场景数据合规的前置保护——谈谈企业如何开展个人信息安全影响评估

随着互联网及信息技术的高速发展，对个人信息的非法收集、滥用、泄露等问题引起了全球各国的普遍关注，针对个人信息保护的各项法规也随之陆续出台，旨在加强对个人隐私数据保护与行为规范。

早在2017年12月29日，全国信息安全标准化技术委员会发布的GB/T 35273-2017《信息安全技术 个人信息安全规范》（以下简称“《安全规范》2017”）中就提出了“个人信息安全影响评估”（personal information security impact assessment）的概念。而2021年颁布实施的《个人信息保护法》中，也特别规定了应当事前进行个人信息保护影响评估（personal information protection impact assessment，以下和个人信息安全影响评估统称“PIA评估”）并对处理情况进行记录的的法定情形。因此，对于许多企业而言，进行PIA评估是基于现行法律监管的大背景的必然措施。那么该如何落地执行PIA评估呢？本文将试图和读者分享并一起探讨PIA评估的基本情形与实施要点。

根据《安全规范》2017的定义，PIA评估，指针对个人信息处理活动，检验其合法合规程度，判断其对个人信息主体合法权益造成损害的各种风险，以及评估用于保护个人信息主体的各项措施有效性的过程[1]。2020年重磅出台的GB/T 35273-2020《信息安全技术 个人信息安全规范》（以下简称“《安全规范》2020”），在原先的《安全规范》2017基础上进行了修改和增补，但仍然保留了关于PIA评估的基本定义和要求[2]。

在法律法规层面，PIA评估是企业的一项法定合规义务。除《个人信息保护法》外，在《儿童个人信息网络保护规定》等相关规定中也对进行PIA评估的情形提出了明确的要求[3]。一旦作为个人信息处理者的企业出现了需要进行PIA评估的法定情形的，就应根据相关规定的要求，开展相应的PIA评估。

而在企业合规治理层面，PIA评估也为企业提供了个人信息处理风险治理的参考和抓手。2020年11月19日，首个针对个人安全影响评估的国家标准——GB/T39335-2020《信息安全技术 个人信息安全影响评估指南》（以下简称“《PIA评估指南》”）出台，并已于2021年6月1日正式实施。《PIA评估指南》给出了个人信息安全影响评估的基本原理、实施流程，适用于各类组织自行开展个人信息安全影响评估工作，同时可为主管监管部门、第三方测评机构等组织开展个人信息安全监督、检查、评估等工作提供参考[4]。《PIA评估指南》指出，个人信息安全影响评估旨在发现、处置和持续监控个人信息处理过程中对个人信息主体合法权益造成不利影响的风险[5]，从个人信息主体、开展影响评估的组织、主管监管部门、开展影响评估的组织的合作伙伴不同角度，评估报告的用途各有侧重和不同。对于开展PIA评估的组织而言，评估报告可以在产品、服务或项目的规划阶段用于确保在产品或服务的设计中充分考虑并实现个人信息的保护要求；可以在产品、服务或项目的运营过程中用于判断运营的内外部因素、法律法规是否发生实质变更，是否需要对影响评估结果进行审核和修正；可以用于建立责任制度，监督发现存在安全风险的个人信息处理活动是否已采取安全保护措施，改善或消除已识别的风险；可以用于提升内部员工的个人信息安全意识等用途。因此，从企业合规治理的层面而言，即使企业的个人信息处理场景并不属于法定需要开展PIA评估的情形，但企业亦可参照PIA评估操作的基本原理和流程上的指导，自行对具体业务场景下进行合规风险的评估和分析，并根据评估的结果采取相应的措施，以减少可能存在的风险。

《安全规范》2020对个人信息控制者提出了“建立个人信息安全影响评估制度，评估并处置个人信息处理活动存在的安全风险”的基本要求[6]，针对不同的业务场景，也分类详细提出需要进行PIA评估的要求，例如：个人信息控制者在基于不同业务目的所收集个人信息的汇聚融合时，需要开展PIA评估[7]；对于业务运营所使用的信息系统具备自动决策机制且能对个人信息主体权益造成显著影响的个人信息控制者，特别要求在其规划设计阶段或首次使用前、在使用过程中定期（至少每年一次）开展PIA评估[8]；针对委托处理、信息共享、转让或公开披露个人信息的情形，也需要开展相应的PIA评估，根据评估结果采取相应的措施[9]；同时，《安全规范》2020还要求，在法律法规有新的要求时，或在业务模式、信息系统、运行环境发生重大变更时，或发生重大个人信息安全事件时，应重新进行PIA评估[10]。

