观韬视点 | 车联网典型场景开展个人信息保护影响评估建议
作者:王渝伟 朱敏婕
前言:《中华人民共和国个人信息保护法》(以下简称“《个保法》”)自2021年11月1日正式实施以来已满一周年,在这期间,用户的个人信息保护意识正在逐步增强,市场上也逐步建立起完善个人信息保护的各项制度、落实相应责任。其中《个保法》第五十五条正式确定了个人信息处理者开展个人信息保护影响评估(以下或称“PIA”)的义务,同时第五十六条规定了个人信息保护影响评估的内容和保存记录要求。
随着汽车智能化、网联化的程度不断加深,车联网产业融合了汽车电子、信息通信、道路交通、人工智能等诸多领域的产业形态,必然导致车联网产业链的参与主体多样,数据处理场景多样,数据来源复杂多样,这给车联网相关企业开展PIA带来了重重挑战。本文拟对车联网典型场景下如何落实PIA进行梳理分析,并结合业务实践提出可落地的实践建议,以期给车联网企业开展PIA工作提供一些思路,以供探讨。
一、车联网企业开展PIA的重要性
车联网企业涉及众多处理个人信息的场景,必然产生许多触及用户个人权益的处理行为,《个保法》第五十五条规定的PIA场景包括:处理敏感个人信息,进行自动化决策,委托处理、对外提供、公开个人信息以及向境外提供个人信息的场景,此外可能还涉及如“基于不同业务目的将所收集个人信息进行汇聚融合”,“产品或服务发布前,或业务功能发生重大变化”,“法律法规有新的要求时,或在业务模式、信息系统、运行环境发生重大变更”,“发生个人信息安全事件后”等场景,此类场景均可能对用户的个人权益产生重大影响,也可以被理解为《个保法》第五十五条兜底条款“其他对个人权益有重大影响的个人信息处理活动”。
1、避免安全事故,防范声誉风险
复杂的个人信息处理活动对车联网企业的网络安全治理程度、数据安全保障制度提出了更高的要求,也使数据处理企业面临着更高的数据安全风险,一旦企业发生安全事故,那么对个人权益的影响将会非常严重。因此,企业持续开展PIA有利于企业及时识别风险,不间断修正安全控制措施,避免安全事故,防范声誉风险。
2、控制合规风险,保障合规运营
同时,PIA是《个保法》对个人信息处理者的强制合规要求,企业开展PIA后存留的PIA报告和记录是企业合规留痕的重要证明,可用于证明企业履行了个人信息保护和数据安全等方面的合规义务。如发生个人信息安全事件,PIA记录文档也可以用于证明企业已经主动进行风险评估并采取了一定的安全保护措施,有助于减轻甚至免除相关责任,保障企业合规稳定运营。
二、PIA的基本流程
根据《个保法》第五十六条规定:“个人信息保护影响评估应当包括下列内容:(一)个人信息的处理目的、处理方式等是否合法、正当、必要;(二)对个人权益的影响及安全风险;(三)所采取的保护措施是否合法、有效并与风险程度相适应。”该内容可以作为在开展PIA并进行风险等级评估时的主要评判内容。然而《个保法》未进一步规定开展PIA的流程,笔者建议可以参考2020年发布的《信息安全技术 个人信息安全影响评估指南》(以下简称“《指南》”),其中《指南》为如何开展PIA提供了比较具体的方法论和指引。而《指南》的发布时间早于《个保法》,两者对PIA的相关规定并不完全一致,因此在实践中,笔者建议以《个保法》的规定为主要核心评估依据,对于评估的流程以及《个保法》中没有规定的内容可以参考《指南》的相关规定。
依据《指南》,PIA基本流程可分为评估必要性分析阶段、评估准备阶段、评估阶段以及评估报告和保障阶段(参见图一)。
图一:《指南》PIA基本流程
三、车联网企业PIA典型场景及评估实操分析
根据《个保法》和《指南》的相关规定,结合上文所述的PIA基本流程,相关企业可以按照基本流程来展开。然而进入评估阶段,《指南》对评估的内容提出了较多需要关注的要素,相关企业在对具体的PIA场景开展评估时将会难以下手,应当如何落实“数据映射分析”、“风险源识别”阶段的具体内容,成为了企业在PIA评估实际落地可能遇到的难题。《个保法》和《指南》中仍然缺乏更细致具体的操作指导,加之两者在对开展PIA的评估维度不一样,在实践中如何结合两者并将具体的操作流程落地便成为了众多从业者的难题。
