解决风险天花板把控)。

  4. 全量执行(比较费时间费钱,不是很推荐)。

  5. 偶发新场景疑难杂症定向解决。
    以上,可以“简单-适中-复杂”多版本设计与执行,一个项目的PIA, 长则几个月,短则半小时,丰俭由人罢了。
    在以上全套都配齐,并尝试嵌入公司系统流程,甚至开始寻求线上流程卡点执行以后,PIA会成为一个挺枯燥的活儿,它只有成为范式的、流程化的东西,才能低成本执行(一些企业会有PIA专员,虽然不多见,这份工基本都会是高重复性低获得感,不推荐)。至于一些自动化工具说可以如何如何如何,我用沉默代替我的评价。
    最后谈下作用,作为预防机制,它的作用目前未经验证。未经验证是指,做的对不对,不知道,做的够不够,也不知道。去搞个一星二星三星,我更愿意称之为品宣项目而非合规项目(这句话自己品)。作为一个贵列个保法明确法定要求的合规义务项,它触发频次高,缺乏更有效细节的指引,虽为法定要求却全凭自觉,它的存在感较多见于外企、强监管行业、互联网企业,而越是“大爷”,越是没有(甚至可能都不知道它的存在),当然,这样的境遇,不限于PIA。
    好了,今天先写到这里,下次我们聊具体案例,后台可以留言下达“命题作文”或提供“高质量提问”。我失眠的时候会择优回应。End。

技术驱动法律,专业成就未来