企業數據合規關鍵:如何開展個人信息風險評估

文 | 黃春林 匯業律師事務所 合夥人

Facebook事件以來,越來越多的企業開始重視數據合規,而數據合規的關鍵就是評估個人信息安全的潛在法律風險。如何有效的開展個人信息風險評估,以更好的平衡個人信息的利用效率與合規風險,是企業上線新業務或數據流動時需要評估的重要問題。但是,如何依法、有效地開展個人信息風險評估,對於絕大多數企業而言,還是一個相對陌生的話題。

本文中,參考《個人信息安全規範》及《個人信息安全影響評估指南》(徵求意見稿)等法律規範,結合黃春林律師團隊在協助企業開展個人信息風險評估的項目經驗,詳細介紹企業為何、何時以及如何開展個人信息風險評估。

一、企業為何應開展個人信息風險評估

第一,開展個人信息風險評估是企業的一項法定責任。

首先,《網絡安全法》明確規定了CIIO的網絡安全風險評估責任,其中就包括個人信息跨境轉移安全評估和年度定期評估。其次,工信部24號令也規定了企業在個人信息流動時的評估審查責任;工信部在《互聯網新業務安全評估管理辦法》(徵求意見稿)中也有對個人信息安全評估的要求。最後,《個人信息安全規範》及《個人信息安全影響評估指南》(徵求意見稿)則有對個人信息風險評估的詳細規範指引。

第二,公示個人信息風險評估報告是《隱私政策》透明度的一項重要指標。

根據《個人信息安全規範》及行業慣例,企業應當在隱私政策中披露個人信息保護有關的措施。其中一個重要的保護措施,就是向用戶公示個人信息風險評估報告的內容,以讓用戶充分了解其個人信息的風險程度和建議。

第三,開展個人信息風險評估,不僅是企業降低個人信息風險的一道重要關卡,同時也是發生安全事件後,企業網安責任抗辯的一個重要抓手。

企業開展個人信息風險評估,有利於防止業務部門(員工)私自開展數據流動/交易項目;同時,一旦企業採取了相應的個人信息安全措施,且已經依法開展了個人信息風險評估(評估合格),並且已經根據《個人信息安全規範》要求妥善留存評估報告並可供官方查閱的,則企業層面的網安法律責任就相對較低。

企業數據合規關鍵:如何開展個人信息風險評估

二、企業何時應開展個人信息風險評估

考慮到法律強制性要求,參考《個人信息安全規範》的推薦性標準,以及黃春林律師團隊同類項目經驗,企業至少應當在如下如下場景開展個人信息風險評估:

第一,個人信息跨境轉移時,企業應當開展個人信息風險評估。

儘管《網絡安全法》僅僅規定了CIIO的評估責任,但是《個人信息和重要數據出境安全評估辦法(徵求意見稿)》已經遠遠突破了《網絡安全法》的規定,普通企業個人信息跨境轉移滿足一定的數量條件的,也需要強制開展個人信息風險評估。具體評估方法可以參見《數據出境安全評估指南》(徵求意見稿)。

第二,從第三方獲取個人信息,或者給第三方提供個人信息時(以下合稱“數據流動”),企業應當開展個人信息風險評估。

數據流動過程中,最容易發生網絡安全事件。Facebook也是因為在數據流動過程中未盡到有效的評估、監管責任,所以備受監管機構及媒體指責。尤其是在給第三方提供個人信息時,企業不僅要評估第三方的安全制度和技術措施,還要評估用戶同意授權的充分性,以及自身動態監管能力等等因素。

第三,上線新業務、新系統,或者現有業務或系統發生重大變更時,企業應當開展個人信息風險評估。

新業務或新系統可能會獲取更多的用戶系統權限,或者會收集更廣泛的用戶個人信息,或者會拓寬用戶個人信息的使用場景。此時開展個人信息風險評估(包括但不限於是否遵循目的明確、選擇同意、最少夠用等原則,是否可能對個人信息主體合法權益造成不利影響,以及個人信息安全措施的有效性等等),有利於將風險防範於未然,這也是企業個人信息風險評估的最重要的環節。

此外,發生個人信息安全事件、法律政策環境發生重大變化、數據控制團隊發生重大變更、控制者併購重組等情況下,企業也應當開展個人信息風險評估。

三、企業如何開展個人信息風險評估

儘管,不同的行業、不同的場景往往需要採取不同的個人信息風險評估模型,但是根據我們的經驗,如下建議在大多數評估場景都是適用的:

第一,企業應當建立個人信息風險評估流程。

企業應當建立一套完整的評估流程,作為個人信息評估的工作手冊或指引,用以告訴業務部門(員工):(1)何時需要評估;(2)哪些數據需要評估;(3)如何填寫評估申請表;(4)如何準備評估的工作底稿;(5)評估的機構及程序;(6)相關的責任;等等。企業應當為業務部門(員工)提供評估流程的培訓。

第二,企業應當建立個人信息風險分級評估程序。

顯然,所有的數據、不同的場景都採取相同的評估程序和模型,從成本及效率的角度考慮極不合理。所以,我們通常會考慮如下因素,分別採取簡易、普通及特別的分級評估程序:(1)個人信息的種類、數量;(2)數據流向的目標組織性質及安全能力;(3)數據流動的頻率及方式;等等。

第三,企業應當確立個人信息風險評估組織。

我們建議,對應分級評估程序,評估組織也可以採取多層次組織架構。常見的模式包括:(1)不同的組織分層評估模式,例如採取業務部門主管評估、法律合規部門評估、數據合規委員會評估等;或(2)同一組織內部分層評估模式,例如統一由數據合規委員會評估,但簡易程序由經理以上級別批籤,普通程序由總監以上級別批籤,特別程序由VP以上級別批籤等。

第四,最後也是最重要的,企業應當確立符合自身特點的個人信息風險評估指標體系。

這看似很抽象的問題,實踐中,我們往往會通過如下方式去實現:(1)製作一個相對完備的《數據合規申報表》(簡易程序可以用簡表),其內容基本包含了評估時需要考量的指標體系,包括企業維度(自身及供應商)、用戶維度、數據維度、技術維度、政策維度等等;(2)建立一個科學的評估組織議事規則及責任機制;(3)必要時,可以引入外部專業機構評估或出具專項法律意見。

企業數據合規關鍵:如何開展個人信息風險評估

企業數據合規關鍵:如何開展個人信息風險評估


分享到:


相關文章: