个人信息保护影响评估(PIA)全流程(下)

来源:广东启源律师事务所

文章摘要
五、PIA应该如何开展? 开展个人信息保护影响评估(PIA)的过程中,企业需要面对多种业务场景,确保PIA既满足合规要求又适应每个场景的特性是一项主要挑战。
五、PIA应该如何开展?

开展个人信息保护影响评估(PIA)的过程中,企业需要面对多种业务场景,确保PIA既满足合规要求又适应每个场景的特性是一项主要挑战。
对于企业可能涉及的多个PIA场景,建议在确保评估的全面性的同时,也要考虑场景间的差异。为此,可以开发专门的PIA评估工具和模板,这些工具和模板不仅应涵盖法律法规的要求以保证评估的全面性和有效性,而且应根据不同业务场景的具体特点和数据属性进行定制。
评估工具可能包括个人信息风险评估矩阵、流程分析、隐私影响评估问卷和风险优化建议等。PIA评估模板应涵盖诸如业务场景基本信息、个人信息处理原则、个人信息的整个生命周期、信息主体权利、信息安全控制和组织治理控制等方面,帮助企业在个人信息处理的前期发现并解决问题。

Step.1 评估对象分析

评估开始之前,首先确定业务活动是否需要进行PIA,并选择适当的评估模板。在此基础上,详细梳理业务活动涉及的个人信息基本情况及其映射关系。这包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等各个环节的数据类型、处理目的,以及处理过程中涉及的资源和相关方等,从而形成个人信息的映射表及其生命周期的安全管理要求。
评估准备阶段:
在正式开始PIA之前,应先进行必要性分析,确认评估的必要性。确认之后,组织可以开始准备工作,包括组建评估团队、制定评估计划、确定评估对象和范围、制定相关方的咨询计划等。
评估团队分为三个层次:
负责人:具有管理权限,独立于业务部门;
团队成员:包括合规部门、法务部门、IT部门、安全支持部门;
外部顾问:根据企业资源可用性和业务、系统的复杂性,可以聘请法律合规顾问和/或技术评估顾问。
配合评估工作的机构与个人:
内部人员:业务部门、安全团队、产品/服务设计与开发、产品运营、销售与售后支持、财务、行政与人力资源部门;
外部机构:委托机构、数据接收方等。
评估方法:
尽职调查:制定尽调资料清单;
访谈方式:结合问卷和访谈;
检查方式:文档检查和机制检查;
测试方式:包括安全测试和应用测试(如穿行测试)。
在整个PIA过程中,企业还需要考虑如何有效整合内部资源,如何与外部专家和机构协作,以及如何在确保合规的同时,充分考虑到业务的特点和需求。此外,企业还需要关注法律法规的变化,定期更新评估工具和模板,确保评估的准确性和实时性。通过这些步骤,企业不仅能有效地应对个人信息保护的合规要求,还能在保护个人隐私的同时促进业务的健康发展。
Step.2 数据映射分析与风险源的识别

在全面调研个人信息处理流程后,需构建一份详尽的数据清单和数据映射图,以进行深入的数据映射分析。数据映射表格是这一过程中最常用的工具,它为处理活动提供了基础框架。然而,根据具体情况,可能需要对国家标准GB/T 39335的模板进行调整,包括扩充或删减某些部分。例如,在确定不涉及数据出境的情况下,可以去除跨境传输的部分,同时增加更详细的处理活动特征描述。

基于个人信息映射分析,进行风险源的识别。这一步骤旨在分析个人信息处理活动可能遇到的威胁源,以及是否存在安全措施不足导致的脆弱点,这可能引发安全事件。个人信息安全事件的发生可能由多种因素决定,例如内部或外部的威胁源,包括恶意或非恶意人员引发的数据泄露、盗窃等。此外,脆弱性方面可能包括物理环境造成的数据损坏,技术因素导致的数据泄露、篡改、丢失,以及管理不善导致的信息滥用。简化后,这些风险因素可以归类为网络环境与技术措施、信息处理流程、参与人员与第三方、业务特性和规模以及安全趋势等方面。

