个人信息保护影响评估简介.docx

个人信息保护影响评估简介作者：廖江涛（盈科律师事务所）发布日期：2024.02.26为了保护个人信息权益，规范个人信息处理活动，个人信息保护法规定了个人信息保护影响评估制度。对个人权益有重大影响的个人信息处理活动，要求事前进行个人信息保护影响评估，并对处理情况进行记录。对公司进行并购重组时，也可以实施该评估，来判断被收购对象的个人信息保护工作是否合规。本文参考信息安全技术个人信息安全影响评估指南，介绍个人信息保护影响评估的实施基本过程。最后以个人信息共享为例介绍评估的重点注意事项。一、实施个人信息保护影响评估的目的个人信息保护影响评估是为了发现、处置和持续监控个人信息处理过程中对个人信息主体合法权益造成不利影响的风险。实施个人信息保护影响评估，能够有效加强个人信息主体权益的保护，有利于组织对外展示其保护个人信息安全的努力，提升透明度，增进个人信息主体、监管机构对其的信任。在发生个人信息安全事件时，个人信息安全影响评估及其形成的记录文档，可用于证明组织已经主动评估风险并采取一定的安全保护措施，有助于减轻、甚至免除组织相关责任和名誉损失。通过评估，可以让员工、合作伙伴熟悉各种个人信息安全风险，增强处置风险能力，认识到个人信息保护的重要性，并采取适当的安全控制措施。二、法律要求必须进行事前评估的情况1、处理敏感个人信息：2、利用个人信息进行自动化决策；3、委托处理个人信息；4、向其他个人信息处理者提供个人信息；5、公开个人信息；6、向境外提供个人信息；7、其他对个人权益有重大影响的个人信息处理活动。基于评估的范围，可分为整体评估与局部评估。整体评估是对全部个人信息处理活动进行评估，比如：年度整体评估、新业务上线前评估、发生重大个人信息安全事件后重新评估；局部评估是对部分个人信息处理活动进行评估，比如：新增功能评估、某项处理行为评估。三、评估主体1、单位可以自行组织开展个人信息保护影响评估工作，牵头部门往往是法务部门、合规部门或信息安全部门，由相应的产品、服务或项目相关人员给予相应支持，确保评估活动顺利进行。2、如果情况复杂，单位往往会聘请外部独立第三方，比如律师事务所，来承担具体的个人信息保护影响评估工作。主管监管部门和客户可要求独立审计来核证评估活动的合理性和完备性。四、评估的基本原理1、了解待评估个人信息情况。对待评估的对象进行调研，形成清晰的数据清单及数据映射图表，并梳理出待评估的具体的个人信息处理活动。2、以权益影响为核心开展评估。（1）个人信息处理活动对个人信息主体的权益可能造成的影响及其程度：（2）安全措施是否有效、是否会导致安全事件发生及其可能性；（3）个人信息处理活动的安全风险及风险等级；（4）提出改进建议；（5）形成评估报告。五、评估涉及的范围个人信息处理行为夏杂度不同，信息的类型、数量，涉及信息主体的范围、数量不同，评估所涉及范围也会有区别。通常情况下，会涉及如下人员、资料、安全控制机制。1、人员：产品经理、研发工程师、个人信息保护负责人、法务负责人员、系统架构师、安全管理员、运维人员、人力资源人员和系统用户等，对这些人员进行访谈。2、资料：管理制度、安全策略和机制、合同协议、安全配置和设计文档、运行记录等，如个人信息保护策略规划和程序、系统的设计文档和接口规范、应急规划演练结果、事件响应活动、技术手册和用户/管理员指南、信息系统的硬件/软件中信息技术机制的运行等，对这些资料进行检查、查验、分析。3、安全控制机制：如访问控制、身份识别和验证、安全审计机制、传输链路和保存加密机制、对重要事件进行持续监控、测试事件响应能力以及应急规划演练能力等。通过人工或自动化安全测试工具进行技术测试，获得相关信息。六、评估重点内容1、个人信息的处理目的、处理方式等是否合法、正当、必要。2、对个人权益的影响及安全风险。3、所采取的保护措施是否合法、有效并与风险程度相适应。七、开展评估工作1、组建评估团队。根据评估对象复杂度以及单位管理制度，确定评估人员，并取得单位管理层、协助部门的支持。2、制定评估计划。明确工作内容、任务分工、时间表，特别是需要第三方配合的事项需要提前计划。3、调查评估对象。（1）基本情况：个人信息类型、涉及信息系统情况、履行管理职责的部门、人员及其职责，个人信息处理的方式、范围；（2）信息流转情况：功能（或逻辑）结构概览、物理结构概览、包含个人信息的信息系统数据库、表格和字段的清单和结构、按组件和接口划分的数据流示意图、个人信息生命周期的数据流示意图，例如个人信息的收集、存储、使用和共享等、描述通知个人信息主体的时间节点以及取得个人信息主体同意的时间节点和工作流程图、可对外传输个人信息的接口清单、个人信息处理过程中的安全措施；（3）信息处理流程和程序：信息系统的身份与用户管理概念、操作概念，包括信息系统或其中部分结构采用现场运行、外部托管，或云外包的方式、支持概念，包括列示可访问个人信息的第三方范围、其所拥有的个人信息访问权限、其可访问个人信息的位置等、记录概念，包括已登入信息的保存计划、备份与恢复计划、元数据的保护与管理、数据保存与删除计划及存储介质的处置。4、人员访谈。