【原创】企业落实PIA的必要性

一、法律演进——PIA逐渐从企业良好实践到强制性法律要求

随着《中华人民共和国个人信息保护法》（以下称《个人信息保护法》）的出台，我们国家对个人信息日益重视，正式开启了数据保护，数据治理的里程，也展现出了保护个人信息，与世界接轨，促进数据全球化的决心。相关法律不断完善，企业以及平台等对其用户的个人信息保护责任也在逐步提升，这也就要求企业需要在短时间内学习并且吃透法律，并摸索出数据保护和合规的最佳实践。

我国在保护个人信息方面法律法规出台时间晚，但近两年发展势头迅猛。国家不断加强对网络安全、数据安全、个人信息的保护力度，先后颁布了《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》《网络安全审查办法》《数据出境安全评估办法》等法律法规。网络安全、数据安全、个人信息保护等领域有关部门的执法力度也明显加大。

欧盟颁布的GDPR（《通用数据保护条例》）作为全球公认的个人信息保护标杆，对我国法律实践具有很强的影响力。GDPR的全面实施，意味着欧盟对于个人信息的保护及监管达到了前所未有的高度，堪称史上最严格的数据保护法案。任何违反GDPR的行为，将会产生1000万到2000万欧元的罚款，或企业全球年营业额的2%到4%，以数额最大的为准。GDPR的伟大之处在于将保护公民基本权利的法制变为推动和保障欧盟数字经济发展的法律。其基本逻辑是既然个人信息与个人有关联，而个人是主体，就不能像对待客体那样随意处理。为此建立个人信息保护权来保护公民基本权利不因个人信息处理受到侵害。只要遵循统一的法律，个人权利就能够在欧盟 范围得到尊重和保护，促进个人信息在全境自由流通，同时可以高筑防御国外数字经济竞争的高墙。

我国和欧盟的个人信息保护主要以保护人格权为主，更偏向公法属性。而美国的个人信息保护更注重自由的表达和互联网企业的发展，更偏向私法属性，如表中提到的《加利福尼亚州消费者隐私保护法案》《联邦数据战略与2020年行动计划》。

我国与欧美个人信息立法保护沿革比较：

二、什么是PIA？

因此，PIA通常被视为一种预警机制，可帮助企业在项目实际处理之前评估风险、实施预防措施和专项保护措施，同时PIA也作为一种工具，是个人信息控制者实施风险管理的重要组成部分，可帮助企业遵守数据保护义务并满足个人的隐私期望。有效的PIA将使企业能够在收集和处理个人信息前（早期阶段）进行，发现并解决问题，从而降低可能发生的相关成本和声誉损害。

故，企业在搭建数据合规体系时应在早期阶段便要发挥PIA的需求能力，并应考虑将其尽早纳入项目管理或其他业务流程。

三、我国企业在何种情形下需要完成PIA评估

根据《个人信息保护法》第五十五条，以及国标 GB/T39335—2020 《信息安全技术 个人信息安全影响评估指南》（简称「评估指南」）等规定，企业对以下 7 大情形，须事先完成PIA 评估：

1.处理敏感个人信息

2.利用个人信息进行自动化决策

3.委托处理、向第三方转让或共享、公开披露个人信息

4.向境外提供、转移个人信息

5.个人信息处理目的变更评估

6.个人信息匿名化和去标识化效果评估

7.确定个人信息安全事件处置方案的评估

在实际情形中，个人信息保护影响评估应当包括符合以下要求：

1.个人信息的处理目的、处理方式等是否合法、正当、必要；

2.对个人权益的影响及安全风险；

3.所采取的保护措施是否合法、有效并与风险程度相适应。

个人信息保护影响评估报告和处理情况记录应当至少保存三年。 

由此可见，在大数据时代下数据已成为影响企业发展的关键生产要素，大到影响国家发展战略小到与人们的生活息息相关，保护个人信息的同时实现数据利益最大化是每个数据处理者都不得不面临的挑战。通过实施一个完善的PIA程序，可以帮助企业梳理当下的数据保护现状，从而找到更有针对性的合规思路。