《个人信息保护法》第55条明确指出，有以下五种情形之一的，个人信息处理者应当事前进行PIA评估，并对处理情况进行记录，具体包括：处理敏感个人信息；利用个人信息进行自动化决策；委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息；向境外提供个人信息；及其他对个人权益有重大影响的个人信息处理活动。前四种情形在业务模式触发时就需要进行PIA评估，而关于“其他对个人权益有重大影响的个人信息处理活动”，《个人信息保护法》则留出了解释和执行的灵活空间。

虽然《安全规范》2020（2020年10月1日实施）、《PIA评估指南》（2021年6月1日实施）实施在先，《个人信息保护法》生效在后（2021年11月1日生效），且部分名词发生了变化（例如《安全规范》2020与《PIA评估指南》规定的是个人信息控制者，《个人信息保护法》规定的是个人信息处理者），但不可否认的是，在《个人信息保护法》正式生效施行后，实践中仍将《安全规范》2020、《PIA评估指南》作为个人信息保护的最为主要和重要的参考。因此，就《个人信息保护法》第55条规定的PIA评估法定情形之“其他对个人权益有重大影响的个人信息处理活动”，可以进一步参考《PIA评估指南》评估性合规的示例列举的情形，即在处理个人敏感信息、使用自动化决策方式处理个人信息、委托处理个人信息、向第三方转让或共享个人信息、公开披露个人信息、向境外转移个人信息、个人信息处理目的变更、个人信息匿名化和去标识化效果以及确定个人信息安全事件处置方案时，进行相应PIA评估[11]。

此外，《PIA评估指南》提出，在开展可能涉及对个人信息主体权益影响及高风险的个人信息处理活动前，也应进行PIA评估，具体包括[12]：

诚然，《安全规范》2020及《PIA评估指南》仅为国家推荐性标准，并非强制性的法律法规，但其作为《个人信息保护法》的支撑和实施抓手，具有较强的参考价值。因此，在未有更进一步关于PIA评估实施的法律、法规、标准出台前，《PIA评估指南》对于企业及实施PIA评估的相关人员，均可视为开展评估工作的有效参考指引，企业也可以根据《PIA评估指南》的各项要求，更有针对性地落实企业合规建设。接下来，笔者将从《PIA评估指南》的相关要求，聊聊如何进行PIA评估。

根据《PIA评估指南》的规定，个人信息安全影响评估可以分为个人信息控制者自行发起对其个人信息处理行为的自评估和个人信息控制者的上级机构组织或由国家职能部门依法开展的检查评估两种[13]。自评估可以由个人信息控制者组织专门负责评估、审计的部门开展，也可以委托外部专业机构开展评估工作；而检查评估也可以委托外部评估技术服务支持，外部机构的评估结果应对检查机构负责。

需要注意的是，《PIA评估指南》要求“评估人”作为评估责任主体，根据其定义，评估人是指企业确认并任命负责进行个人信息安全影响评估的人员，由其负责个人信息安全影响评估工作流程的制定、实施、改进，并对个人信息安全影响评估工作结果的质量负责，因此，该等评估人并不局限于《个人信息保护法》项下的个人信息保护负责人或数据安全法项下的数据安全负责人。尽管通常情况下，企业内部由法务部门、合规部门或信息安全部门牵头执行PIA评估工作，但企业也可以根据实际情况委托外部独立第三方来承担具体的PIA评估工作。

《PIA评估指南》在第五章“评估实施流程”一节，详细说明了PIA评估的流程，包括评估必要性分析、评估准备工作、数据映射分析、风险源识别、个人权益影响分析、安全风险综合分析、评估报告、风险处置和持续改进和制定报告发布策略9个部分。根据前述工作内容，又可以分为评估准备时期、评估执行时期、评估报告后期。

1. 评估准备时期

首先，根据企业的个人信息安全目标和实际业务需要，进行评估必要性的分析，判断是否需要启动该等评估。确有必要进行PIA评估的，企业可以着手进行评估工作的准备，即根据企业的实际情况组建评估团队及制定评估计划。在这一环节，企业需综合考虑评估对象及评估范围、评估团队的构成、与评估相关的其他相关主体（如员工、消费者、个人信息主体、外部服务商等）等多方面因素。

2. 评估执行时期

PIA评估执行流程可分为以下四个阶段：

（1）数据映射分析阶段，需要企业结合个人信息处理的具体场景，对个人信息收集、存储、使用、转让、共享、删除等环节涉及的个人信息类型、处理目的、具体实现方式等，以及个人信息处理过程涉及的资源（如内部信息系统）和相关方（如企业、平台运营者、外部服务商等第三方合作机构）进行调研，并将调研结果应用于后续影响分析和风险评价。

