个人信息安全影响评估
1.个人信息安全影响评估的必要性
根据《〈个人信息安全影响评估指南〉(征求意见稿)编制说明》,个人信息安全影响评估是个人信息控制者实施风险管理的重要组成部分,旨在发现、处置和持续监控个人信息处理过程中的安全风险。
一般情况下,个人信息控制者必须在收集和处理个人信息前开展个人信息安全影响评估,明确个人信息保护边界,根据评估结果实施适当的安全控制措施,降低收集和处理个人信息的过程对个人信息主体权益造成的影响;另外,个人信息控制者还需按照要求定期开展个人信息安全影响评估,根据业务现状、威胁环境、法律法规、标准要求等情况持续修正个人信息保护边界,调整安全控制措施,使个人信息处理过程处于风险可控的状态。
2.建立个人信息安全影响评估制度
根据《个人信息安全规范》第11.4a)条,网络运营者应建立个人信息安全影响评估制度,评估并处置个人信息处理活动存在的安全风险。
建立个人信息安全影响评估制度,明确个人信息安全影响评估责任主体、评估启动条件、评估依据、评估对象、评估范围、评估流程、评估后续动作等内容,是个人信息安全影响评估工作得以有序开展的基础。网络运营者可以参考《个人信息安全影响评估指南(征求意见稿)》的内容,制定个人信息安全影响评估制度。
3.个人信息安全评估内容
根据《个人信息安全规范》第11.4b)条,个人信息安全影响评估应主要评估处理活动遵循个人信息安全基本原则的情况,以及个人信息处理活动对个人信息主体合法权益的影响,内容包括但不限于:1)个人信息收集环节是否遵循目的明确、选择同意、最小必要等原则;2)个人信息处理是否可能对个人信息主体合法权益造成不利影响,包括是否会危害人身和财产安全、损害个人名誉和身心健康、导致差别性待遇等;3)个人信息安全措施的有效性;4)匿名化或去标识化处理后的数据集重新识别出个人信息主体或与其他数据集汇聚后重新识别出个人信息主体的风险;5)共享、转让、公开披露个人信息对个人信息主体合法权益可能产生的不利影响;6)发生安全事件时,对个人信息主体合法权益可能产生的不利影响。
前述规定,明确了个人信息安全影响评估的内容。其中,对于个人权益影响分析、安全事件可能性分析和风险分析,《个人信息安全影响评估指南(征求意见稿)》进行了更加具体的规定。
(1)个人权益影响分析
根据《个人信息安全影响评估指南(征求意见稿)》第5.4条,个人权益影响分析一般指根据不同的个人信息处理活动,分析其是否存在对个人信息主体权益产生影响。个人权益影响概括可分为“影响个人自主决定权”“引发差别性待遇”“个人名誉受损或遭受精神压力”“个人财产受损”四个维度:
a)影响个人自主决定权。如,被强迫执行不愿执行的操作、缺乏相关知识或缺少相关渠道更正个人信息、无法选择推送广告的种类、被蓄意推送影响个人价值观判断的资讯、个人人身自由受限、可能引发人身伤害等。
b)引发差别性待遇。如,因疾病、婚史等信息泄露造成的针对个人权利的歧视;因个人消费习惯等信息的滥用而对个人公平交易权造成损害等。
c)个人名誉受损或遭受精神压力。如,被他人冒用身份、公开不愿为人所知的事实(生活习惯、以往经历等),被频繁骚扰、监视追踪等。
d)个人财产受损。如,账户被盗、遭受诈骗、勒索等。
(2)安全事件可能性分析
根据《个人信息安全影响评估指南(征求意见稿)》第5.5条,为简化安全事件可能性的分析过程,将与安全事件可能性相关的要素归纳为以下四个方面:
a)网络环境和技术措施。如,所处网络环境、与其他系统的交互方式及采取的加密、授权、访问控制、审计、备份等技术措施。
b)处理流程规范性。如,个人信息收集的规范性、个人信息保存的周期、个人信息使用的限制、个人信息对外提供的授权、个人信息保护机构设置合理性、收到的个人信息处理相关的投诉等。
c)参与人员与第三方。如,人员资格审核情况及具备的技能、涉及处理个人信息人员的安全意识、人员职责有效履行的情况、第三方处理个人信息过程的可控性等。
d)安全态势及处理规模。如,近期内遭受网络攻击或发生安全事件的情况、近期内收到过的安全相关的警示信息、当前或预计处理个人信息的规模、频率等。