因车联网企业涉及的PIA典型场景较多,并且场景也较为复杂,本文结合实践经验,选取车联网相关企业“处理敏感个人信息”、“对外提供和委托处理”作为典型场景,具体分析探讨如何落地实施PIA评估阶段的“数据映射分析”、“风险源识别”。
(一)典型场景一:车联网场景下的敏感个人信息处理
1、数据映射分析阶段的实践建议
首先,车联网相关企业涉及的敏感个人信息处理场景相对较多,因此车联网下敏感个人信息的数据映射分析就是一项细致且重要的工作,具体而言就是对敏感个人信息的处理场景进行全面调研后形成清晰的数据清单及数据映射图表。
那车联网企业处理的敏感个人信息包括哪些呢?《汽车数据安全管理若干规定(试行)》对敏感个人信息的定义为一旦泄露或者非法使用,可能导致车主、驾驶人、乘车人、车外人员等受到歧视或者人身、财产安全受到严重危害的个人信息,包括车辆行踪轨迹、音频、视频、图像和生物识别特征等信息。具体到车联网场景下,我们可以看到《汽车采集数据处理安全指南》中指出,汽车采集的数据包括车外数据、座舱数据、运行数据和位置轨迹数据。其中座舱数据可能包含驾驶员和乘员的人脸、声纹、指纹、心律等敏感个人信息,车外数据也可能包含人脸等敏感个人信息。此外,从用户数据的视角,无论是个人车内活动数据还是驾驶活动数据都可能包含大量敏感个人信息(参见图二)。
图二:车联网数据分类
明确敏感个人信息的具体范围后,便可开始进行敏感个人信息的梳理,形成数据清单。如果相关企业已经根据相关法律法规规定做好数据分类分级工作,那么基本已经可以梳理出敏感个人信息的数据清单,再逐一按场景进行数据映射。如相关企业尚未开展数据分类分级工作,那么形成清晰的敏感个人信息数据清单及数据映射图表可能存在一定难度。笔者建议,企业在尚未进行完整的数据分类分级工作之前,可以先分类或分场景逐一梳理出敏感个人信息的数据清单,打好基础后方可形成数据映射,也可为后续的PIA工作提供支撑。
2、风险源识别阶段的实践建议
风险源识别主要是是为了分析个人信息处理活动面临哪些威胁源,以及是否缺乏足够的安全措施,从而判断发生个人信息安全事件的可能性,导致这些可能可能性的要素既包括技术方面的也有管理层面的。《指南》中提供了评估时需要关注的要素,分为:网络环境和技术措施、个人信息处理流程、参与人员和第三方、业务特点和规模及安全态势。但实践中如按照《指南》的评估要素逐一评估,操作上将非常繁琐,如果仅仅从企业合规视角来看会大大增加企业的评估时的投入,因此实际操作具有较大难度。
笔者认为,为了保证可操作性,风险源识别可从识别合规义务风险点的角度出发并辅助核查《指南》提出的关注要素,最后综合分析判断安全风险威胁源以及所采取的保护措施的合法有效性,这样既能覆盖个保法的合规要求,同时也能兼顾安全视角的需要,使PIA流程更具有实践操作性以及有效性。我们建议企业可以首先梳理出处理敏感个人信息的合规义务形成义务清单,再通过合规差距分析从而识别合规风险点。
考虑到处理敏感个人信息对个人信息主体的权益影响较大,除了按《个保法》第五十六条规定的三项评估内容梳理出对应的合规义务外,还需要注意《个保法》对处理敏感个人信息规定的特殊合规义务,如:(1)就敏感个人信息处理活动取得个人的单独同意;(2)向个人告知处理敏感个人信息的必要性以及对个人权益的影响;(3)处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意;处理不满十四周岁未成年人个人信息的,应当制定专门的个人信息处理规则。
(二)典型场景二:车联网场景下的对外提供和委托处理
1、数据映射分析阶段的实践建议
