个人信息安全影响评估——被严重低估的价值（下）

2021-05-13

上篇^[1]我们介绍了个人信息安全影响评估的具体含义，以及《个人信息安全影响评估指南》对于企业组织、监管机构以及个人的现实意义，对此，本篇将针对我国现行法律法规的梳理分析开展个人信息安全评估的触发条件，并对做个人信息安全评估的责任主体进行阐述，为企业组织有效识别是否应当在企业内部开展个人信息安全评估以及如何开展评估提供指引。

一、何时开展个人信息安全影响评估？——评估的触发条件

目前，我国对于开展个人信息安全影响评估的触发条件的规定散见于《网络安全法》《儿童个人信息网络保护规定》《互联网个人信息安全保护指南》等相关规定中，其针对数据出境及儿童个人信息处理等行为制定了零散的评估要求；而近日公布的《个人信息保护法（草案二次审议稿）》中，针对个人信息处理者提出其开展风险评估的具体要求。虽然正式法律尚未出台，但其透露出我国立法机构对于个人信息安全影响评估的高度重视^[2]。

而作为首部针对个人信息安全影响评估制定的推荐性国家标准，《指南》就评估原理及评估实施流程等作出细化规定，其虽不具备强制性法律效力，但对于企业组织开展个人信息安全监督、检查、评估等工作具备较高的参考价值。

对此，我们针对上述法律法规及国家标准及相关规定，就个人信息安全影响评估不同处罚机制进行如下梳理：

二、谁来做个人信息安全影响评估？——评估的责任主体

针对进行个人信息安全影响评估的责任主体，我国现行规定中分别界定为“网络运营者”^[3]（依据《儿童个人信息网络保护规定》第十六条、第十七条规定）、“个人信息控制者^[4]”（依据国家推荐性标准《信息安全技术 个人信息安全规范》第3.4条的规定）、“个人信息处理者^[5]”（依据《个人信息保护法（草案二次审议稿）》第七十二条的规定），虽尚未进行名词定义的统一，但不难看出认定责任主体的核心在于是否有能力决定个人信息处理的目的、方式。

而具体负责个人信息安全影响评估的责任部门，根据《指南》的要求，分为机构内部组织和委托的外部专家，企业的责任部门可根据部门的具体能力配备情况，选择自行开展个人信息安全影响的评估工作，也可聘请外部独立第三方来承担具体的个人信息安全影响评估工作。对于具体的产品、服务或者项目，由相应的产品、服务或项目的负责人确保个人信息安全影响评估活动的开展和顺利进行，并给予相应支持。

当企业选择自行评估时，每个企业都可以决定谁最适合协调和执行个人信息安全影响的评估流程。通常是由企业内部设立的法务部门、合规部门或信息安全职能部门来进行；但当企业自行组织评估时，主管监管部门和客户仍可另行要求独立审计来核证影响评估活动的合理性和完备性。

由此，对于内部组织架构尚不完善、部门之间尚不完全独立的企业而言，委托外部第三方机构进行评估是更好的解决路径，其本身的独立性、专业性既能保证评估过程和结果的中立性，又能在此基础上给企业提供进一步的合规方案。

三、结语

个人信息安全影响评估有助于企业减少对个人信息主体基本权利的侵害、加强对员工的个人信息安全教育及建立网络安全及数据合规机制。由于我国尚未针对个人信息安全影响评估制定单独的法律法规，较原则性的规定散见于各个法律法规和文件中。而《指南》提供了数据合规的切实参考，将成为企业在个人信息保护实践中的重要指引以及相关监管机构执法的参照。

根据相关法律法规及国家标准，当企业涉及处理敏感个人信息（含14岁以下儿童个人信息）、自动化决策、公开披露、数据处理、数据融合、接入第三方产品或进行其他对个人有重大影响的个人信息处理活动时，即触发个人信息安全影响评估机制，需要企业自行或委托第三方专业机构实施评估工作。

对于内部组织架构尚不完善、部门之间尚不完全独立的企业，建议委托外部第三方机构（如律师事务所、安全技术机构、咨询公司等）进行独立且专业的个人信息安全影响评估。第三方机构有助于更加中立的审视企业在个人信息安全保护中存在的问题，并针对相关问题提供进一步的合规解决方案，协助企业进行更为高效的评估工作，保障网络安全与数据合规。

参考文献：

[1]个人信息安全影响评估——被严重低估的价值（上）

[2]关于敏感个人信息的定义：《个人信息保护法（草案二次审议稿）》第二十九条规定：“敏感个人信息是一旦泄露或者非法使用，可能导致个人受到歧视或者人身、财产安全受到严重危害的个人信息，包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等信息。”；《信息安全技术个人信息安全规范》（GB/T 35273-2020）第3.2条中规定：“个人敏感信息是指一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。注1：个人敏感信息包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14岁以下（含）儿童的个人信息等。”

[3]《网络安全法》第七十六条：“网络运营者，是指网络的所有者、管理者和网络服务提供者。”

[4] 《信息安全技术 个人信息安全规范》第3.4条：“个人信息控制者，是指有能力决定个人信息处理目的、方式等的组织或个人。”

[5] 《个人信息保护法（草案二次审议稿）》第七十二条：“个人信息处理者，是指自主决定处理目的、处理方式等个人信息处理事项的组织、个人。”

本文作者：