德恒探索

个人信息安全评估十情景五豁免

2021-06-23


微信图片_20210624101912.png


笔者之前撰写了《个人信息安全影响评估—被严重低估的价值》(以下简称《价值》),文中分析了个人信息安全影响评估的触发条件,用表格的方式全景呈现之后,发现这些触发条件的规定散落在各个法律文件之中,包括了《网络安全法》、《儿童个人信息网络保护规定》、《互联网个人信息安全保护指南》、《个人信息保护法(草案)》等文件,文件从不同的监管视角对个人信息处理者提出其开展风险评估具体的强制性要求。因此,本文在《价值》一文的基础上,化繁为简,直观地整理出个人信息安全评估的十种情景和五种豁免的情景。


同时,为进一步落实个人信息评估问题,国家市场监管总局、国家标准化管理委员会发布《个人信息安全影响评估指南》(GB/T39335-2020,下称:《指南》),并于2021年6月1日正式实施。《指南》细化了《个人信息保护法(草案)》中的原则性规定,并明确了评估的定义和价值,为企业开展个人信息安全评估工作提供了实操指引。


下文我们就先从《指南》中定义的什么是个人信息安全影响评估出发,分析为何要做评估,再到触发评估的十种情景列举,最后明确评估主体。


一、定义:什么是个人信息安全影响评估?


根据《指南》,个人信息安全影响评估是指,检验个人信息处理活动的合法合规,判断对个人信息主体可能造成的风险,在企业现阶段保护措施的基础上评估各类措施的有效性。


二、价值:为什么要做个人信息安全影响评估?


对企业而言,评估工作可以规范组织日常经营管理活动,及时识别风险和保护措施的漏洞,将事后补救的工作前置预防阶段,一来可以减少管理和合规成本,评估成果也可在监管和调查过程中发挥重要作用;二来可以重塑企业形象,为企业赢得良好的知名度和美誉度。


对于个人信息主体而言,其是被保护的重心所在。个人信息安全评估报告可助其了解个人信息将如何被处置、保护,供其判断是否存在任何风险,在“数据透明”的时代下保障个人对个人信息数据的知情权。


对监管机构而言,在处理个人信息安全相关投诉、开展相关事件调查时,评估报告可作为其开展工作的重要参考,甚至将此作为处罚幅度确定的裁量要素。


三、强制评估十情景:个人信息安全影响评估


触发个人信息安全影响评估的条件有哪些?答案目前散见于各个法律法规以及文件中,让处理数据的企业无所适从,我们分析整理所有相关法律文件中的规定,明确以下十种情景被强制要求需要进行个人信息安全评估。


情景1:处理个人敏感信息


所谓“敏感信息”是指一旦泄露或者非法使用,可能导致个人受到歧视或者人身、财产安全受到严重危害的个人信息,如身份证号码、电话号码、指纹、人脸等信息。


《个人信息保护法(草案)》第29条第2款。


情景2:自动化决策


利用个人信息自动化决策且对个人信息主体权益造成显著影响的。如某宝获取用户位置、消费能力、使用软件时长等信息,给用户精准推送产品等,还比如软件根据个人信息决定个人征信及贷款额度等。


《GB/T35273—2020信息安全技术个人信息安全规范》第7.7条。


情景3:委托第三方处理


委托他人处理自身收集的个人信息。即满足授权同意的前提下,自身不具备信息处理能力或与外部第三方进行合作时,委托其他技术团队等为其处理信息。


《互联网个人信息安全保护指南》第6.5条、《GB/T35273-2020信息安全技术个人信息安全规范》第9.1条。


情景4:向第三方提供


向第三方提供个人信息的情形是自身收集信息之后,提供给其他人使用,不论是有偿还是无偿。


《个人信息保护法(草案)》第54条。


情景5:公开个人信息


个人信息原则上不得公开,除非经过法律授权或者具备合理是由需要公开个人信息。


《互联网个人信息安全保护指南》第8.4条。


情景6:向境外提供个人信息


一般情况下,应当在境内收集和产生的信息存储在境内,向境外提供时原则上应当经过国家网信部门组织的安全评估。


《网络安全法》第37条、《个人信息保护法(草案)》第38条。


情景7:数据共享、转让


数据共享:是指与数据处理企业以外的任何企业、组织和个人分享用户的个人信息。如某打车软件,为了提供地图服务与某导航软件进行用户信息共享。


数据转让:是指数据处理企业将用户的个人信息以有偿或无偿的方式转让给任何企业、组织和个人。如某征信企业,将其收集到用户征信信息转让给某贷款企业。


《互联网个人信息安全保护指南》第6.6条、《GB/T35273—2020信息安全技术个人信息安全规范》第9.2条


情景8:数据融合


所谓数据融合:是指将不同来源的数据进行整合来获得更高质量的信息。如电商平台公司除了提供传统的电商平台服务,还通过平台向用户提供金融服务,为了提供更精准的服务,电商平台公司将两条产品线的数据库打通,根据用户的消费能力和消费习惯来调整贷款额和利息。


《GB/T35273—2020信息安全技术个人信息安全规范》第7.6条。


情景9:接入SDK


接入第三方产品时的APP开发者和第三方产品开发者。接入SDK(辅助开发某一类应用软件的相关文档、范例和工具的集合)收集个人信息前需要对第三方 SDK进行安全性评估,不仅如此,SDK提供者在发布上线前,也应进行安全评估。


《GB/T35273—2020信息安全技术个人信息安全规范》第9.7条、《网络安全标准实践指南—移动互联网应用程序(App)中的第三方软件开发工具包(SDK)安全指引(征求意见稿)》第4.1条、第4.2条。


情景10:向第三方转移儿童个人信息


网络运营者向第三方转移儿童个人信息的,应当自行或者委托第三方机构进行安全评估。


《儿童个人信息网络保护规定》第十七条。


四、豁免评估五条件:仅以下情况可豁免


针对上述列举的触发强制评估的十种情形中,《数据安全管理办法(征求意见稿)》第27条规定了仅限于以下五种情形可构成豁免。


情景1:从公开渠道收集信息且不违背个人信息主体意愿。

情景2:个人信息主体主动公开。

情景3:将经过匿名化处理的个人信息提供给他人。

情景4:执法机关依法履行职责所必需。

情景5:维护国家安全、社会公共利益、个人信息主体生命安全所必需。


五、谁来做个人信息安全影响评估?


根据《指南》,企业可以根据自身情况自行开展个人信息安全影响评估工作,也可聘请外部独立第三方开展合规工作。若企业内部组织架构不完善、部门之间尚不完全独立,建议委托外部第三方机构(如律师事务所、安全技术机构、咨询 公司等)进行独立且专业的评估。第三方机构开展个人信息安全评估时就更加中立,并对评估过程中发现的问题对症下药,提供合规解决方案,降低企业被下架、约谈、整改的风险,保障相关企业的持续运营。


本文作者:

image.png

image.png



声明:            

本文由德恒律师事务所律师原创,仅代表作者本人观点,不得视为德恒律师事务所或其律师出具的正式法律意见或建议。如需转载或引用本文的任何内容,请注明出处。

相关搜索

手机扫一扫

手机扫一扫
分享给我的朋友