實施個人信息保護影響評估,推動個人信息保護“關口前移”
2021 年 11 月 1 日,《個人信息保護法》(以下簡稱《個保法》)的正式施行,可以說在我國個人信息保護法治建設具有里程碑意義。《個保法》內容具備系統性、針對性和可操作性特點,規范了個人信息處理活動,明確了組織的法律責任和義務,為個人信息保護提供了強有力的法律保障。
與此同時,《個保法》創新性地提出了眾多有助于個人信息保護的新舉措,其中,《個保法》第五十五、五十六條所提出的“個人信息保護影響評估”便是一項有助于推動個人信息保護“關口前移”的重點工作。
一、個人信息保護影響評估的效用和意義
《個保法》第五十五條明確指出了需要事前開展個人信息保護影響評估的五種情形,包括處理敏感個人信息、利用個人信息進行自動化決策、委托處理、向其他處理者提供、公開個人信息、向境外提供個人信息等。上述情形的共同點是,其均可能對個人權益產生重大影響。以當下處理個人信息最為常見的互聯網領域為例,定向推送、自動評分、輔助決策等自動化決策、大數據分析的機制已被廣泛應用;互聯網生態龐雜、活躍,數據的流動極為頻繁,涉及數據的委托處理、共同處理、向第三方提供等情形非常普遍;伴隨著基于位置的服務(LBS)形式、網絡支付和互聯網金融迅速普及,人臉識別等生物識別技術的應用面擴大,對敏感個人信息的處理也屢見不鮮。可以說,上述情形對個人權益的影響面、影響程度也在不斷增加。《個保法》中個人信息保護影響評估要求的提出,明確了組織需對個人權益影響進行事前評估的機制,其核心理念是通過提前介入,來預防對個人權益的影響及安全風險。同時,第五十五條給出了具體的需事前評估的場景,而非對所有的個人信息處理活動均需評估,該條款以“對癥下藥”的方式,避免了非必要的評估為組織增加過多負擔,保證了條款實施的針對性、可行性。
此外,個人信息保護影響評估所提出的以風險為視角的方法,還能彌補法律條款固化帶來的不足。個人信息處理的場景可以說層出不窮,新技術新應用更是會不斷引入一些新的隱患,法律條款很難將所有情形予以窮盡,需要“兜底式”條款彌補不足。《個保法》第五十五條所指出的“其他對個人權益有重大影響的個人信息處理活動”需要事前開展個人信息保護影響評估,這就為復雜問題、未知問題的解決留下余地。事實上,以影響和風險為視角進行評估,也是一種尋求“發展”與“安全”相平衡的方法,《個保法》第五十六條提出需要分析“所采取的保護措施是否合法、有效并與風險程度相適應”,面對風險,不是“因噎廢食,搞一刀切”,而是“因地制宜,科學把控”,這就為更好地促進個人信息利用提供了更多可能,為數字經濟的繁榮發展提供了更多助力。
二、國家標準為實施個人信息保護影響評估提供支撐
《個保法》第五十六條指出,影響評估需評估的內容包括:個人信息的處理目的、處理方式等是否合法、正當、必要;對個人權益的影響及安全風險;所采取的保護措施是否合法、有效并與風險程度相適應等。短短幾句話,事實上信息量巨大,如何界定合法、正當、必要?個人權益的影響涵蓋哪些角度?權益的影響和最終的安全風險有何關聯?如何判定所采取的保護措施是否與風險相適應?這都是評估過程中需要深入分析的內容。很明顯,如果沒有相關的操作指引,評估人員僅憑個人理解進行評估,恐怕很難做到全面、準確、深入、中立,那么評估的本身價值就可能大打折扣,長此以往甚至有可能形成“走過場”“套模板”等做法,這就脫離了開展評估的初衷,評估則可能會變成了組織的“額外負擔”,而非管控個人信息安全風險的“先進方法”。
近年來,我國高度重視個人信息保護國家標準的體系建設,在 GB/T 35273-2017《信息安全技術 個人信息安全規范》國家標準發布實施以來,圍繞其形成了一系列配套的國家標準。其中,由全國信息安全標準化技術委員會(TC260)歸口,中國電子技術標準化研究院牽頭編制的 GB/T39335-2020《信息安全技術 個人信息安全影響評估指南》(以下簡稱“影響評估指南”)標準,借鑒了國外在該領域積累的優秀經驗,著重參照我國法律法規對個人信息保護的具體要求,包括當時正在制定中的《個人信息保護法》(草案)的要求;同時,圍繞我國個人信息保護的現狀,提出了系統性開展個人信息保護影響評估的方法論。
