《信息安全技术个人信息安全影响评估指南》征求意见稿
2018年6月13日,全国信息安全标准化委员会(以下称“信安标委”)在其官方网站正式发布关于国家标准《信息安全技术 个人信息安全影响评估指南》征求意见稿(以下称“《评估指南》”)征求意见的通知,面向社会广泛征集意见。《评估指南》响应了《网络安全法》(以下称“《网安法》”)推进网络安全风险评估体系建设的规定,是《信息安全技术 个人信息安全规范》(以下称“《个人信息安全规范》”)标准落地的有力抓手,也是完善我国个人信息安全保护标准体系的关键环节。
《评估指南》共包含“范围”、“规范性引用文件”、“术语”、“评估基本原理和框架”、“评估流程”、“评估实施”六个主要部分以及“个人信息安全影响评估参考方法”、“个人信息安全影响评估常用工具表”两份附录。其中,前三部分的内容十分简略,分别介绍了《评估指南》的适用范围,主要引用文件为《个人信息安全规范》,相关术语源于《个人信息安全规范》和《信息安全技术 术语》,其对个人信息安全影响评估的定义也与《个人信息安全规范》一致。后三部分则按照先总后分、从一般原理到实施细节的脉络详细规定了个人信息安全影响评估如何具体落实。《评估指南》作为《个人信息安全规范》的配套标准,借鉴了美、欧等国家和地区在个人信息安全影响评估方面最新的法律规定、制度设计、实践做法,以国内现有立法、行政法规、标准要求为出发点,具有重要指导意义。
具体规定
一、评估基本原理与框架
《评估指南》第四部分“评估基本原理和框架”主要介绍了评估价值、评估报告的使用对象、评估责任主体、评估规模、评估原理图、实施流程、评估活动方法、评估工作形式等内容。
在概述中,《评估指南》明确个人信息控制者必须在收集和处理个人信息前开展个人信息安全影响评估,完善了《个人信息安全规范》关于评估时间点的规定。评估价值是指实施个人信息安全影响评估可以达到的目的,如识别对个人权益造成的影响、评审新系统的安全风险、为个人信息主体提供建议、向合规部门反馈证据等。个人信息安全影响评估不仅是一种预警机制,能够为组织发现安全风险并落实预防措施,还可以协助组织在持续合规性审计或调查中证明其遵守了相关个人信息与数据保护法律、法规和标准要求,向员工和客户表明自身严肃对待个人信息保护的态度。评估报告的使用对象包括两部分内容,一是评估报告应当支持的功能,如提供个人信息安全风险清单、追踪可能存在个人信息安全风险的行为等;二是评估报告基于上述功能为个人信息主体、个人信息控制者、监管机构以及第三方合作者带来的帮助。
责任主体在《评估指南》中分为两类,一类是组织内部的安全职能部门,第二类是第三方客户组织或非政府组织。关于责任承担,应确保执行个人信息安全影响评估流程的责任首先应由负责保护个人信息的人员承担,或者由研发可能对隐私造成影响的新技术、服务或其他提案的项目经理承担。因此此处的责任人员和项目经理可以是《个人信息安全规范》项下的个人信息保护负责人,类似“首席数据官”、“数据保护官”等职位均可负责。负责具体评估的人员可选择自行执行评估、向组织内部和/或外部相关方寻求协助、将评估流程外包给独立第三方等方式开展评估或进行适当的搭配。关于评估规模,需要考察受到影响的个人信息主体范围和程度、个人信息的总量、类别、敏感程度、涉及个人信息主体的数量,能访问个人信息的人员等。针对中小企业实施评估的情形,《评估指南》建议把握适当的评估规模,由内部安全岗位人员或选取外部专家实施。
《评估指南》以图片形式对评估原理进行了说明,详情请见下图。从图中可知,个人信息安全影响评估以调研产生的数据映射分析报告为基础,在分析个人信息处理活动的前提下分别判定其对个人权益的影响程度和产生安全事件的可能性,两者结合最终确定风险级别。
评估原理示意图
《评估指南》介绍了三种基本评估方法:访谈、检查与测试,并对其定义与对象进行了详细的规定。评估工作的形式分为自评估与检查评估两种,前者由个人信息控制者自行发起或委托外部专业机构开展,后者则通过上级机构或国家职能部门依法开展。
二、评估流程
《评估指南》第五部分“评估流程”为组织开展评估提供了详尽的流程指引,包括从评估开始前的必要性分析及准备工作到最后评估报告的发布等各个阶段,内容十分具体。
在开展评估前,组织应当对其新的产品或服务的开发、启动、发布等环节是否需要开展评估进行必要性分析,根据2017年6月1日实施的《网络产品和服务安全审查办法(试行)》,若上述网络产品和服务关系到国家安全,还应当先开展安全审查。在确定需要开展评估后,组织应进行评估准备工作,该阶段工作包括组建评估团队、制定评估计划、确定评估对象和范围、相关方咨询。首先,组织需任命评估人,由其定义风险准则,评估人在制定风险准则时应着重考虑法律监管、行业准则及公司政策、具体应用预先决定等因素,同时回答包括评估对个人信息主体与组织影响程度标准、评估可能性标准、评估影响程度标尺、应对策略等在内的问题,以确保组织高级管理层认可该风险准则并能够认真审视个人信息安全风险。其次,评估计划在制定时应清楚规定完成评估需进行的工作、负责成员、计划表、咨询人员及方式等,评估人可根据实际执行成本向组织高级管理层申请或上调预算。再次,在确定评估对象和范围时应从三个方面进行描述:系统需求信息、系统设计信息、处理流程和程序信息。最后,需要咨询的相关方包括但不不限于员工、个人信息主体、消费者代表、分包商、业务合作伙伴等,《评估指南》还就咨询的具体方式、可能对相关方产生的影响进行了规定。