车联网产业链复杂且参与主体多样,车企可能涉及的第三方合作商包括:汽车经销商、零部件供应商、授权合作商、车联网服务供应商、软件供应商、充电桩运营方、充电服务提供商、电信运营商、汽车租赁 / 共享公司、车队管理商、保险公司、互联网平台、维修机构合作方等等,相关企业在针对对外提供或委托处理的场景开展PIA时,同样会在数据映射分析阶段遇到难题。具体而言,不论是对外提供亦或是委托处理,在数据映射分析阶段都要形成清晰的数据清单及数据映射图表。也就是说,相关企业第一步需要梳理出哪些个人信息被委托处理、哪些个人信息进行了对外提供。
厘清与第三方合作商之间的个人信息处理关系是企业在该阶段工作中的难点。同时我们也看到,企业在梳理与第三方合作商的个人信息共享清单中大多数时候并没有特别区分或者说很难区分双方之间的关系到底是委托处理还是对外提供,当一项业务涉及多个参与主体时企业更难以区分。那么相关企业应当如何厘清与第三方合作商之间的个人信息处理关系呢?根据《个保法》的规定来看,区分个人信息的委托处理和对外提供,核心的判断标准是看第三方是否成为个人信息处理者。第三方基于相关企业的委托进行某些个人信息的处理活动,第三方本身没有处理个人信息的目的和需求,不作为个人信息处理者,那么该第三方为受托处理者,双方为个人信息委托处理的关系。反之,第三方基于自身的需求和特定目的需要从相关企业处获取部分个人信息,那么该第三方即为个人信息处理者,双方为个人信息对外提供的关系。当然实际业务中的情况往往比预想中的复杂,过往业务中企业实际上也没有意识一开始合作时就对双方在个人信息处理上的关系进行界定,比如通过合同进行约定。因此,在处理每个具体场景时,均应结合双方之间的合作模式、数据的处理情况等方面具体情况分析判断。
2、风险源识别阶段的实践建议
正如上文所述,风险源识别阶段可以采取从识别合规义务风险点的角度出发并辅助核查《指南》提出的关注要素的方式进行。而在进行合规义务清单梳理工作时,也需要注意《个保法》对于不同的法律关系,相关企业作为个人信息处理者应当履行的合规义务是不一样的,因而合规义务清单也是不一样的,应当分别梳理。
在个人信息委托处理关系中,除了按《个保法》第五十六条规定的三项评估内容梳理出对应的合规义务外,还需要注意《个保法》规定的关于个人信息委托处理的特殊合规义务,如:(1)个人信息处理者应当与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等,并对受托人的个人信息处理活动进行监督;(2)受托人应当按照约定处理个人信息,不得超出约定的处理目的、处理方式等处理个人信息,未经同意不得转委托;(3)委托合同不生效、无效、被撤销或者终止的,受托人应当将个人信息返还个人信息处理者或者予以删除,不得保留。(4)受托人应当采取必要措施保障所处理的个人信息的安全。
在个人信息对外提供的关系中,除了按《个保法》第五十六条规定的三项评估内容梳理出对应的合规义务外,也需要注意《个保法》规定的关于个人信息对外提供的特殊合规义务,如:(1)应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意;(2)接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。
四、落实PIA 的现实路径
《个保法》提出在处理敏感个人信息,进行自动化决策,委托处理、对外提供、公开个人信息以及向境外提供个人信息等场景下均需要事前开展PIA,对于企业来说,甚至对数据处理场景较多的车联网相关企业来说,现下直接对每一个场景全部开展PIA并不现实,也不具有可操作性。
笔者建议,相关企业可考虑根据自身的具体情况,对业务所涉及的合规风险较大、对个人权益影响较大的场景先开展专项PIA,逐步落实合规义务。在完成重点场景的PIA后,可进一步分析PIA报告,摸索并确定企业开展PIA的阈值,以便指导后续开展PIA评估必要性的工作。
当然,PIA的全部流程中不乏专业的操作和分析过程,笔者也建议相关企业可以委托专业的第三方团队配合企业一起开展PIA工作,为企业提供专业化、定制化的指导和建议,从而达到事半功倍的效果。