企业数据合规关键:如何开展个人信息风险评估
发布时间:2018-08-06
文 | 黄春林 汇业律师事务所 合伙人
Facebook事件以来,越来越多的企业开始重视数据合规,而数据合规的关键就是评估个人信息安全的潜在法律风险。如何有效的开展个人信息风险评估,以更好的平衡个人信息的利用效率与合规风险,是企业上线新业务或数据流动时需要评估的重要问题。但是,如何依法、有效地开展个人信息风险评估,对于绝大多数企业而言,还是一个相对陌生的话题。
本文中,参考《个人信息安全规范》及《个人信息安全影响评估指南》(征求意见稿)等法律规范,结合黄春林律师团队在协助企业开展个人信息风险评估的项目经验,详细介绍企业为何、何时以及如何开展个人信息风险评估。
一、企业为何应开展个人信息风险评估
第一,开展个人信息风险评估是企业的一项法定责任。
首先,《网络安全法》明确规定了CIIO的网络安全风险评估责任,其中就包括个人信息跨境转移安全评估和年度定期评估。其次,工信部24号令也规定了企业在个人信息流动时的评估审查责任;工信部在《互联网新业务安全评估管理办法》(征求意见稿)中也有对个人信息安全评估的要求。最后,《个人信息安全规范》及《个人信息安全影响评估指南》(征求意见稿)则有对个人信息风险评估的详细规范指引。
第二,公示个人信息风险评估报告是《隐私政策》透明度的一项重要指标。
根据《个人信息安全规范》及行业惯例,企业应当在隐私政策中披露个人信息保护有关的措施。其中一个重要的保护措施,就是向用户公示个人信息风险评估报告的内容,以让用户充分了解其个人信息的风险程度和建议。
第三,开展个人信息风险评估,不仅是企业降低个人信息风险的一道重要关卡,同时也是发生安全事件后,企业网安责任抗辩的一个重要抓手。
企业开展个人信息风险评估,有利于防止业务部门(员工)私自开展数据流动/交易项目;同时,一旦企业采取了相应的个人信息安全措施,且已经依法开展了个人信息风险评估(评估合格),并且已经根据《个人信息安全规范》要求妥善留存评估报告并可供官方查阅的,则企业层面的网安法律责任就相对较低。
二、企业何时应开展个人信息风险评估
考虑到法律强制性要求,参考《个人信息安全规范》的推荐性标准,以及黄春林律师团队同类项目经验,企业至少应当在如下如下场景开展个人信息风险评估:
第一,个人信息跨境转移时,企业应当开展个人信息风险评估。
尽管《网络安全法》仅仅规定了CIIO的评估责任,但是《个人信息和重要数据出境安全评估办法(征求意见稿)》已经远远突破了《网络安全法》的规定,普通企业个人信息跨境转移满足一定的数量条件的,也需要强制开展个人信息风险评估。具体评估方法可以参见《数据出境安全评估指南》(征求意见稿)。
第二,从第三方获取个人信息,或者给第三方提供个人信息时(以下合称“数据流动”),企业应当开展个人信息风险评估。
数据流动过程中,最容易发生网络安全事件。Facebook也是因为在数据流动过程中未尽到有效的评估、监管责任,所以备受监管机构及媒体指责。尤其是在给第三方提供个人信息时,企业不仅要评估第三方的安全制度和技术措施,还要评估用户同意授权的充分性,以及自身动态监管能力等等因素。
第三,上线新业务、新系统,或者现有业务或系统发生重大变更时,企业应当开展个人信息风险评估。
新业务或新系统可能会获取更多的用户系统权限,或者会收集更广泛的用户个人信息,或者会拓宽用户个人信息的使用场景。此时开展个人信息风险评估(包括但不限于是否遵循目的明确、选择同意、最少够用等原则,是否可能对个人信息主体合法权益造成不利影响,以及个人信息安全措施的有效性等等),有利于将风险防范于未然,这也是企业个人信息风险评估的最重要的环节。
此外,发生个人信息安全事件、法律政策环境发生重大变化、数据控制团队发生重大变更、控制者并购重组等情况下,企业也应当开展个人信息风险评估。
三、企业如何开展个人信息风险评估
尽管,不同的行业、不同的场景往往需要采取不同的个人信息风险评估模型,但是根据我们的经验,如下建议在大多数评估场景都是适用的:
第一,企业应当建立个人信息风险评估流程。
企业应当建立一套完整的评估流程,作为个人信息评估的工作手册或指引,用以告诉业务部门(员工):(1)何时需要评估;(2)哪些数据需要评估;(3)如何填写评估申请表;(4)如何准备评估的工作底稿;(5)评估的机构及程序;(6)相关的责任;等等。企业应当为业务部门(员工)提供评估流程的培训。
第二,企业应当建立个人信息风险分级评估程序。
显然,所有的数据、不同的场景都采取相同的评估程序和模型,从成本及效率的角度考虑极不合理。所以,我们通常会考虑如下因素,分别采取简易、普通及特别的分级评估程序:(1)个人信息的种类、数量;(2)数据流向的目标组织性质及安全能力;(3)数据流动的频率及方式;等等。
第三,企业应当确立个人信息风险评估组织。
我们建议,对应分级评估程序,评估组织也可以采取多层次组织架构。常见的模式包括:(1)不同的组织分层评估模式,例如采取业务部门主管评估、法律合规部门评估、数据合规委员会评估等;或(2)同一组织内部分层评估模式,例如统一由数据合规委员会评估,但简易程序由经理以上级别批签,普通程序由总监以上级别批签,特别程序由VP以上级别批签等。
第四,最后也是最重要的,企业应当确立符合自身特点的个人信息风险评估指标体系。
这看似很抽象的问题,实践中,我们往往会通过如下方式去实现:(1)制作一个相对完备的《数据合规申报表》(简易程序可以用简表),其内容基本包含了评估时需要考量的指标体系,包括企业维度(自身及供应商)、用户维度、数据维度、技术维度、政策维度等等;(2)建立一个科学的评估组织议事规则及责任机制;(3)必要时,可以引入外部专业机构评估或出具专项法律意见。
