个人信息安全影响评估——被严重低估的价值(上)
2021-05-12
引言:
随着信息技术的快速发展与广泛应用,人类社会步入数据化社会,个人对于自身数据及信息的保护意识日益加强,国内外对于网络安全与数据合规的立法及执法亦日渐趋严。尽管如此,但现今个人信息保护的局面依然不容乐观,互联网信息泄露事件频频被调查,如2020年,圆通快递员工利用员工账号和第三方非法工具共同窃取运单信息,以每日500元的价格租借给外部“黑产”团伙,致使圆通泄露40万条个人用户个人隐私信息,被上海网信办网安处等监管机构进行约谈,责令要求圆通公司认真处理员工违法违纪事件,做到信息对称、及时公开、正面应对,加快建立快递运单数据的管理制度[1]。
数据合规的关键在于事前防范,而事前防范的关键在于实施处理信息的行为前进行有效的个人信息安全影响评估。在近日发布的《个人信息保护法(草案)》中,就明确规定个人信息处理者在对处理敏感个人信息、利用个人信息进行自动化决策等行为时在事前进行风险评估。基于此,我国国家市场监督管理总局、国家标准化管理委员会于2020年11月19日正式发布并将于2021年6月1日起正式实施的《个人信息安全影响评估指南》(GB/T 39335-2020,以下简称“《指南》”),为指引企业有效开展个人信息安全影响评估提供了有效支撑。
对此,本文在重点分析《指南》的基础上,结合欧盟《数据保护通用条例》有关的处罚案例与监管要求,对个人信息安全影响评估的定义、必要性、触发机制及责任主体四个方面分为上下两个部分进行梳理,上篇主要介绍个人信息安全评估的现实意义,下篇针对《指南》的要求提出切实可行的措施,以期为各大数据企业个人信息合规提供借鉴及参考。
一、什么是个人信息安全影响评估?——个人信息安全影响评估定义
根据《指南》,个人信息安全影响评估(personal information security impact assessment),是指针对个人信息处理活动,检验其合法合规程度,判断其对个人信息主体合法权益造成损害的各种风险,以及评估用于保护个人信息主体的各项措施有效性的过程,旨在发现、处置和持续监控个人信息处理过程中对个人信息主体合法权益造成不利影响的风险。“个人信息安全影响评估”的同类别概念是《个人信息保护法(草案)》第五十四条提到的“风险评估”、《信息安全技术个人信息安全规范》提到的“安全评估”。
二、为什么要做个人信息安全影响评估?——以瑞典与中国人脸识别案为例
(一)案例分析:瑞典人脸识别案 vs. 中国人脸识别第一案
1. 瑞典《GDPR》处罚第一案:人脸识别案
2. 中国人脸识别第一案
无独有偶,我国近日也发生了一起人脸识别纠纷案件,被喻为中国“人脸识别第一案”。
2019年4月,郭兵与妻子向野生动物园购买双人年卡,并留存相关个人身份信息、拍摄照片及录入指纹。此后,野生动物园将入园系统从指纹识别升级为人脸识别,并告知包括郭兵在内的年卡消费者“未注册人脸识别的用户将无法正常入园,由此涉诉。
近日,该案在杭州市中级人民法院亦作出二审宣判。二审法院在一审判决野生动物园赔偿原告郭兵合同利益损失及交通费、删除郭兵办理指纹年卡时提交的包括照片在内的面部特征信息的基础之上,增加判决野生动物园删除采集的郭兵的指纹识别信息。
该案历时一年半,终于尘埃落定,但由于我国现阶段暂未将个人信息安全影响评估作为强制义务,本案更多地聚焦于个人信息收集的正当必要性原则;而欧盟GDPR则是将数据保护影响评估(DPIA)制度作为一项强制性义务,违反该项业务将会遭受到巨额罚款和其他严重后果[2],因而对于企业和组织而言杀伤力更甚。如果野生动物园在推行人脸识别前便做好个人信息安全评估,或许本案走向将全然不同。
(二)个人信息安全影响评估的现实意义
从上述案例中可以看出,进行有效的个人信息安全影响评估,有利于在开展个人信息处理前,准确识别可能导致个人信息主体权益遭受损害的风险,并据此采用适当的个人信息安全控制措施,确保对个人合法权益的不利影响的风险处于总体可控的状态。与《指南》不同的是,欧盟GDPR引入的数据保护影响评估(DPIA)制度作为一项强制性义务,违反该项业务将会遭受到巨额罚款和其他严重后果[3]。
不仅如此,个人信息安全影响评估对于企业组织、个人信息主体以及监管机构而言,还具备以下现实意义:
1. 对于企业组织