（2）个人权益影响分析阶段，需要企业结合相关法律、法规、标准的要求或企业自定义的个人信息安全目标，分析个人信息处理活动全生命周期或特定处理行为、以及个人信息泄露、毁损、丢失、滥用等对个人权益可能产生的影响，审视是否存在侵害个人信息主体权益的风险[14]。

（3）安全措施分析阶段，企业应分析已实施的安全措施、相关方、处理规模等要素，评价安全事件发生的可能性等级，并评估现有安全措施是否已足够应对可能产生的安全事件[15]。

（4）确定风险阶段，企业综合分析对个人权益影响的程度以及安全事件发生的可能性等级两方面的影响级别，得出“低、中、高、严重”四级风险等级的判定[16]。

3. 评估报告时期

根据评估工作的开展情况，评估小组最终将形成评估报告，并将其作为PIA评估的最终工作成果之一[17]。《PIA评估指南》要求，评估报告的具体内容应包括个人信息保护专员的审批页面、评估报告适用范围、实施评估及撰写报告的人员信息、参考的法律、法规和标准、个人信息影响评估对象(明确涉及的个人敏感信息)、评估内容、涉及的相关方等，以及个人权益影响分析结果，安全保护措施分析结果、安全事件发生的可能性分析结果、风险判定的准则、合规性分析结果、风险分析过程及结果、风险处置建议等。

如何评判在什么时点触发怎样的PIA评估？如何将PIA评估对企业业务正常运转的影响尽可能降低？如何设置合理高效的PIA评估体系和制度？如何选择PIA评估的实施主体？是选择在企业内部增设专门负责评估、审计的部门，还是委托外部专业机构？实践中，企业的业务场景往往纷繁复杂，这些问题都是法规和指南无法直接回答的实操性问题，需要企业结合自身实际情况予以判断。无论是企业本身、企业合规人员还是外部专业人员，在进行PIA评估的过程中，可以说仍处在探索和磨合的阶段。

在企业开展PIA评估的过程中，由于各企业的业务场景千差万别，即使是类似的业务场景，也可能因企业规模和管理方式的不同，从而影响PIA评估实施方式。结合曾经参与PIA评估的实践经验，笔者遇到的困扰主要来源于PIA评估项目本身以及开展PIA评估的企业内部沟通协调两方面：

按照PIA评估的相关要求，在企业的某一项业务中，可能就会同时涉及多个需要进行PIA评估的场景，如果按照要求，对每一待评估的场景逐一从准备时期开始进行PIA评估流程的，势必会花费大量人力和精力，同时在评估流程中还可能产生对同样信息的反复索取，造成业务部门的反感，影响PIA评估项目的推进；但若仅使用在该业务的某一特定场景中获得的信息，又有可能产生遗漏或不适用于其他场景评估的风险。

此外，PIA评估所涉内容繁杂一直为评估人员所困扰，例如，部分企业基于其业务特点，业务中涉及海量用户的个人信息等数据，导致数据映射分析阶段所需进行评估人员需调研的数据量非常可观，且整个PIA评估项目中评估人需要整理、关注和分析的数据内容也相当繁多。

因此，企业需要根据业务的具体情况，针对不同PIA评估的侧重，梳理适合具体PIA评估项目的关注重点，并设计相应的问卷、检查、测试的方向，合理利用同一业务场景下可以重复适用在不同PIA评估的问卷及答复，避免重复评估或缺漏。企业在梳理数据映射分析的结果时，需根据数据的类型、敏感程度、收集场景、处理方式、涉及相关方等要素，对个人信息处理活动进行分类，并描述每类个人信息处理活动的具体情形，以便于后续影响分析和风险评价活动的开展。

值得关注的是，在医疗、互联网等经常需要开展PIA评估的行业，部分企业也开始尝试使用智能化、自动化的PIA评估系统进行PIA评估。在这一模式下，员工仅需在填写由行业专业人员及数据合规领域的专家定制的专业的评估模板和评估问卷，通过系统内先行设置关键词、关键场景触发机制，由人工智能等技术进行自动评估，并生成评估报告，识别并提示企业存在的风险，帮企业建立符合法律法规要求的合规体系。随着智能算法不断发展，智能PIA评估系统或许也将成为企业PIA评估的得力帮手。然而，采用自动化PIA评估也可能同时带来新的数据合规问题，自动化评估的过程中，可能涉及相关数据的收集、存储、委托处理等多个环节，同样需要满足《个人信息保护法》《数据安全法》等一系列个人信息及数据安全相关的监管要求。因此，企业在选择使用PIA评估系统时也需要多加考量。