Step.3 合规风险影响分析
合规风险影响分析可以通过自动化工具进行,赋予不同的数值以计算风险影响指标。此分析旨在评估特定个人信息处理活动可能对信息主体的合法权益造成的影响,以及可能出现的影响类型,主要包括限制个人自主决策权、引发差别待遇、个人名誉损害或精神压力、以及对人身财产的损害等四个方面。
Step.4 风险评估及整改
结合风险影响分析结果,综合考虑安全事件可能性和个人权益影响程度要索,分析得出个人信息处理活动的安全风险等级及整改措施。

Step.5 风险处置
在完成针对特定个人信息处理活动影响评估之后,可综合针对所有相关个人信息处理活动的评估结果,形成对整个评估对象的风险等级。已针对常见的个人信息安全问题,形成处置建议库供参考。经过整体评估,通常情况下可根据安全风险的等级,对个人信息安全问题采取立即处置、限期处置、权衡影响和成本后处置、接受风险等处置方式。持续跟踪风险处置的落实情况,评估剩余风险,将风险控制在可接受的范围内。
六、PIA报告应该如何制作?

PIA报告需要包含的内容涉及多个方面,具体如下:

● 个人信息保护专员的认证与批准页面,确保报告的有效性和合规性;
● 报告的适用范围,明确评估的业务和活动范围;
● 实施评估和撰写报告的团队成员信息,确保责任明确和透明;
● 参考和遵循的相关法律、法规和行业标准,以确保评估的准确性;
● 评估的对象,包括涉及的个人信息类型和处理活动;
● 评估的内容和涉及的各方,确保评估全面性;
● 个人权利和利益的影响分析结果,突出评估的重点;
● 安全保护措施的分析结果,展示保护措施的有效性;
● 安全事件发生可能性的分析结果,预判和评估潜在风险;
● 风险评定的标准和准则,确保风险评估的一致性;
● 合规性分析结果,展示组织的法律合规程度;
● 风险分析的过程和结果,提供详尽的风险评估信息;
● 风险处置的建议,为企业提供风险处理的方向。
● 实施评估的责任部门和人员的联系方式,以及解答疑问的渠道。
风险处置和持续改进,包括如下内容:
在完成对个人信息的整体评估后,根据风险等级采取适当的处置措施,包括立即处置、限期处置、在权衡影响和成本后处置或接受风险。企业需要持续监控风险处置的执行情况,评估剩余风险,并确保风险控制在可接受的范围内。此外,企业还可以利用评估结果作为未来个人信息安全影响评估工作的基础。
支持性文件和记录

1.各类文件底稿
● 问卷及书面回复;
● 访谈记录或纪要;
● 截屏或录屏材料;
● 合同和处理记录;
● 核验或回访记录。
2.事件描述与图表
● 处理详情的描述;
● 业务与数据流程图。
3.现有资源:
● 等级保护测评报告;
● 安全审计报告;
● 算法备案报告。
4.专项测试报告或记录:
● 安全有效性测试;
● 匿名化或去标识化效果测试。
七、结语

在现代数字化社会中,保护个人信息的重要性日益凸显。对企业而言,将个人信息保护影响评估(PIA)融入其信息安全战略和实施是至关重要的。
PIA使企业能够发现和控制处理个人信息时的潜在风险,保证符合相关法律要求,并在此基础上与客户及合作伙伴构建信任。为支持企业在个人信息安全方面的评估,可以使用自动化工具来确保个人信息的处理和保护符合合规、安全和负责任的标准。
这不仅方便企业执行个人信息保护影响评估工作,还有助于建立一个更加安全和可信赖的信息安全环境,为企业带来长远的益处和可持续发展。
技术驱动法律,专业成就未来