评估流程第5.3数据映射分析、5.4个人权益影响分析、5.5安全事件可能性分析分别对应了前述评估原理示意图上各部分内容,同时《评估指南》附录中也提供了相应图表作为参考。
对于数据映射分析,组织应在调研个人信息处理过程的基础上,形成数据清单和数据映射图表,该阶段的主要目的在于初步判定所处理的个人信息哪些属于个人敏感信息,根据《信息安全技术 公共及商用服务信息系统个人信息保护指南》,个人敏感信息包含身份证号码、手机号码、种族、政治观点、宗教信仰、基因、指纹等内容。调研范围涉及个人信息收集、存储、使用、对外提供、废弃等各个环节,还应当综合考虑系统数据合并、企业收购、并购及全球化扩张等情况。
对于个人权益影响分析,其过程一般分为三个阶段:弱点分析、问题确认与影响分析。第一阶段首先应当识别个人信息处理过程中可能存在的薄弱环节,如个人信息收集是否合法正当、从第三方获取的数据是否得到合法授权、收集个人信息是否遵循了最小必要原则等。在深入挖掘前一阶段发现的各个弱点的基础上,评估组织应当总结出违法违规处理个人信息的具体问题。最后,在个人权益影响分析阶段,组织应结合前两阶段的弱点分析与问题归纳结果,综合组织的个人信息处理活动各环节涉及的个人信息特征、敏感程度,分析上述弱点与问题对个人权益可能造成的影响及其严重程度。
对于安全事件可能性分析,鉴于个人信息安全事件的发生存在诸多原因,包括但不限于内外部威胁源、恶意性数据窃取、过失性数据泄露、物理及技术因素等,《评估指南》将与安全事件相关的要素归纳为四个方面:网络环境和技术措施、处理流程规范性、参与人员与第三方、安全态势及处理规模。评估组织可通过调研访谈、查阅支撑性文档、功能检查、技术测试等方式,对上述四个方面进行充分了解与综合评价,从而得出安全事件发生的可能性。一旦发生安全事件,评估组织应参照工信部《公共互联网网络安全突发事件应急预案》的要求,立即启动应急预案,向电信主管部门报告,说明事件发生时间、初步判定的影响范围和危害、已采取的应急处置措施和有关建议。
三、评估实施
《评估指南》第六部分“评估实施”包括合规性差距评估、典型个人信息处理活动影响评估、可能产生高风险的处理活动影响评估三部分。
对于合规性差距评估,《评估指南》将其划分为整体和局部两块,可理解为企业日常合规场景评估。在进行整体和局部合规性差距评估时,个人信息控制者应分析其个人信息处理活动及部分子活动与当前个人信息保护法律、法规、政策及标准间的差距,再根据具体差距按照《评估指南》第五部分内容落实评估工作。
对于典型个人信息处理活动影响评估和可能产生高风险的处理活动影响评估,《评估指南》就何种情形开展何种评估进行了细化,具体场景包括个人信息出境安全评估、个人信息处理目的变更前的影响评估、个人信息匿名化和去标识化效果评估、个人信息委托处理、转让、共享或公开披露前的影响评估和个人信息安全事件影响评估等。《评估指南》同时明确了可参考的因素和国家配套法规及标准。
结语
近年来,个人信息安全问题逐渐成为公众的关注焦点,据媒体报道,部分省市在低保、保障房等福利分配相关政务信息公开时涉及在个人信息泄露,多地高校公示信息时涉及受助学生个人隐私等,而今年年初的支付宝年度账单事件更是导致了公众对于互联网企业私自收集个人信用信息的恐慌。上述事件的发生究其原因均为企业在产品新功能上线前、政府与高校公开披露个人信息前未进行科学、严谨、有效的个人信息安全影响评估,国家标准《评估指南》的出台无疑为企业、政府及相关单位合法合规地处理个人信息提供了有力的指引,相关个人信息控制者在推广新业务新产品或对外披露个人信息前,应当组建评估团队,及时分析产品或业务活动对个人权益造成的影响,同时评估个人信息安全事件发生的可能性,完成评估报告,最终确认产品及业务活动的可行性。
本文仅为我们对相关法律法规的一般解读,不能作为正式法律意见和建议,如果您有特定的问题,请与观韬中茂律师事务所联系咨询事宜。
作者简介:吴丹君律师,观韬中茂上海办公室合伙人,首席数据官联盟专家组成员及法律顾问、深圳市大数据研究与应用协会法律专家。吴律师专注于互联网、数据信息领域的法律服务,包括网络安全、数据信息管理保护、隐私保护体系建设、数据公开等,为多家国有企业、跨国企业以及互联网大数据企业提供网络安全、数据合规法律服务。吴律师的执业领域为互联网|数据信息、兼并收购、外商直接投资、酒店等,曾多次就互联网法院、共享单车等互联网热点事件接受《中国青年报》《中国企业报》等媒体采访报道,其撰写的四十余篇数据合规专业法律文章被知名互联网媒体广泛转载。
作者简介:周天一律师助理,毕业于西南政法大学,法学学士。专注于数据信息领域的法律服务,执业领域为数据合规、公司业务、兼并收购、争议解决等。
吴丹君
合伙人
观韬中茂上海办公室
电话:(86-21)3135 9919
传真:(86-21)3135 9929
电子邮箱:wudj@guantao.com
周 天 一
律师助理
观韬中茂上海办公室
电话:(86-21)3135 9919
传真:(86-21)3135 9929
电子邮箱:zhouty@guantao.com