PIA评估项目执行过程中，往往由合规部门（法务部门居多）牵头，企业行政办公室、 IT部门、具体业务场景下所涉及的业务部门等同时介入。不同部门在企业日常运营过程中的角色定位和处事立场往往不同，在PIA评估项目执行过程中的配合程度亦有差别。在企业日常运营过程中，业务部门可能与合规部门缺少沟通，仅在业务合同签约审核时才有对接；而IT部门在与合规部门对接时，可能各自对于专业术语的理解和表述存在较大偏差。于是，一些困扰由此产生，例如有时合规部门对业务部门的具体业务场景仅限于书面理解或并不掌握，因此在与PIA评估的外聘律师沟通时无法准确表达；有时合规部门会存在仅承担“传声筒”的尴尬角色，只“帮问帮答”无主动参与，或者告知外部评估人员直接与企业技术专员或业务人员对接而不协助对接；更有时，在外聘律师将相关问题提交企业合规部门进一步收集资料和反馈信息时，技术部门、业务部门的答复意见可能因为多次转手传声而导致在书面问卷时和当面访谈时所获得的反馈出现矛盾不一致的情况，从而耗费大量的时间和精力用于反复确认。

对此，建议企业在PIA评估过程中务必明确各部门分工及职责，建立企业内部的PIA评估管理机制，要求参与书面问卷和当面访谈的相关人员认真反馈并签字确认，增加参与部门和相关人员的工作使命感和责任感，必要时可作为其工作考评的重要组成部分。同时，也建议合规部门、业务部门、技术部门等PIA评估所涉及的企业各部门在日常运营过程中保持积极沟通，相互理解支持并且互相学习请教，共同协力构建企业的合规体系建设。

随着个人信息保护的不断完善和监管力度的逐渐加强，企业开展PIA评估已经成为必然。随着业务场景的不断增加和复杂化，企业应当提升合规意识，尽早准备，主动进行评估，并根据评估的结果，关注重点风险，完善产品及服务，减少安全事件的发生及不利影响。

[1] GB/T 35273-2017《信息安全技术个人信息安全规范》第3.8条。
[2] GB/T 35273-2020《信息安全技术 个人信息安全规范》第3.9条。
[3] 《儿童个人信息网络保护规定》第16条规定：“网络运营者委托第三方处理儿童个人信息的，应当对受委托方及委托行为等进行安全评估，签署委托协议，明确双方责任、处理事项、处理期限、处理性质和目的等，委托行为不得超出授权范围”；第17条规定“网络运营者向第三方转移儿童个人信息的，应当自行或者委托第三方机构进行安全评估”。
[4] GB/T39335-2020《信息安全技术个人信息安全影响评估指南》第1条。
[5] GB/T39335-2020《信息安全技术个人信息安全影响评估指南》第4条。
[6] GB/T 35273-2020《信息安全技术 个人信息安全规范》第11.4条。
[7] GB/T 35273-2020《信息安全技术 个人信息安全规范》第7.6条。
[8]GB/T 35273-2020《信息安全技术 个人信息安全规范》第7.7条。
[9] GB/T39335-2020《信息安全技术个人信息安全影响评估指南》第9.1、9.2、9.4条。
[10] GB/T39335-2020《信息安全技术个人信息安全影响评估指南》第11.4条。
[11] GB/T39335-2020《信息安全技术个人信息安全影响评估指南》附录A。
[12] GB/T39335-2020《信息安全技术个人信息安全影响评估指南》附录B。
[13] GB/T39335-2020《信息安全技术个人信息安全影响评估指南》第4.3.6条。
[14] GB/T39335-2020《信息安全技术个人信息安全影响评估指南》附录C.4《安全风险评估及整改措施表》，企业可从“限制个人自主决定权”、“引发差别性待遇”、“个人名誉受损或遭受精神压力”、“人身财产受损”等四个维度，判断个人信息处理活动对个人权益的影响。
[15] GB/T39335-2020《信息安全技术个人信息安全影响评估指南》附录C.3《安全事件可能性分析表》，企业应从“网络环境和技术措施”、“参与人员与第三方”、“个人信息处理流程”、“业务特点和规模及安全态势”四方面分析个人信息安全事件发生的可能性。
[16] GB/T39335-2020《信息安全技术个人信息安全影响评估指南》附录D。
[17] GB/T39335-2020《信息安全技术个人信息安全影响评估指南》第4.3条。
[18] GB/T39335-2020《信息安全技术个人信息安全影响评估指南》第5.8条。