(3)风险分析
根据《个人信息安全影响评估指南(征求意见稿)》第5.6条,进行风险分析时,首先,应根据个人信息处理活动的目的、状态、相关个人信息的敏感程度,同时考虑个人信息主体数量、群体特征等要求,评价对个人权益影响的程度等级。其次,应根据个人信息处理活动涉及的特点、已实施的安全措施、相关方、处理规模等要素,同时考虑具备的事件处置经验、用户习惯及预防性措施等,评价安全事件发生的可能性等级。最后,综合分析个人权益影响程度和安全事件可能性两个要素,得出风险等级。
4.需要进行安全评估的情形
根据《个人信息安全规范》第11.4c)条和第11.4d)条,网络运营者1)在产品或服务发布前,或功能发生重大变化时,应进行个人信息安全影响评估;2)在法律法规有新的要求时,或在业务模式、信息系统、运行环境发生重大变更时,或发生重大个人信息安全事件时,应进行个人信息安全影响评估。
对于需要进行安全评估的情形,《个人信息安全影响评估指南(征求意见稿)》第6.2.1条列举了典型评估场景,通常情况下,涉及以下针对个人信息的处理活动时,应实施个人信息安全影响评估:a)个人信息出境前评估;b)个人信息处理目的变更前评估;c)个人信息委托处理、转让、共享或公开披露前或范围发生变化时评估;d)个人信息匿名化和去标识化效果评估;e)其他情形,包括但不限于:1)需要对去标识化后的数据重标识使用时;2)通过购买、从合作伙伴获得方式收集、使用个人信息时;3)使用“征得同意例外”条款收集、使用个人信息时;4)使用“默许同意”方式收集个人信息时;5)对政府、监管部门、司法部门提供个人信息前;6)出现用户申诉且纠纷未解决时。
5.安全评估的后续动作
(1)形成个人信息安全影响评估报告
根据《个人信息安全规范》第11.4e)条,网络运营者应形成个人信息安全影响评估报告……
对于评估报告的内容,《个人信息安全影响评估指南(征求意见稿)》第5.7条进行了细化。根据该条规定,评估报告的内容通常包括:个人信息保护专员的审批页面,评估报告适用范围,实施评估及撰写报告的人员信息,参考的法律、法规和标准,个人信息影响评估对象(应明确涉及的个人敏感信息),评估内容,涉及的相关方等,以及个人权益影响分析结果、安全保护措施分析结果、安全事件发生的可能性分析结果、风险判定的准则、合规性分析结果、风险分析过程及结果,风险处置建议等。
(2)风险处置和持续改进
根据《个人信息安全规范》第11.4e)条,网络运营者应根据个人信息安全影响评估报告,采取保护个人信息主体的措施,使风险降低到可接受的水平。
对于风险处置和持续改进,《个人信息安全影响评估指南(征求意见稿)》第5.8条进行了细化。根据该条规定,网络运营者应根据评估结果,选取并实施相应的安全控制措施进行风险处置。通常情况下,严重风险应立即处置,高风险应限期内处置,中风险应在权衡影响和成本后处置,低风险可选择接受。网络运营者应持续跟踪风险处置的落实情况,评估剩余风险,将风险控制在可接受的范围内。此外,应将评估结果用于下一次个人信息安全影响评估工作。
(3)评估报告留存与发布
根据《个人信息安全规范》第11.4f)条,网络运营者应妥善留存个人信息安全影响评估报告,确保可供相关方查阅,并以适宜的形式对外公开。
妥善留存个人信息安全影响评估报告,是网络运营者开展个人信息安全影响评估的有利证明,也能为后续个人信息安全影响评估提供有益参考。对于对外公开个人信息安全影响评估报告,《个人信息安全影响评估指南(征求意见稿)》第5.9条提供了具体的指引:“公开发布个人信息安全影响评估报告是促进自合规、配合监管、增加客户信任的重要方式,公开发布的个人信息安全影响评估报告可以在已有评估报告基础上予以简化,但其内容通常应不少于以下方面:收集和处理个人信息的必要性和给个人带来的益处、收集和处理的个人信息类型(个人敏感信息需单独强调)、个人信息处理的例外情况(法律法规规定)、合规性分析的概况、评估过程和结果概况、已实施和将要实施的风险处置措施概况、对个人信息主体的建议、实施评估责任部门或人员的联系方式和解答疑问的渠道等。”