浅析欧盟GDPR下DPIA和中国个人信息安全影响评估要点

发布时间:2023-01-16

文 | 蒋虹 汇业律师事务所 律师

合规和个人信息评估在数据化身为财富的同时成为热点中的热点,IT部门、码农们被放在了聚光灯下面。数据产生于各个业务场景,甚至是内部工作环境中,经过业务员,销售,公司内部支持人员;流入经IT和码农编码搭建的系统; 最后汇总到数据库成为进一步处理或者销售的信息,供决策者决定其出路和方向。以上的特点是跨部门、多领域,完全打破了部门之间的天然界限。于是天然地出现了决策者不知道什么地方可以优化,应该控制,或者第二选项的存在。法务部门不知道怎么把法律要求转化为代码要求,码农们觉得自己的工作内容怎么变了?除了要考虑构架和效能问题,还要考虑合规的第二选项构架问题。销售觉得大家都过于焦虑。本文旨在通过对中国和欧盟的个人信息评估工作中的一些要点分析,来给以上问题提供一个解决思路。

第一,为什么要做个人信息评估?

中国:《中华人民共和国个人信息保护法》规定了我国对个人信息处理的基本要求和原则。第四条定义了个人数据,第5-10条规定了基本原则。并且明确了国家要协调并且监督这个工作。

第六十条国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。国务院有关部门依照本法和有关法律、行政法规的规定,在各自职责范围内负责个人信息保护和监督管理工作。

怎么监督?一是抽查市场上的APP,二是对数据跨境要求通过国家网信部门组织的安全评估;按照国家网信部门的规定经专业机构进行个人信息保护认证。

第五十五条有下列情形之一的,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录:

(一)处理敏感个人信息;

(二)利用个人信息进行自动化决策;

(三)委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;

(四)向境外提供个人信息;

(五)其他对个人权益有重大影响的个人信息处理活动。

同时《数据出境安全评估办法》规定

第四条数据处理者向境外提供数据,有下列情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估:

(一)数据处理者向境外提供重要数据;

(二)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;

(三)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;

除了以上法规规章,《信息安全技术 个人信息安全影响评估指南》 GB/T 39335-2020》也确定了一系列的标准来劝说或者强制要求个人信息评估。

欧盟:欧盟GDPR提到如果使用了新技术,或者综合考虑到本质,范围、情形和数据处理的目的会导致高风险侵犯自然人的权利时,应该考虑开展DPIA。但是DPIA不是合规的表示,也是不是认证,更不是证明。不过不做DPIA明显风险更高。29工作组推荐DPIA因为反过来这是一个很好的工作工具可以帮助数据控制者(controller)来完成合规的要求。

在欧盟的相关案例中,进一步举例了高风险包括:1)大批量处理个人敏感数据。2)个人犯罪信息。3)大范围的系统化监控公共区域。4)评估或者打分:关于数据主体工作中的表现,经济状况,健康,个人倾向和兴趣,行为的可靠性,位置和移动。贴切的例子比如银行对需要贷款的人进行的评估。基因公司对个人提供健康的预测,通过个人浏览器的行为痕迹来建立行为分析档案和市场档案。5)自动化决策。6)2个和以上的基于不同的处理目的数据库已经合并且整合。7)对弱势群体的分析:比如雇员和雇主相比就属于弱势群体,对自己行为明确缺乏理解的儿童,还有精神上有疾病的人群。避难所的人群,年纪大的人,病人。8)IoT下的应用,比如面部识别相关应用。9)跨境数据传输

e4592dd75509e72b432e6e814387281f.jpg

表格一:数据评估要素核对表

从上图可以看出:基因和健康数据、长期的监控、公司内部使用监控监控员工、通过网络社交媒体来采集个人数据给私人公司用来联系个人都是需要做个人信息数据评估的。

中国《信息安全技术 个人信息安全规范标准号:GB/T 35273-2020》(以下简称标准)规定:以上理论同样适用于中国,不少企业已经倾向于通过实施个人信息安全影响评估来达到数据合规。如果评估的目的只是看一下企业做的不足的地方,可以进行合规差距评估,重点在于符合相关法律、法规或者标准的基线要求,着重识别待评估的具体个人信息处理活动已有安全控制措施和法律、法规的差距。如果评估的目的是在合规之上,进一步提升自身安全风险管理能力和安全水平时,进行的就是尽责型风险评估,可以达到审慎经营、声誉维护、品牌建立等目的。比如业内的小米,隐私保护已经成为其品牌效果之一,国外的苹果公司不惜得罪广告主,拒绝自动识别手机识别码即国际移动设备识别码,英文简称IMEI。

