2018.09.03 董潇 袁琼
全国信息安全标准化技术委员会于2018年6月11日发布了推荐性国家标准《信息安全技术个人信息安全影响评估指南》(征求意见稿)(以下简称“《征求意见稿》”),截止2018年7月25日征求意见。目前评估指南尚未正式出台。
一、什么是个人信息安全影响评估
目前,我国法律法规并未规定个人信息安全影响评估(以下简称“信安评估”)的概念或适用之情形。2018年5月1日施行的推荐性国家标准《信息安全技术 个人信息安全规范》(以下简称“《信安规范》”)第一次提出了信安评估的概念,规定信安评估是指“针对个人信息处理活动,检验其合法合规程度,判断其对个人信息主体合法权益造成损害的各种风险,以及评估用于保护个人信息主体的各项措施有效性的过程。”
二、何时需进行信安评估
目前,法律之中并未对信安评估进行规定。《信安规范》第10.2条规定信安评估应当定期(至少每年一次)开展。此外,还应在以下三种情况下重新进行评估:(1)法律法规有新的要求;(2)业务模式、信息系统、运行环境发生重大变更,或(3)发生重大个人信息安全事件。
《征求意见稿》则提出了更加丰富的评估场景,例如:
个人信息出境;
个人信息处理目的变更;
个人信息委托处理、转让、共享或公开披露前或范围发生变化;
个人信息匿名化和去标识化效果评估;
对去标识化的信息重标识;
通过购买或其他方式获取个人信息时;
使用“征得同意例外”条款收集个人信息时;
使用“默许同意”收集个人信息时;
向政府、监管部门、司法部门提供个人信息前以及出现用户申诉且纠纷未解决时。
三、需要评估哪些方面
《信安规范》第10.2条(b)项规定,信安评估应主要评估处理活动遵循个人信息安全基本原则的情况,以及个人信息处理活动对个人信息主体合法权益的影响,内容包括但不限于:
(a)个人信息收集环节是否遵循目的明确、选择同意、最少够用等原则;
(b)个人信息处理是否可能对个人信息主体合法权益造成不利影响,包括处理是否会危害人身和财产安全、损害个人名誉和身心健康、导致歧视性待遇等;
(c)个人信息安全措施的有效性;
(d)匿名化或去标识化处理后的数据集重新识别出个人信息主体的风险;
(e)共享、转让、公开披露个人信息对个人信息主体合法权益可能产生的不利影响;
(f)如发生安全事件,对个人信息主体合法权益可能产生的不利影响。
《征求意见稿》则按照不同的评估场景,建议了应注重的评估内容。例如,对个人信息处理目的变更前的影响评估,《征求意见稿》提出应当考虑的要素包括:
(a)个人信息主体对原先目的、组织处理个人信息方式和方法的合理的理解程度;
(b)个人信息收集时的场景,包括个人信息主体和个人信息控制者之间的关系、商品或服务的范围及使用的商标和名称、个人信息主体使用商品或服务的方式、商品或服务为个人信息主体提供的便利等;
(c)特定场景中可合理预期的个人信息处理方式,如常规商业运营中,可预见到的将被使用的个人信息的类型,与个人信息主体之间直接互动的范围、频率、性质、历史,以及为提供商品或服务,或改进或推广商品或服务,可预见到的将被使用到的个人信息的类型。
四、如何进行信安评估
《征求意见稿》用以下流程图总结了评估的原理。
《征求意见稿》建议的评估方法主要包括:访谈、检查和测试三种。
访谈:是指通过与信息系统相关人员谈话,了解和分析信息系统中个人信息保护措施的设计和事实情况;
检查:是指对管理制度、协议安排、文档、运行记录的观察、查验和分析;
测试:是指测试访问控制、身份识别验证、安全审计机制、事件响应能力等。
五、我们的观察
虽然目前法律法规并未强制要求信安评估作为收集和处理个人信息的前提条件,但在实务之中,由于目前法律法规对于很多具体场景无法直接适用,为加强公司合规之需要,一些企业已经开始采用信安评估的基本方法作为内部数据管理的流程之一。2018年5月25日生效的《欧盟数据保护一般条例》也规定当一种数据处理方式,尤其是使用新技术进行数据处理,统筹考虑处理过程的性质、范围、内容和目的,很可能对自然人权利和自由带来高度风险时,应当在数据处理之前进行评估。
在实务之中,通过信安评估,可以相对全面收集、分析、评估数据收集的全流程,协助公司考虑是否能够收集、以及收集后进行保存、处理和风险控制的方式。《征求意见稿》若出台,并不构成强制性的法律义务,但将以为公司实务之中进行相关的评估提供参考。