本文内容为《隐私工程实践路径》系列开篇,旨在通过笔者在数据合规与隐私保护领域的一系列实战中,总结出的理论框架+实践经验,以及隐私工程在企业落地过程中发现的重难点和针对性的解决方案。
1、什么是PIA
PIA的全称叫做“Privacy Impact Assessment”,中文一般译为隐私影响评估,笔者建议,可以分别从定位和目的的角度分别来具体理解什么是PIA。
从定位上理解:PIA是一种企业在开展个人数据处理活动过程中,用于有效识别、削减对于个人隐私合法权益的造成侵害的合规风险的组织手段。
从目的上理解:PIA是为了判断企业在收集、存储、使用、加工、传输、提供、公开、删除等数据处理过程中,整体数据处理活动的合规程度、对个人合法权益的侵害程度、以及对于个人信息的提供保护的力度是否足够达到监管法规的要求而采取的措施,并针对以上的过程所发现的风险点,采取合理风险削减措施,从而达成保障企业能够履行自身合规义务,以及保障用户合法权益不被侵害的最终目的。
2、PIA全球发展历程
提到PIA的发展历程,离不开隐私保护的的核心理念PbD(Privacy by Design,隐私保护设计)的发展。
PbD理念,主张将隐私保护工作进行前置,于系统设计的最初阶段,就将隐私保护的需求嵌入其中,充分考虑到系统或业务对于个人隐私权益的侵害程度以及对于隐私数据的保护程度;而不是在系统设计完成甚至已经投入使用后,再分析其中的隐私风险,进行“亡羊补牢”般的紧急补救。
经过了多年的发展,PbD的理念已经成为了现如今众多企业满足隐私保护需求最佳路径之一,在这种理念的指导下,企业管理者、数据保护官(DPO)通常会选择PIA作为践行PbD理念的核心工具,因此PIA也跟随PbD理念的发展,逐渐得到了立法者、隐私保护从业者、以及部分公司高级管理层的广泛认同。
具体为何会选择PIA作为核心工具的,我们将在接下来第3章节进行分析。
由于PbD理念的发展,“PIA”作为一种通用隐私工具得到了大家的共识,并且在全球的范围内,被多个多家的立法机构所采纳,并逐渐发展起来,例如《ISO/IEC 29134:2017隐私影响评估准则》中提到的:
隐私影响评估(PIA)是一种工具,用于评估处理个人身份信息(PII)的流程、信息系统、程序、软件模块、设备或其他举措对隐私的潜在影响,并在与利益相关者协商后,采取必要的行动,以处理隐私风险。
(附:ISO/IEC 29134:2017原文截图)
在随后的2018年5月25日,《GDPR》(通用数据保护条例)正式生效,其中第35条均在阐述DPIA(data protection impact assessment)以及相关要求,并明确了DPIA作为企业在进行若干种数据处理的情形下【1】,需要开展DPIA工作。
2020年11月19日,国家市场监督管理总局、中国国家标准化管理委员会发布了GB/T 39335—2020,其中定义了术语:
个人信息安全影响评估 personal information security impact assessment:
针对个人信息处理活动,检验其合法合规程度,判断其对个人信息主体合法权益造成损害的各种风险,以及评估用于保护个人信息主体的各项措施有效性的过程。
2021年8月20日,《个保法》正式通过,其中第五十五条:
有下列情形之一的,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录:
(一)处理敏感个人信息;
(二)利用个人信息进行自动化决策;
(三)委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;
(四)向境外提供个人信息;
(五)其他对个人权益有重大影响的个人信息处理活动。
结合以上其实可以看出,虽然不同国家/组织对于类似PIA评估的名称定义不同,但实际上都要求企业进行相关评估,且评估必须包含以下范围:
1)详细描述并记录个人数据处理活动的情况并判断其合规性
2)分析其对于个人信息主体权益的影响程度
3)确保个人数据得到了足够程度的保护
因此,在不同的国家/地区的隐私保护相关法律法规中,均明确了PIA的类似概念,并且从一些其他国家的立法过程来看,PIA已经成为了全球公认的企业数据合规与隐私保护义务。
3、为什么一定是PIA?