其一,“影響評估指南”在評估的必要性中,對開展評估的前提進行詳述,其中“5.1.2.4 評估性合規要求分析”里涉及的場景包含了《個保法》第五十五條提出的需開展評估的所有情形,充分解答了“何時開展影響評估”的問題。其二,“影響評估指南”對個人權益的影響角度進行系統性歸類,將其區分為“限制個人自主決定權”“引發差別性待遇”“個人名譽受損或遭受精神壓力”“人身財產受損”四個維度,降低了分析過程的復雜度,提升了分析的全面性。其三,“影響評估指南”給出了開展個人信息保護影響評估的具體流程,對不同個人信息處理場景中的安全措施有效性給出了評價方法,對安全風險提出了定性和定量分析的思路,并給出了判定準則,與《個保法》第五十六條中提出的評估內容有所對應,充分解答了“如何開展影響評估”的問題。
總體來說,作為多方參與、專家把關、廣泛試點驗證的“影響評估指南”,其與《個保法》的具體規定相吻合。“影響評估指南”的發布實施,可幫助組織更好地履行法律所規定的義務,為組織高質量開展“個人信息保護影響評估”提供了重要支撐。
三、以開展評估為法律落地的抓手,讓個人信息保護“關口前移”
《個保法》在第五章“個人信息處理者的義務(第五十一條至五十九條,共九條)”中,對組織應當嚴格履行的法定義務進行說明,包括了責任人員、管理制度、技術措施、合規審計、影響評估、應急機制、平臺責任等多個角度的具體要求。其中,《個保法》使用了第五十五條、第五十六條兩個條款的篇幅對開展個人信息保護影響評估的啟動條件、評估內容、評估產出等進行詳細闡述,可見其分量之重。不僅如此,個人信息保護影響評估已經體現在我國多個領域的監管要求中。比如,教育部辦公廳等六部門發布《關于做好現有線上學科類培訓機構由備案改為審批工作的通知》(教監管廳〔2021〕2 號,以下簡稱“通知”),其中指出儲存 100 萬人以上個人信息的線上校外培訓App,應通過個人信息保護影響評估、認證或合規審計。2022 年 6 月,國家互聯網信息辦公室公開《個人信息出境標準合同規定(征求意見稿)》,其中第五條指出,個人信息處理者向境外提供個人信息前,應當事前開展個人信息保護影響評估。組織是否按照規定開展了個人信息保護影響評估已經成為衡量組織是否有效落地《個保法》的要求的重要視角。
《個保法》第五十六條還指出,個人信息保護影響評估報告和處理情況記錄應當至少保存三年。報告和處理情況記錄是證明組織履行了評估義務的最直接證據,同時,還可通過查看報告的方式分析影響評估工作的質量、效果。《個保法》在第六章“履行個人信息保護職責的部門”中指出,個人信息保護職責的部門應履行的職責包括:指導、監督個人信息處理者開展個人信息保護工作;可采取的措施包括:查閱、復制與個人信息處理活動有關的記錄、資料,以及實施現場檢查。由此,履行個人信息保護職責的部門在開展監督個人信息保護工作的過程中,可以通過檢查組織是否開展了影響評估、其是否按規定留存了評估報告、風險處置記錄等來印證其履行義務的情況。
例如,《個人信息出境標準合同規定(征求意見稿)》第七條指出,個人信息處理者應當在標準合同生效之日起 10 個工作日內,向所在地省級網信部門備案個人信息保護影響評估報告,對評估報告的檢查將可能成為監督管理工作的重要抓手。更進一步,還可以通過對其評估報告內容進行查閱和分析,評判組織是否充分履行了評估的義務,識別個人信息處理活動是否依然存在風險,從而防止影響評估工作被“邊緣化”“無效化”。
在履行個人信息保護職責的部門開展個人信息保護影響評估相關的檢查中,“影響評估指南”也能成為重要的助力工具,這也與該國家標準在其適用范圍中所述“可為主管監管部門、第三方測評機構等組織開展個人信息安全監督、檢查、評估等工作提供參考”相呼應。“影響評估指南”所提出的系統性方法,不僅為組織充分履行個人信息保護影響評估義務提供思路、方法,也可為個人信息保護職責的部門分析組織所提供的個人信息保護影響評估報告的完備性、條理性、科學性等提供參考。
綜上,如果對個人信息保護影響評估工作的檢查成為一種常態化監督的手段,將可能進一步強化組織對個人信息處理的風險警惕和合規意識,從組織內部形成一道個人信息保護“防火墻”,真正地讓個人信息保護做到“關口前移”。
四、小 結
個人信息保護影響評估作為《個保法》專門提出的一項重點工作,是有效降低個人信息處理風險,預防個人權益遭到侵害的關鍵手段。同時,個人信息保護影響評估也是組織是否履行了法定義務,具備什么樣的個人信息保護水平的直觀體現,需要得到組織的高度重視。對于很多組織而言,個人信息保護影響評估可能是一項全新的工作,但國家標準“影響評估指南”的實施,則有效降低實施的門檻、難度、成本,也促進了實施過程中評估方法的一致性、評估結論的科學性。因此,在更廣范圍,以更大力度應用標準,是促進個人信息保護影響評估工作落地實施、推動個人信息保護“關口前移”的實效舉措。