（一）PIA是法律明确规定的强制性义务

如上文所述，《个人信息保护法》第五十五条明确规定了个人信息处理者应当进行PIA的几种情形，企业数据处理如果存在其中任何一种情形，PIA都将成为企业必须进行的合规项目。

（二）PIA是其他合规项目审查的必要文件

PIA作为个人信息处理者的基础合规要求，是某些特定行为审查的合规要求之一。例如，近日发布的《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》明确规定了个人信息跨境认证的合规要求中包括了企业必须完成个人信息安全影响评估。不仅如此，正因数据与各个行业的联系逐渐紧密，数据合规在公司投资并购交易中的地位也不断上升，而PIA也成为了法律尽职调查中的重要内容。

（三）PIA是面对监管的有效抗辩

企业面对监管机构或商业伙伴的调查、执法、合规性审计等活动时，可以证明其遵守了个人信息保护与数据安全等方面的法律、法规和标准的要求；如发生数据安全事件，PIA可用于证明企业已经主动评估风险并采取一定的安全保护措施，有助于减轻、甚至免除企业相关责任和名誉损失。

四、我国企业应如何落实PIA

根据GB/35339-2020《个人信息安全影响评估指南》,我们了解到，评估流程为：评估必要性分析-评估准备工作-数据映射分析-风险源识别-个人权益影响分析-安全风险综合分析-评估报告-风险跟踪-制定策略。（如下图）

第一步，进行必要性分析。确定是否需要PIA。在实践中，除了法律要求的必要情形之外，启动PIA的必要性取决于企业的个人信息安全目标，以及企业中合规人员的专业意见等，可根据实际的需求选取需要启动评估的业务场景。

第二步，进行评估准备工作。在启动评估事项之前，相关牵头部门需要确定具体组建团队、制定计划、并咨询相关方等。

第三步，进行数据映射分析。企业/组织在针对个人信息处理活动进行全面的调研后，形成清晰的数据清单及数据映射图表。数据清单应包含处理活动的具体场景、处理目的、处理规则以及数据流动关系等。

第四步，进行风险源识别。数据处理者可以通过问卷的形式从数据全生命周期的处理规则对处理活动进行梳理识别风险源，从而分析个人信息处理活动面临哪些威胁源，是否缺乏足够的安全性措施，导致存在脆弱性而引发安全事件。

第五步，进行个人权益影响分析。此时需要由专门的合规团队制定标准，分析特定的个人信息处理活动是否会对个人信息主体合法权益产生影响，以及产生何种影响。

第六步，进行安全风险综合分析。在完成针对特定个人信息处理活动影响评估后，企业/组织可针对所有相关评估结果，形成对整个评估对象的风险等级。

第七步，形成评估报告。评估报告的内容主要包括评估报告适用范围，个人信息保护专员的审批详情，风险识别情况以及风险等级，参考的法律法规及标准，适用的对象等。

第八步，风险处置和持续改进。根据评估结果，企业/组织可根据实际情况选取并实施相应的安全控制措施并进行风险处置。从而实现评估流程的完整闭环。

第九步，制定报告发布策略。为了促进自身持续提升个人信息保护水平、配合监管行动、增加客户信任，企业/组织可制定个人信息安全影响评估报告发布策略。

五、小结

对于数据的管理和审查来说，企业落实PIA的必要性不可小觑，而落地一个真正完善的PIA也绝非易事。从法律层面来说，或许是给对企业/组织的合规提出了更高的要求，而从实践层面来说，企业/组织应当从宏观战略和体系架构的角度结合实际业务加大对数据管理的重视和管理。因此，PIA也不是一个简单的调查问卷，而是兼顾法律、流程，协调多部门配合的复杂程序；PIA 评估并非一次性工作，而是一个持续发现风险、处置风险的过程。企业需要时刻站在未来思考今天，避免与国际上的“数据脱钩”。

【声明：本文章为尚隐科技原创内容，如需转载，请标明出处】