PIA评估工作,如何才能更出彩?

来源:iLaw合规

文章摘要
PIA评估的背景及流程 进行 PIA 评估是基于现行法律监管的大背景的必然措施,《个人信息保护法》《个人信息安全影响评估指南》(以下简称为《指南》)均对个人信息保护影响评估进行了规定。
PIA评估的背景及流程
进行 PIA 评估是基于现行法律监管的大背景的必然措施,《个人信息保护法》《个人信息安全影响评估指南》(以下简称为《指南》)均对个人信息保护影响评估进行了规定。
个保法第五十五条明确指出,有下列情形之一的,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录:
① 处理敏感个人信息;
② 利用个人信息进行自动化决策;
③ 委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;
④ 向境外提供个人信息;
⑤ 其他对个人权益有重大影响的个人信息处理活动。
PIA 评估属于一个法律要求,要求企业按照《个人信息保护法》的规定,在事前进行 PIA 评估,并留存详细的记录,但第五十五条提出具体的要求相对笼统,细化规定均体现在《个人信息安全影响评估指南》中。
关于具体的实施及操作办法,本次直播将结合《个人信息安全影响评估指南》的要求来一一讲解。
想要进行 PIA 评估,首先应先理解 PIA 的基本原理,根据《个人信息安全影响评估指南》,进行 PIA 评估应分为三步:
1. 了解待评估个人信息处理活动是什么;
2. 对该活动最终对个人权益的影响进行分析;
3. 分析企业或数据处理者采取的措施是否有效。在进行完毕上述步骤后,对数据处理活动进行整体的风险评级。
PIA评估落地过程中的难题
结合过往的经历以及处理 PIA 评估工作的实践经验,总结目前 PIA 落地过程中存在一些主要问题可以得出主要的问题分为两类:技术问题与管理问题。
1. 技术问题
技术问题可以细化分为两类:触发机制不灵敏与评估落地存在难度。
① 触发机制不灵敏
虽然 PIA 在《指南》中明确了需要进行评估的几个场景,但具体如何操作,如何触发评估机制,如何正确处理 PIA 和业务流程之间的关系仍然缺乏具体的指导性意见,企业在实践过程中,经常出现遗漏评估场景,评估规定不完善, PIA 刷新困难的现象,进而会在实践中与《个人信息保护法》的要求产生冲突
② 评估落地存在难度
企业的隐私合规工作一般由法务部或隐私合规部门负责,但该工作不是独立于业务之外的,同时涉及法务、业务、 IT 技术等多部门协作,在评估落地的过程中,协调各部门人员的时间存在困难。另外,由于各部门的专业不同,工作用语不同,经常会出现「鸡同鸭讲」的问题,因此在 PIA 评估中,经常出现多部门难协调、工作信息沟通困难、评估效率低等问题。
2. 管理问题
① 一个业务场景涉及多个 PIA 如何做?
在实际操作中,还需要处理不同类型的 PIA 、 PIA 与隐私合规评审、 PIA 与业务流程之间的关系。
在企业实践中,业务场景一般比较复杂,涉及多个需要进行 PIA 的情况,如敏感个人信息跨境场景,敏感个人信息需要 PIA ,数据跨境也需要PIA,是选择做一份 PIA 还是两份 PIA ,以及每份 PIA 评估问卷应该如何设计避免问题重复,都需要详细设计。
② 处理 PIA 与隐私合规评审的关系
《个人信息保护法》中除 PIA 外还有许多其它的要求,并有相应的处罚要求,企业需要遵守所有的法律要求,一般会在业务中设置隐私合规评审环节,那么 PIA 与隐私合规评审之间又如何进行协同?
两者的先后顺序及时间节点对于企业来说,是个值得考量的问题。
③ PIA与业务流程的关系
PIA 在落地过程中,应该和业务流程建立一种什么样的关系,如果没有嵌入其中,使之融合变成完整的一个,那么孤立地开展评估活动的话,从操作和沟通等各个层面都将产生不必要的麻烦,容易引起业务人员的不满。
如何做好PIA评估工作
1. 了解业务对于风险评估 & PIA 的看法
要想做好 PIA 工作,首先要了解业务部门针对 PIA 工作的看法,在企业之中,业务部门针对 PIA 评估的态度一般分为两种:
一个是消极态度,通常表现为,业务部门考虑到法律上的明确监管要求,被动地进行评估及合规工作,接受 PIA 评估,但不希望时间过长或者持续反复地进行评估。
此种情况将导致评估工作停留在表面,实际只走了一步、半步,并且难以全面协调、沟通和持续推进。
另一个是积极态度,业务部门具有较好的合规意识,能够积极配合评估工作,但希望不希望花费太多的时间,期望一次性摸清楚所有重点风险,避免产品出现被要求整改及下架的风险。
2. 做好 PIA 工作的关键
一个理念:集成
一个工具:自动化
首先,需要集成的理念, PIA 本身涉及场景就很多,加上隐私合规的评审,以及具体的业务流程,就会更加复杂,只有以「集成」的理念,综合去处理上述流程,才能做好 PIA 工作,提升效率;其次,要借助 IT 工具,面对业务部门的消极态度及评估本身的效率问题,要通过自动化手段来解决。
总的来说,评估工作从业务场景出发,从数据全生命周期进行全面的合规评估,明确所有数据合规风险并进行揭示;同时要采用业务语言制定报告模板,方便填写,符合业务的思维方式,便于理解同时降低沟通成本;操作时要借助 IT 工具,提升评估质量和效率。
评估的重点内容
本次将介绍一个能覆盖隐私合规评估和 PIA 的模板,来解决「集成」的方案,该模板主要分为七大部分:
1. 业务基本信息
进行评估时,首先要让评估人员了解业务背景,理解业务的本质,以更好的开展隐私合规评估,业务基本信息包含以下内容:
① 业务名称和业务概述
此部分评估属于业务人员职责范围内事项,可以由业务人员进行解释。
② 业务形态
通常包括 APP 端、小程序端、web 端、 WAP (即手机网页端)。
③ 业务上线时间
明确业务上线时间主要是为了核查是否满足事前评估的要求。
④ 业务上线国家/地区
明确业务上线国家/地区主要为了确定本次评估适用的法律。
⑤ 数据控制者与数据处理者
控制者是决定数据处理目的和方式的主体,处理者是受控制者所托进行数据处理的主体,明确本组织在此业务场景的角色,为后续的风险评估定下基调。
⑥ 业务责任部门
确定事件负责部门,便于企业内部管理。
⑦ 数据合规代表
此部分可由企业根据情况填写。
此部分业务信息可以基于实际情况进行填写,便于法务部门或数据合规部门更深入地了解业务情况。
2. 业务场景/产品功能
针对业务上线功能,通过将上线的具体功能及数量,列入业务功能统计清单,方便合规人员判读该场景是否涉及个人信息处理的情况。
通过对业务场景的介绍也便于法务及隐私合规人员对具体的场景进行评估。
此时的得力助手有两个:数据清单及数据流向图。 这两个工具能够抽取业务中数据合规相关的关键信息,以评估具体风险。
① 数据清单的作用
数据清单用于记录此业务场景下收集的目的、数据类别/字段、收集方式、存储时间等关键信息,及数据处理全生命周期在企业内部的静态展示。
以用户注册/登录这一场景为例,在注册过程中会涉及到用户输入的手机号、邮箱,昵称,头像,这些涉及到的就是用户的个人数据类别,分为一般个人数据及敏感个人数据,对于敏感个人数据,是重点评估对象。

