个人信息保护影响评估(PIA)全流程(中)

来源:广东启源律师事务所

文章摘要
三、什么场景下需要进行PIA?
三、什么场景下需要进行PIA?

按照《个人信息保护法》的规定,处理个人信息的单位或个体在以下特定情况下必须进行个人信息保护影响评估(PIA):
当涉及敏感个人信息的处理;
在采用个人信息执行自动化决策时;
当委托他人处理个人信息、向其他处理者提供或公开个人信息;
在向国外传递个人信息的情况下;
在其他可能严重影响个人权利和利益的个人信息处理活动中。
《GB/T35273-2020信息安全技术个人信息安全规范》还进一步明确了开展PIA的附加场景,包括:
在推出新产品或服务之前,或当业务功能发生显著变更时;
面对法律法规更新、业务模式或信息系统、运营环境的重大变化,或发生重大个人信息安全事件时。
尽管《个人信息保护法》提供了明确的指导,但对于企业来说,识别具体需要进行PIA的业务场景仍然是一个挑战,因为这需要深入理解法律义务、法规规定,以及主观和客观因素的判断。企业在做出决策时需谨慎考虑。
因此,结合相关法律法规(如《个人信息保护法》、《数据出境安全评估办法》等)、国家标准(如GB/T 35273-2020《信息安全技术个人信息安全规范》、GB/T 39335-2020《信息安全技术个人信息保护安全评估指南》、《数据出境安全评估指南》等)及行业实践,企业通常在以下场景中开展PIA:
在推出新产品或服务(包括产品开发、需求更改等)时;
日常数据处理(如个人信息的申请/提取、修改/批量处理等);
与第三方合作和数据共享时(包括审核合作伙伴、签订数据共享协议等);
处理个人信息请求时(验证请求合法性、响应个人信息主体权利等);
发生数据安全事件后进行的评估(如数据泄露调查、安全修复等);
法律法规规定的其他相关场景。
四、PIA的内容包括什么?

结合国标 GB/T39335—2020 《信息安全技术个人信息安全影响评估指南》,以及 GB/T 35273—2020 《信息安全技术个人信息安全规范》,可将 PIA 评估内容概括为以下 5 大要点:
1. 处理目的与合法性基础

《个人信息保护法》规定了处理个人信息的前提条件,并要求处理目的明确、合理,处理行为应当与处理目的直接相关,满足最小必要原则。
在对处理目的和合法性基础进行评估前,首先需要掌握被评估业务的基本信息:涵盖的处理个人信息的场景、处理方法(例如自动化决策、共享、跨境处理等)、涉及的个人信息类型(如身份信息、指纹数据等)以及业务对个人信息的依赖程度。这些信息作为评估处理目标是否明确、合理及个人信息收集是否符合最小化必要性的背景。
2. 告知与同意

《个人信息保护法》强调保障个人的知情权和同意权,要求企业证明无过错。企业处理个人信息的合法基础是“获得个人同意”,因此必须按照法律规定的通知方式和范围履行通知义务,并在获得个人同意之后才能执行个人信息的收集和其他处理活动。
3. 数据全生命周期

这部分是 PIA 评估的核心,涉及个人信息从收集、存储、使用、转移、公开、处理、出境、删除等全生命周期的综合检查,全面评估个人信息处理行为的合规风险。这包括处理行为本身的合法性和规范性、制度体系的建立和执行情况、安全技术措施的有效性、安全事件的应急处理机制等。
在评估过程中,需要依次确定每项处理行为是否符合法律法规要求,以及对个人权益的影响(如在收集阶段履行的通知义务、加密存储和传输、确保个人自动化决策权、共享个人信息时明确接收方的信息保护责任、个人信息出境前进行安全评估等)。
4. 个人权利保护

《个人信息保护法》高度重视个人在个人信息处理过程中的知情权和决策权,包括查询、复制、修改、撤回同意、删除个人信息等权利,并要求个人信息处理者建立方便的申请接收与处理机制。因此,这部分主要评估企业是否建立了有效的个人权利响应机制及其具体实施情况,如行使个人权利的途径、响应时间、处理方法等,是否能充分保护个人权利。
5. 安全保障措施

这部分主要评估企业采取的保护措施是否合法、有效,并与风险程度匹配,以防止个人信息泄露或非法使用所引发的损害和影响。
此外,由于 PIA 评估涉及众多监管规则,实际评估过程中,除了关注《个人信息保护法》及国标外,企业还需结合所在行业的具体监管要求进行评估。
技术驱动法律,专业成就未来