大家是否深入考虑过,为什么是PIA最终得到了广泛认可,并认为是实践PbD的最佳工具之一,而不是其他的工具。PIA的兴起究竟是一种巧合,还是一种必然的结果?
最核心的原因是,监管要求企业在“事前”进行合规评估
《个保法》第五十五条,明确提出了合规评估需要在“事前”开展这一关键原因,而不是事后补救,带有合规问题的业务一旦上线,就意味着侵害已经发生,这就违背了个人信息保护的意义。
正因为需要在事前进行,因此往往开始PIA评估时,能够提供的评估对象材料往往是比较简单的(甚至可能只是一个功能雏形),这个阶段代码还没有开始编写,用户还未开始使用相应的功能,更不可能产生可供扫描和检测的生产数据,而PIA往往采用表单、问卷的形式,通过与技术、产品、业务等部门进行访谈沟通来产出评估结果,做出风险的分析以及风险削减的建议,因此PIA可以很好的满足监管在“事前”方面的要求。
实际上,在事前进行PIA,对企业的益处也非常明显,如果在事后才进行评估,那么意味着某些业务场景、功能在已经投入设计、研发、测试、上线之后,会因为合规问题而面临整改甚至下架,一方面浪费了企业的宝贵资源,另一方面也更加容易让企业陷入“保合规”还是“保业务”的困境中
4、当下企业落地实践PIA的重点及难点
1)评估过程管理难度大,若想提效更加困难,跟不上业务发展速度
笔者见过不少早期在内部落地执行PIA的企业,在经历了一段Excel/OA邮件/Visio/企业通讯IM之后,最后即使成功完成了PIA任务,也会因为以下问题头痛不已:
- 各种版式表单、文件互相复制粘贴,不断更新,版本管理容易混乱
- 业务响应不及时,邮件回复速度慢,钉钉已读不回,发下去的文档一个月了还没有回复...
- 评估过程管理和协调困难,一场评审会议动辄需要多个部门N个成员参与,而实际需要分配到各个成员的任务又不多,时间一长,业务怨声载道
2)风险跟踪难,风险评审会议结束,但不意味着PIA结束,风险治理才刚刚开始
- 风险跟踪及治理过程可能会长达几周或数月,过程中可能业务方案或系统设计会产生变更,在最终上线前,如何确保风险隐患真正被消除?
- 合规团队内部如何做到标准化,面对相似的风险场景,如何保证给到业务的解决方案具备高度一致性,以及可复用性?
3)法律+技术复合型人才缺口
如果在企业内落地实践PIA,一般需要企业内部有相应的数据合规/隐私保护专家,大多数企业中,这个角色通常来自于法务部门,但数据合规与隐私保护相较于传统诉讼、知识产权等法律领域有所不同,从业人员还需要对互联网/软件/硬件业务有较深的了解,才能够基于结合公司的实际情况,落地实践整套PIA机制。
当然,无论企业内部已经任命了数据合规/隐私保护专家,隐私保护团队也经常会面临任务重、人手不足的情况,因而寻找专注数据合规、网络法领域的律师事务所的进行合作,也是一种非常好的路径,PIA在落地过程中的工作量依然是较为庞大的,律师事务所可以作为专业团队力量加入,在内部专家的配合下,能够更加快速的帮助企业搭建落地的隐私保护体系。
下篇预告,轻松搞定PIA,实践难点逐个击破
注释:
【1】:GDPR第35条3款:以下情形尤其适用于第1款所说的数据保护影响评估:
a)对自然人个人情况评估所进行的系统和广义上的评估也是基于自动处理过程,包括分析,以及基于哪些决定会对自然人产生法律效力或对自然人产生同样重大的影响;
b)第9条第1款提到的大范围的数据处理或者第10条提到的关于刑事定罪和罪行相关的个人信息;
c)一个大规模的公共可访问区域的系统性监测。