② 数据流向图的作用
数据流向图是个人数据在企业内部的动态展示,可以更好的了解企业内部的数据处理过程及业务实现逻辑,助力更快更准确地实现风险评估。
以用户注册/登录系统为例,用户注册信息在企业内部流转如下,其中的数字代表个人数据的序列号。

3. 运营运维信息
通过数据流向图,我们可以看到业务的数据跨境情况,但数据流向图主要体现数据在 IT 系统中的流转,无法体现业务运营及IT运维可能导致的跨境情况。
业务运营:对于大型跨国企业来说,为了控制成本,通常会在某国设立覆盖多个国家的共享中心,如全球总部、区域总部、法语服务中心、西班牙语服务中心等。
IT 运营运维:此情形通常有两种情况,一是服务器本身部署的地理位置,另一个是IT运维团队所在位置。
以中国企业为例,对于其海外业务部门面临的技术问题,简单问题尚可在当地解决,复杂问题需要到中国总部解决,这种场景下可能涉及从国外向国内的数据跨境情形。
4. 隐私文档编写进度
在与企业沟通过程中,我们发现一个比较普遍的问题:由于内部流程衔接问题,导致产品新功能要上线了,但隐私文档还没有完成。
因此在评估时需要关注以下几个问题:首先,隐私文档是否齐全,是否存在遗漏;其次,隐私文档编撰到什么进度以及其具体的交付时间;最后,是否已经通过法务的评审。
5. 安全测试结果
如果产品本身存在安全漏洞,数据合规将没有基础,因此隐私评估时需要关注产品安全情况,这部分的职责主要是由安全部门来承担,安全部门应尽到对中、高风险事项的提示义务。
因此,材料中只需呈现测试结果,重点关注完成时间,避免携带风险上线的情况出现。
6. 法律文件签署进度
对于数据的委托处理、共享等关键场景,应签订相应的数据处理协议、数据共享享协议、数据跨境协议等,因此在报告中需要关注相关法律文件的签署进度,这也能对业务起到提醒的作用。
7. 历史评估信息
评估时需要关注以前版本的评估结果,让评委了解历史情况,也可以加快评审效率。
从数据合规的目的出发,融合数据合规各种评审要求,把握工作重点,提升整体的效率。
技术驱动法律,专业成就未来