对员工（例如人力资源、法律、信息安全、财务、业务运营职能、通信与内部审计相关人员）、个人信息主体和消费者代表、分包商和业务合作伙伴、系统开发和运维人员、其他人员进行访谈。5、数据分析。对个人信息收集、存储、使用、转让、共享、删除等环节涉及的个人信息类型、处理目的、具体实现方式等，以及个人信息处理过程涉及的资源（如内部信息系统）和相关方（如个人信息处理者、平台经营者、外部服务供应商、云服务商等第三方）全面调研后，形成清晰的数据清单及数据映射图表。根据个人信息的类型、敏感程度、收集场景、处理方式、涉及相关方等要素，对个人信息处理活动进行分类，并描述每类个人信息处理活动的具体情形，便于后续分类进行影响分析和风险评价。6、风险源识别。分析个人信息处理活动面临哪些威胁源，是否缺乏足够的安全措施，导致存在脆弱性而引发安全事件。决定个人信息安全事件发生的要素很多。就威胁源而言，有内部威胁源，也有外部威胁源，有恶意人员导致的数据被窃取等事件，也有非恶意人员无无意中导致的数据泄露等事件；就脆弱性而言，有物理环境影响导致的数据毁损,有技术因素导致的数据泄露、篡改、丢失等事件，也有管理不当引起的滥用等事件。7、个人权益影响分析。分析特定的个人信息处理活动是否会对个人信息主体合法权益产生影响，以及可能产生何种影响。个人权益影响可分为“限制个人自主决定定权”“引发差别性待遇”“个人名誉受损或遭受精神压力”“人身财产受损”四个维度。个人权益影响分析过程一般包含对个人信息敏感程度分析、个人信息处理活动特点分析、个人信息处理活动问题分析以及影响程度分析四个阶段。8、安全风险综合分析。综合考虑安全事件发生可能性和个人权益影响程度两个要素，综合分析得出个人信息处理活动的安全风险等级。9、评估报告。内容通常包括:评估报告适用范围、实施评估及撰写报告的人员信息、参考的法律、法规和标准、个人信息影响评估对象（明确涉及的个人敏感信息）、评估内容、涉及的相关方等，以及个人权益影响分析结果，安全保护措施分析结果、安全事件发生的可能性分析结果、风险判定的准则、合规性分析结果、风险分析过程及结果、风险处置建议等。八、如何运用评估报告意见针对报告意见，可选取并实施相应的安全控制措施进行风险处置。通常情况下，可根据风险的等级，采取立即处置、限期处置、权衡影响和成本后处置、接受风险等处置方式。需持续跟踪风险处置的落实情况,评估剩余风险，将风险控制在可接受的范围内。此外，还可将评估结果用于下一次个人信息保护影响评估工作。九、个人信息共享的特别注意事项（一）法律特别要求个人信息处理者向其他个人信息处理者提供其处理的个人信息的，应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息个人信息处理者处理不满十四周岁未成年人个人信息的，应当取得未成年人的父母或者其他监护人的同意。个人信息处理者处理不满十四周岁未成年人个人信息的，应当制定专门的个人信息处理规则2。（二）评估的内容包括但不限于以下方面1、个人信息的类型、数量、敏感程度等；2、是否向个人信息主体告知了共享的基本情况，并征得个人信息主体的明示授权同意；3、数据发送方的安全管理保障和安全技术保障能力；4、数据接收方的安全管理保障和安全技术保隙能力；5、数据接收方可能会开展的个人信息处理活动，或公开披露的个人信息可能会被使用的个人信息处理场景;6、个人信息是否进行过去标识化处理;7、发生个人信息安全事件后的补救措施;8、数据接收方所能响应个人信息主体的请求的范围，如：访问、更正、删除等。（三）其他注意事项1、数据接收方所需数据是否为履行法定职责所必需。2、了解数据接收方的数据安全管理、个人信息保护情况。3、通过合同或对方出具承诺书的方式，明确接收方的责任与义务。4、个人信息保护影响评估报告和处理情况记录（如日期、规模、目的、接收方等），应当至少保存三年。1个人信息保护法第二十三条2个人信息保护法第三十一条廖江涛（盈科律师事务所）盈科成都高级合伙人；盈科成都管委会副主任；四川省律师协会律所管理和发展委员会委员。擅长领域：公司法律风险管理、民商事诉讼、公司股权管理、并购重组、公司改制重组、项目收购。盈科律师事务所http:WWw.yingkelawyer,com/盈科律师事务所是一家全球化法律服务机构，总部设在北京，盈科致力于搭建“全球一小时法律服务网络”，总部采取“直接投资、直接管理”的模式，在中国区拥有118家分所；盈科全球法律服务网络覆盖法国、德国、英国、意大利、瑞士、波兰、新加坡等97个国家的167个国际城市，其中包括美国、澳大利亚、德国、韩国等16个国家的直营分所。作为一家具有全球法律服务能力的商务型律师事务所，盈科积极融入世界，构建全球化法律服务体系，并十分注重增进与国外律师事务所的交流与合作。引进和培养国际化的律师人才，坚持完善和发展律师事务所英语、韩语、法语、德语、日语、意大利语等多语种法律服务能力，全面提升律师事务所国际法律业务的服务能力。盈科在中国大陆的各地办公室也接待了来自美国、德国、英国、南非、澳大利亚、新加坡等国家和地区的律师事务所、法官协会的交流来访，并建立了长期合作交流机制。