2ea1b01b8beb255527d1841af09deafc.jpg

表格二:高风险的个人信息处理活动及场景示例

对比看中国和欧盟的业务场景示范基本没有什么差异。中国更看重数据的级别和特定人群比例数值。

第二,个人信息评估的价值

如果说上面阐述的更多的是法规强制要求做评估的情形,那么企业为什么会主动做个人信息评估项目呢。

欧盟工作组THE WORKING PARTY认为此评估是一个有用的工具来展示自己的责任心,不仅可以帮助控制者controller来完成符合GDPR要求的合规要求,同时也显示了企业本身已经采取了合适、恰当的措施来保证合规性。简言之,DPIA就是一个建立和展示合规的过程。同时不符合DPIA的要求会导致监管机构的最高一千万欧元的罚款或者全球营收额的2%的罚款。

中国标准认为实施评估,能有效加强对个人信息主体权益的保护,有利于组织对外展示其保护个人信息安全的努力,增进个人信息主体对其的信任。

欧盟和中国基本上2者没有很大的差别。无论是中国还是欧盟在国家对企业展开调查的时候,合规包括个人信息评估是可以使用的最有效的免责证明。即使欧盟强调了,有此评估不代表你可以合规,但是如果没有此评估是万万不可的,因为反应了企业没有数据保护和安全的意识。

第三,个人信息评估时要点

中国标准列举了2个标准:合规差距评估和尽责性风险评估。2者的区别就是在于对于对于最终目的是为了合规,还是在合规之上,力求能审慎经营,声誉维护、品牌建立。

在合规差距评估中可以根据评估的对象的全面性分为:整体合规份或者局部合规分析。整体合规分析侧重于在在产品的生命周期。1)从产品、服务或者项目的规划阶段,考虑通过保护个人信息的措施来达到合规,比如安全机制的可实现性,可行性,可追踪性等。2)运营过程中,能够敏感识别因素的变化是否对评估结果产生影响,从而决定是否需要审核和修正 3)建立责任制度:监督岗位具有个人数据保护的意识,能够事前意识到,有监督,事后改善或清除。4)提升内部员工的个人信息安全意识,多维展开数据保护

欧盟的要求是一定要在开展数据收集之前就做评估,负责展开的工作是控制者 Data Controller,在DPO和处理者Processor的协助下。不管是别人做的评估不管是内部的还是外部的人员,控制者controller最终是负责人。DPIA的要素应该包含:

1)涉及到操作流程的描述和处理的目的;

2)对流程的必要性和比例行进行评估;

3)针对下列的措施:定位风险;展示对规范的合规性。

做好的评估可以部分或者全部公开,但是不是强制性的要求,可以由控制者Controller来控制。但是发布DPIA决定可以增加市场的信心。如果DPIA揭示出更高的风险,控制者controller应该向监督机构Supervisor Authority寻求高级顾问的帮助。

总的来说GDPR规范的是原则性的指导和要求,可以论述为:综合考虑属性,范围,前后关系,处理的目的,同时考虑风险的变化性和对自然人权利和自由的重要性,控制者controller应该实施适当的技术和组织上的措施来确保并且能够展示处理的过程能够符合规定的合规要求。同时这些措施应该及时更新。

中国规定更见细节:建议评估可以通过1)访谈 2)检查 3)测试来完成。开展评估前,需对待评估的对象(可为某项产品、某类业务、某项具体合作等)进行全面的调研,形成清晰的数据清单及数据映射图表(data flow charts),并梳理出待评估的具体的个人信息处理活动。

中国规定5.2.3确定评估对象和范围-详细说明工作方法。其中5.2.3的b提到描述系统设计信息是,包括但是不限于:1)功能(或逻辑)结构概览 2)物理结构概述等。笔者认为其实一张图就可以概括以上要点:产品的构架图Product Architecture

9736f49041096c224953755f8e8d01fb.jpg

表格三:某知名公司产品构架图

通过上图可以清楚的看出1)产品和系统的交互处 2)产品在具体的流程中使用的技术。根据1)可以交叉对比公司产品流程中问题,根据2)可以避免重复对数据处理的合规性的检查。业务场景当然是一个重要的检查维度,此维度可以用来反向检查根据1)和2)设立的检查结果。

个人信息安全评估着眼点起于数据的收集,有了数据的收集才会有后面的处理问题。数据的收集的载体是硬件和软件的综合,配合着业务流程。如果根据业务场景来进行检查,容易出现重复问题。根据GDPR重复的流程和风险是不需要重复评估的,但是业务场景是有不同的业务人员参与的,笔者认为多个维度的检查可以反复印证评估的正确性和严谨性,一个好的产品构架图可以为评估提供一个全面的蓝图。

