解读基于《个人信息保护法》的企业个人信息保护合规风险控制验证框架1.0

本文链接：https://blog.csdn.net/CCSA2018/article/details/124295935

引言

《个人信息保护法》、《网络安全法》施行后，相关行业、企业已经开发了一些合规工具，有些是基于既有安全产品，如典型的安全厂商的合规技术产品，也有是在安全咨询、服务方法论和风险管理理论基础上进行的升级，如ISO标准、数据安全成熟度模型，还有从法律法规出发进行的设计，比如工信部、汽车行业的数据安全指引文件，以及直接以监管机构的检查活动，比如APP收集使用个人信息清单进行逐项符合的因应等等。

对监管对象，也就是企业而言，一方面其可能从成本效用角度，考虑最贴合自身特点的合规方案；另一方面，还需要有一套额外（同样也符合成本效用）的工具进行验证，这样才能实现成本可控前提下，合规风险的尽可能覆盖。

风险控制验证方案正是基于这样一种考虑，在主流的风险管理工具中，确认以ISO 27001可认证标准作为验证的基准，针对个人信息保护的基本法律条款——主要是企业应当履行的合规义务进行匹配。

由于ISO 27001的认可度较高，且部分企业已经在其下进行了咨询认证等工作，因此无论前期采用了哪些方法进行个人信息保护的合规实践，都可以便捷的使用ISO 27001的控制措施进行复查验证。

框架的方法

框架的方法综合了法律条文、管理制度与控制措施之间的映射与协调，具体考虑了以下方法的运用：

区别既有的各类合规工具，框架将控制范围重新区分为十个域维度，特别是为了体现中国个人信息保护立法的特点，对原则、规则进行了突显，以便企业在没有明文对照的情况下，可以基于法律的原则性规定，进行监管趋势和合规风险的方向预判。比如何为“必要性”原则、“透明度”和“最小化”规则，从法律角度进行了进一步解读，有利于形成产业界与法律界的统一认识。由于这些维度设定和其他合规工具略有不同，因此也提高了验证的覆盖度。
在ISO 27001基准的使用上，力图尽可能地实现其控制措施与《个人信息保护法》的条文对应，对于ISO
20771本身缺少的措施，则以ISO 27018作为补充，整体上看，基本实现了从法条到标准控制项的映射。
框架借鉴了个人信息的分类分级方法，针对可能的合规风险适度的进行了风险程度的划分，但这些划分主要是结合企业的合规差距，和不同时期监管的侧重进行的动态划分，在监管趋势变化后，可能仍需要进行动态调整。例如，目前对个人信息作为数据质量的要求，以及公开的个人信息的保护等并非监管重点，因此其违规风险程度较低，但未来如果监管对此予以关注，则相应的违规风险程度将提高。对算法的关注变化也是一个例证。

框架的结论和呈现

基于法律和管理，以及比较研究的综合方法，框架的结论大致体现以下特点：

基本澄清了个人信息保护的基本原则和规则，并明确以知情同意做为个人信息收集、处理的起点，企业应由此出发进行个人信息保护合规方案的设计。
框架考虑到技术和开发对于实现个人信息保护的重要性，因此在映射中特别关注了研发中的个人信息保护，例如在信息系统的开发需求阶段、开发过程阶段、测试验收阶段或产品、服务的设计过程中即落实个人信息保护要求，符合隐私设计的主流观点。
框架区分了通知的不同情形，特别是通知并征得同意，和通知无需征得同意的场景，以及通知流程的各类分支，有利于企业针对性的区分设计，避免合规负累。
将《个人信息保护法》和目前主要的配套制度关注的重点内容纳入框架，特别是数据出境中的个人信息保护和程序问题。对于需要进一步对应到其他标准的情况，框架也适当做出了援引，例如对个人信息保护影响评估，需在GB/T39335下做深入探讨。
结合企业关注点与实践需求，框架通过对控制措施的细化描述，围绕对个人权利请求的回应方式、范围、程序等方面，划定企业合规限度，避免企业合规负累。
框架最为关注之一是各类日志、记录与法律规定的电子数据证据的对应关系问题，ISO27001虽有提及但并不详细，且各国对此规定差异较大，为此，框架特别设定了专门域进行讨论和建议，并对涉及电子数据证据的相关法律规定做出了适当援引。
此外，考虑到法律和政策的走向，框架也为网络安全审查、供应链安全管理等预留可进一步更新与完善的空间。

框架的价值

框架目前的版本仍有很多不足，这一方面是政策法律的发展变化所致，也与框架方法论的自身局限有关，还有框架起草研究者的能力水平问题，未来框架将继续朝着可用、好用的方向努力。目前，框架基本可以实现：无论企业采用传统信息安全到网络安全的各类标准，还是遵循网信办、工信部等发布的各类文件规则的监管要求，或是援引境外如GDPR的组合性和市场化思路，都可以“回归”到基准的ISO 27标准上，企业通过验证其内部控制措施的整体合规程度，可实现查漏补缺，多一重视角综合审视。

未来框架的改进方向包括：