第一,有助于规范组织日常经营管理活动。《指南》提到在组织的日常活动中,组织可以通过评估识别既有体制下可能导致个人信息主体权益受损的风险,并据此采用适当的安全措施,此外,组织还需持续关注内外部因素的变化情况,持续修正已采取的安全措施,使得企业在个人信息保护方面处于动态合规的状况。具体表现在:(a)识别对个人权益造成的影响,安全风险和相关的责任;(b)为产品和业务设计阶段的个人信息保护理念落地提供支撑;(c)评审新上线信息系统在处理个人信息时的安全风险;(d)向个人信息主体提供加强个人信息安全的建议;(e)维护和更新信息系统新增功能可能对所处理个人信息安全的影响;(f)向相关方共享安全风险并采取风险处置措施;(g)向合规部门反馈证据。
第二,有助于减少管理和合规成本。评估报告除了在日常的经营管理中指导企业建立合规机制继而避免违规风险之外,评估形成的记录还可以在政府、相关机构的调查、执法中发挥重要作用,其可证明确实遵守了个人信息保护与数据安全等方面的法律、法规和标准的要求,有助于减轻、甚至免除涉及到的相关责任和名誉损失。在事前预防环节减少管理和合规成本。
第三,有助于建立与员工之间的信任关系。信任建立在透明的基础上,而个人信息安全影响评估是一项提倡开放式交流、共同认知及透明度的纪律性活动。执行个人信息安全影响评估流程的组织可以向其员工证明,组织将严肃对待个人信息保护问题,也期望他们能够采取相同的处理方式。此外,通过个人信息安全影响评估,组织还可以对员工进行个人信息保护教育,使之警惕可能导致组织受损的个人信息安全问题。
第四,有助于树立企业形象。恰当的个人信息安全影响评估还可以向组织的用户或民众证明,组织尊重他们的隐私并会回应他们所担忧的个人信息安全问题,用户或民众更倾向于信任执行个人信息安全影响评估的组织,有助于企业在公众面前树立良好的形象。
总而言之,个人信息安全影响评估通常被视为一种预警机制,它为组织提供一种安全风险发现方法,用于发现个人信息的处理过程中存在的安全风险,继而帮助组织在项目实际处理之前实施预防措施和专项保护措施,如果安全风险的影响非常严重且无法预防或保护,整个项目都可能被撤销。因此,个人信息安全影响评估有助于在早期识别个人信息安全问题,通过尽早考虑个人信息安全问题降低时间管理成本、法律费用以及潜在的媒体或公众担忧。
2. 对于个人信息主体
《指南》指出,评估报告对于个人信息主体而言,可以确保其了解个人信息被如何处置、如何保护,并使其能够判断是否有剩余风险尚未得到处置。
根据《指南》编制说明,个人信息安全风险评估最终关注的是个人信息处理行为对用户权益产生的影响,比如个人信息的不当处理可能危害个人人身和财产安全、损害个人名誉和身心健康、导致歧视性待遇等。
综上,《指南》及编制说明从直观的角度点出了组织开展个人信息安全评估对个人的直接影响。实际上,在数据时代,开展对于个人信息安全的评估更是对公民自由权的保障。个人信息的收集和处理相较于传统时代呈现出自动化与规模化的特点,企业和组织对个人生活进行干预的深度和广度都空前加强。个人在移动通讯终端留下的痕迹被一一记录,揭开电子屏幕,每个人都处于“数据透明”状态,个人丧失了对于信息自由的决定权。因此,了解个人信息往何处去、如何去,是实现公民知情权的表现,是实现公民自由权的保障。
3. 对于监管机构
《指南》指出,对于主管监管部门而言,其在处理个人信息安全相关投诉、调查个人信息安全事件等时,可以事先通过评估报告了解相关情况,或将报告作为相关证据。
不仅如此,《指南》是落实我国关于个人信息保护的各项法律法规的实践标准。根据《指南》的征求意见稿编制说明,“该标准是《个人信息安全规范》标准落地的有力抓手,是完善我国个人信息安全保护标准体系的关键环节。”“本标准适用各类组织自行开展个人信息安全影响评估工作。同时为国家主管部门、第三方测评机构等开展个人信息安全监管、检查、评估等工作提供指导与依据”。
作为推荐性国家标准,监管部门在执法过程中可以决定是否采纳,司法机关也可以将其作为裁判说理的依据,在某些情况下甚至产生强制性法律规范的效果。
参考文献:
[1] 北京日报,40万条个人信息泄露 圆通被约谈,2020年11月26日,http://finance.people.com.cn/n1/2020/1126/c1004-31945002.html
[2]崔聪聪,许智鑫.数据保护影响评估制度:欧盟立法与中国方案[J].图书情报工作,2020,64(05):41-49.
[3] 崔聪聪,许智鑫.数据保护影响评估制度:欧盟立法与中国方案[J].图书情报工作,2020,64(05):41-49.
本文作者:
声明:
本文由德恒律师事务所律师原创,仅代表作者本人观点,不得视为德恒律师事务所或其律师出具的正式法律意见或建议。如需转载或引用本文的任何内容,请注明出处。