中国标准提到:1)处理个人敏感信息 2)使用自动化决策方式处理个人信息 3)委托处理个人信息 4)向第三方转让或共享个人信息 5)公开披露个人信息 6)向境外转移个人信息涉及以上场景的,应该开展评估。评估从类别划分,可以分为1)个人信息处理目的变更评估 2)个人信息匿名化和去标识化效果评估 3)确定个人信息安全事件处置方案的评估。

对于要求在合规之上的,根据以下要点应开展评估:

1. 数据处理涉及对个人信息主体的评价或评分,特别是对个人信息主体的工作表现、经济状况、健康状况、偏好或兴趣的评估或预测;

2. 使用个人信息进行自动分析给出司法裁定或其他对个人有重大影响的决定;

3. 系统性的监控分析个人或个人信息,如在公共区域监控、采集个人信息等,但仅在涉及违规事件分析时才使用的视频监测系统除外;

4. 收集的个人敏感信息数量、比重较多,收集频率要求高,与个人经历、思想观点、健康、财务状况等密切相关;

5. 数据处理的规模较大,如涉及 100 万人以上、持续时间久、在某个特定群体的占比超过 50%、涵盖的地理区域广泛或较集中等;

6. 对不同处理活动的数据集进行匹配和合并,并应用于业务;

7. 数据处理涉及弱势群体的,如未成年人、病人、老年人、低收入人群等;

8. 创新型技术或解决方案的应用,如生物特征识别、物联网、人工智能等;

9. 处理个人信息可能导致个人信息主体无法行使权利、使用服务或得到合同保障等。

中国标准从不同的维度指导我们完成评估,在5.5.1提出可以通过个人权益影响分析来达到对流程和系统全面的数据检查,结合维度

1. 受影响的方面:a)限制个人自主决定权 b)引发差别性待遇 c)个人名誉受损或遭受精神压力 d)人身财产受损

2. 受影响的阶段:a)个人信息敏感程度分析 b)个人信息处理活动特点 c)个人信息处理活动问题分析 d)在个人权益影响程度分析阶段

欧盟更看重从其要求的原则着手:

1. 对涉及的流程的系统化描述

a)本质,范围、来龙去脉和处理的目的;

b) 个人数据的描述,数据接收方,存储期限;

c)处理过程的功能性描述;

d)数据的载体:硬件,软件,网络,人员,纸张,或者纸张交互渠道;

e)行业规范的参考 codes of conduct。

2. 必要性和比例的评估

a) 有必要的措施满足35条(7)(d)的要求:控制风险的措施,包括安全措施等来展示对法规原则行要求的一致性;只取需要的数据;

b) 对数据主体的权利的保护要求:需要提供给数据主体的信息,可携权、获得的权利,修正和去除的权利、反对的权利,限制处理程序的权利;和数据处理者的关系、国际数据传输的安全措施、事前的咨询;

c) 对数据主体的权利和自由的风险的管理:从数据主体的角度考虑设计的风险管理,潜在的对数据主体的权利和自由的影响,潜在的威胁,可能性的评估;

d) 相关主体的考虑:DPO的建议,数据主体的看法和他们的代表的看法。

可见中国的标准更为看重几个重点区域的评估,欧盟的要求更为原则话,欧盟GDPR指出其主要是制定主要原则,各个成员国还可以自己制定自己的要求和强制法规。简单的说欧盟GDPR就是底线,成员国的要求不可以低于此要求,可以高于此要求。

第四,重要的步骤

欧盟GDPR曾经推荐英国的示范DPIA,随着英国的脱欧,欧盟不再推荐。但是欧盟还没有推出新的文档替代,笔者认为此文档仍然具有参考性。以下为英国DPIA简述。

1. 确定DPIA的必要性

概括的解释本项目要达到的目的和涉及到的处理过程。可以嵌入文件的链接,比如项目的计划书。总结为什么认定这些需求是为了DPIA。

2. 描述处理过程

描述处理过程的本质:数据是怎么样被收集、使用、存储和删除。数据的来源是哪里,数据会和第三方分享?推荐使用数据流程图或者其他描述数据流向的方法,被标注为高风险的处理类型。

描述处理的范围:数据的本质是什么?是否包含特殊种类或者犯罪类数据。有多少数据会被收集和使用?频率是什么?数据会被保持多久?有多少个个体会被影响到?地理范围的覆盖地域?

描述处理过程的来龙去脉:本质上你和数据个体是什么关系?数据主体个人有多少的控制权?他们知道你使用数据的方式和途径吗?数据主体会有孩子或者其他弱势群体吗?在此类处理下有没有优先需要考虑的?或者需要优先考虑的安全缺陷?是否使用的新的科技?此类科技在相关领域的状况?是否能想到任何公众考虑或者看重的点?是否符合当前最新的行业规范或者认证(曾经被批准过)?

