文 | 黃春林 匯業律師事務所 合夥人

Facebook事件以來，越來越多的企業開始重視數據合規，而數據合規的關鍵就是評估個人信息安全的潛在法律風險。如何有效的開展個人信息風險評估，以更好的平衡個人信息的利用效率與合規風險，是企業上線新業務或數據流動時需要評估的重要問題。但是，如何依法、有效地開展個人信息風險評估，對於絕大多數企業而言，還是一個相對陌生的話題。

本文中，參考《個人信息安全規範》及《個人信息安全影響評估指南》（徵求意見稿）等法律規範，結合黃春林律師團隊在協助企業開展個人信息風險評估的項目經驗，詳細介紹企業為何、何時以及如何開展個人信息風險評估。

一、企業為何應開展個人信息風險評估

第一，開展個人信息風險評估是企業的一項法定責任。

首先，《網絡安全法》明確規定了CIIO的網絡安全風險評估責任，其中就包括個人信息跨境轉移安全評估和年度定期評估。其次，工信部24號令也規定了企業在個人信息流動時的評估審查責任；工信部在《互聯網新業務安全評估管理辦法》（徵求意見稿）中也有對個人信息安全評估的要求。最後，《個人信息安全規範》及《個人信息安全影響評估指南》（徵求意見稿）則有對個人信息風險評估的詳細規範指引。

第二，公示個人信息風險評估報告是《隱私政策》透明度的一項重要指標。

根據《個人信息安全規範》及行業慣例，企業應當在隱私政策中披露個人信息保護有關的措施。其中一個重要的保護措施，就是向用戶公示個人信息風險評估報告的內容，以讓用戶充分了解其個人信息的風險程度和建議。

第三，開展個人信息風險評估，不僅是企業降低個人信息風險的一道重要關卡，同時也是發生安全事件後，企業網安責任抗辯的一個重要抓手。

企業開展個人信息風險評估，有利於防止業務部門（員工）私自開展數據流動/交易項目；同時，一旦企業採取了相應的個人信息安全措施，且已經依法開展了個人信息風險評估（評估合格），並且已經根據《個人信息安全規範》要求妥善留存評估報告並可供官方查閱的，則企業層面的網安法律責任就相對較低。

二、企業何時應開展個人信息風險評估

考慮到法律強制性要求，參考《個人信息安全規範》的推薦性標準，以及黃春林律師團隊同類項目經驗，企業至少應當在如下如下場景開展個人信息風險評估：

第一，個人信息跨境轉移時，企業應當開展個人信息風險評估。

儘管《網絡安全法》僅僅規定了CIIO的評估責任，但是《個人信息和重要數據出境安全評估辦法（徵求意見稿）》已經遠遠突破了《網絡安全法》的規定，普通企業個人信息跨境轉移滿足一定的數量條件的，也需要強制開展個人信息風險評估。具體評估方法可以參見《數據出境安全評估指南》（徵求意見稿）。

第二，從第三方獲取個人信息，或者給第三方提供個人信息時（以下合稱“數據流動”），企業應當開展個人信息風險評估。

數據流動過程中，最容易發生網絡安全事件。Facebook也是因為在數據流動過程中未盡到有效的評估、監管責任，所以備受監管機構及媒體指責。尤其是在給第三方提供個人信息時，企業不僅要評估第三方的安全制度和技術措施，還要評估用戶同意授權的充分性，以及自身動態監管能力等等因素。

第三，上線新業務、新系統，或者現有業務或系統發生重大變更時，企業應當開展個人信息風險評估。

新業務或新系統可能會獲取更多的用戶系統權限，或者會收集更廣泛的用戶個人信息，或者會拓寬用戶個人信息的使用場景。此時開展個人信息風險評估（包括但不限於是否遵循目的明確、選擇同意、最少夠用等原則，是否可能對個人信息主體合法權益造成不利影響，以及個人信息安全措施的有效性等等），有利於將風險防範於未然，這也是企業個人信息風險評估的最重要的環節。

此外，發生個人信息安全事件、法律政策環境發生重大變化、數據控制團隊發生重大變更、控制者併購重組等情況下，企業也應當開展個人信息風險評估。

三、企業如何開展個人信息風險評估

儘管，不同的行業、不同的場景往往需要採取不同的個人信息風險評估模型，但是根據我們的經驗，如下建議在大多數評估場景都是適用的：

第一，企業應當建立個人信息風險評估流程。

企業應當建立一套完整的評估流程，作為個人信息評估的工作手冊或指引，用以告訴業務部門（員工）：（1）何時需要評估；（2）哪些數據需要評估；（3）如何填寫評估申請表；（4）如何準備評估的工作底稿；（5）評估的機構及程序；（6）相關的責任；等等。企業應當為業務部門（員工）提供評估流程的培訓。

第二，企業應當建立個人信息風險分級評估程序。

顯然，所有的數據、不同的場景都採取相同的評估程序和模型，從成本及效率的角度考慮極不合理。所以，我們通常會考慮如下因素，分別採取簡易、普通及特別的分級評估程序：（1）個人信息的種類、數量；（2）數據流向的目標組織性質及安全能力；（3）數據流動的頻率及方式；等等。

第三，企業應當確立個人信息風險評估組織。

我們建議，對應分級評估程序，評估組織也可以採取多層次組織架構。常見的模式包括：（1）不同的組織分層評估模式，例如採取業務部門主管評估、法律合規部門評估、數據合規委員會評估等；或（2）同一組織內部分層評估模式，例如統一由數據合規委員會評估，但簡易程序由經理以上級別批籤，普通程序由總監以上級別批籤，特別程序由VP以上級別批籤等。

第四，最後也是最重要的，企業應當確立符合自身特點的個人信息風險評估指標體系。

這看似很抽象的問題，實踐中，我們往往會通過如下方式去實現：（1）製作一個相對完備的《數據合規申報表》（簡易程序可以用簡表），其內容基本包含了評估時需要考量的指標體系，包括企業維度（自身及供應商）、用戶維度、數據維度、技術維度、政策維度等等；（2）建立一個科學的評估組織議事規則及責任機制；（3）必要時，可以引入外部專業機構評估或出具專項法律意見。

閱讀更多 匯業法律觀察 的文章

關鍵字: 財經 Facebook 個人信息