描述处理过程的目的:处理的目的是什么?对个体的影响?处理的对你的收益或者广泛的讨论。

3. 咨询过程

考虑怎么咨询相关的股东:描述何时或者怎么样你会问询个人的观点和看法-或者你的判断认为此行为不合适?你的组织中,你还需要把谁包括进来?是否需要处理者协助?是否计划咨询信息安全专家,或者其他的专家。

4. 评估必要性和比例性

描述合规性和比例性的措施:特别着重于处理的合法性基础。处理的过程和目的的契合性。是否有其他的方法可以达到同样的目的?你怎么预防功能蠕变?怎么确保数据的质量和数据的最小化?你需要给数据主体个体什么信息?你做什么帮助来支持他们的权利?你采取了什么样的措施来帮忙(processor)处理者来合规?你怎么安全地保证内部的数据传输。

5. 锁定和评估风险

a6f6ca213e7e801859d2d47406529ff9.png

6. 标明降低风险的措施

c84fb0037c7bd5e6d8f1cd4133ec2615.png

7. 签署和记录成果

b85332893bf78c70dfe987b30af9d3cd.png

中国标准要点

在《信息安全技术 个人信息安全影响评估指南》 GB/T 39335-2020》第五章评估实施流程里面详细描述了评估的具体步骤。其中最为重要的应该是5.3数据映射分析(mapping)和5.4风险源识别。

7f81814617751d59b9bc6be138aea47d.png

表格四:个人信息映射表

此表揭示了在场景处理中,具有高风险的几个要素。

风险源的识别,此标准详细的指明了几点方面,基本涵盖了一般的业务场景。1)网络环境和技术措施 2)个人信息处理流程 3)参与人员与第三方 4)业务特点和规模及安全态势

中国的评估包括以下内容:

1)个人信息保护专员的审批页面;

2)评估报告适用范围;

3)实施评估;

4)撰写报告的人员信息;

5)参考的法律、法规和标准;

6)个人信息影响评估对象(明确涉及的个人敏感信息);

7)评估内容;

8)涉及的相关方等;

9)个人权益影响分析结果;

10)安全保护措施分析结果;

11)安全事件发生的可能性分析结果;

12)风险判定的准则;

13)合规性分析结果;

14)风险分析过程及结果;

15)风险处置建议等。

对于报告要不要公开发布,中国和欧盟的规定是一致的。可以公开也可以不公开,可以全部也可以部分公开。

现在的科技,把IT和技术推到了一个重要的位置,要求技术人员在一开始就要有数据保护的概念,下面标准供曾经和我一个战线的码农界的同仁参考,祝他们码农生活hello World,rock World。

0. Develop in compliance with the GDPR 确保开发是合规的

确保在开发的过程中有人可以回答你关于合规的问题,自己要明白什么个人数据的范围,特别是敏感数据。一定要确保整个开发过程的数据安全。

1. Identify personal data:确认个人数据的范围

要知道什么个人数据,什么是敏感数据,特别是匿名化和假名化的规定,GDPR有很清楚的定义。

2. Prepare your development:准备好你的开发和发展

个人数据的保护始系统第一步的开发和搭建,贯彻全部的过程目的是为了让数据主体能感到自己可以控制自己的数据

3. Secure your development environment:确保开发环境的安全

系统应该是homogeneous同步和可重复性的,权限和访问是重中之重。

4. Manage your source code:管理好源代码

5. Make an informed choice of architecture:通知必要的人可供选择的构架结构

6. Secure your websites, applications and servers:确保你的主页安全,应用安全,服务器的安全

7. Minimize the data collection:最小化数据收集

8. Manage user profiles:管理好用户的档案

9. Control your libraries and SDKs:管理好你的库和SDK

10. Ensure quality of the code and its documentation:保证代码的质量和文档

11. Test your applications:测试好应用

12. Inform users:尽到通知用户的责任

13. Prepare for the exercise of people’s rights:对用户要实行自己的权利的情况做好准备

14. Define a data retention period:定义好数据保留期限

15. Take into account the legal basis in the technical implementation:在技术实施的过程中要考虑法律的要求和限制

16. Use analytics on your websites and applications:对你的网址和应用使用分析工具

观众测量工具用来获得浏览网页或者手机浏览的用户。使用cookie,必须符合同意的规则,这部分和ePrivacy息息相关,最好咨询本地数据保护机构。

最后,用一个做DPIA的方法论图表来结束本文,世界大同, 师夷长技以制夷。

cc5694881a040a203133de68d99fb3dc.png

返回列表