汇业评论

文 | 黄春林 柴明银 汇业律师事务所

《个人信息保护法》实施以来，我国个人信息保护相关的细则渐次落地。近日，国家网信办发布了《个人信息保护法》第五十四条的落地细则——《个人信息保护合规审计管理办法（征求意见稿）》（下称“合规审计办法”）。《合规审计办法》规定，处理超过100万人个人信息的个人信息处理者，应当每年至少开展一次个人信息保护合规审计；其他个人信息处理者应当每二年至少开展一次个人信息保护合规审计。

为了帮助企业理解PbD、PIA、PIPCA三道防线的不同立法目的、制度价值及行业实践，汇业律师事务所黄春林律师团队简要分析如下，仅供参考。

一、PbD：基于产品生命周期的个人信息保护第一道防线

PbD，隐私设计，或者个人信息安全工程，是企业保护个人信息的第一道合规防线，是事前防线。

欧盟GDPR明确规定，在产品设计阶段即应加入隐私保护考量，产品默认设置应最大化保护个人信息安全。因此，在产品的需求、设计、开发、测试、发布等完整生命周期，同步规划、同步实施、同步应用个人信息保护策略及技术。

我国工信部《关于进一步提升移动互联网应用服务能力的通知》（工信部信管函〔2023〕26号）明确规定，“建立全生命周期个人信息保护机制，健全考核问责制度，将相关法规政策要求落实到产品研发、推广和运营各环节，不断提高合规水平”。此外，《信息安全技术 个人信息处理中告知和同意的实施指南》亦推荐，“根据有关国家标准，通过个人信息安全工程等方法，对处理个人信息的系统架构设计进行充分评估”。

参照《信息安全技术 个人信息安全工程指南》，企业在开展PbD之前，宜做好工作团队、制度流程、技术工具等准备工作。实践中，PbD工作开展通常有两种模式：

（1）赋能模式：即个人信息保护相关部门或人员，为业务部门（包括需求部门及开发设计部门等）建立PbD工作指引，详细规定了涉及个人信息处理的产品需求、设计、开发、测试、发布每个环节的合规指引，由业务部门自行开展PbD工作；

（2）评估模式：根据预先建立的PbD工作指引，个人信息保护相关部门或人员牵头有关部门，帮助业务部门评估涉及个人信息处理的产品需求、设计、开发、测试、发布每个环节的合规性，并给出合规意见及整改建议。

因此，总结起来，PbD主要着眼于某个具体的产品在不同的生命周期的个人信息处理合规性，通常由业务部门负责，具有事前性、内部性、自驱性等特点。PbD最大优点是防线靠前，纠错成本低。

二、PIA：基于数据生命周期的个人信息保护第二道防线

PIA，个人信息保护影响评估，是企业保护个人信息的第二道合规防线，也是一道事前防线。

《个人信息保护法》第55条规定，企业在开展可能会影响个人权益、可能会有安全风险的特定的个人信息处理活动，应当事前开展PIA。因此，PIA不仅是企业加强个人信息保护的良好实践，更是企业的一项法定义务，是监管执法及合规审计的重点审查领域。

委托处理、对外提供、跨境提供及公开，是个人信息保护生命周期的重要环节，对个人权益（尤其是控制、决定的权利）影响较大，在流动环节也存在较高的安全风险隐患。因此，在这些重要环节的处理活动发生之前，加入事前评估机制并全面评估处理活动的合法性、正当性、必要性，能够有效避免潜在风险的发生及扩大。也正因此，PIA工作对参与人员的个人信息保护合规专业知识要求较高。

参考《信息安全技术 个人信息安全影响评估指南》等内容，企业应“指定个人信息安全影响评估的责任部门或责任人员，由其负责个人信息安全影响评估工作流程的制定、实施、改进，并对个人信息安全影响评估工工作结果的质量负责。”进一步的，参照《信息安全技术 个人信息安全规范》，个人信息保护负责人和个人信息保护工作机构的职责之一，即是开展PIA。此外，参照《信息安全技术 个人信息安全影响评估指南》，“该责任部门或人员具有独立性，不受到被评估方的影响”。因此，实践中，设立PIA的责任部门主要有两种模式：

（1）独立模式：个人信息保护工作机构（例如DPO办公室、法务部）利用内外部资源独立开展PIA工作；

（2）联合模式：个人信息保护负责人（例如DPO、法务）牵头，成立由安全、IT、法务、业务等部门人员组成的委员会，联合开展PIA工作。

因此，总结起来，PIA主要着眼于某个具体的个人信息处理活动，通常由内部专业机构或专业人员（含派驻人员）负责，具有事前性、内部性、独立性等特点。PIA最大优点是熟悉业务且具有一定的独立性，评估效率高。

三、PIPCA：基于企业全场景的个人信息保护第三道防线

PIPCA，个人信息保护合规审计，分为定期审计和强制审计，是企业保护个人信息的第三道合规防线，是一道事后防线。

《个人信息保护法》《合规审计办法》等规定，PIPCA是对个人信息处理者的个人信息处理活动是否遵守法律、行政法规的情况进行审查和评价的监督活动。这个有三个关键词：（1）合规，合“法律、行政法规”这些外规，需要解释和适用中国法律，即企业是否全面、准确遵守了PIPL、CSL、DSL等法律法规；（2）审计，即通过一定的方法，例如访谈、现场检查、文档查阅、穿行测试等方式“进行审查和评价”；（3）监督，这是一个监督活动，独立性是应有之义。

此外，根据《合规审计办法》附件所列参考要点及《信息安全技术 个人信息保护合规审计指南（征求意见稿）》相关内容，审计的范围不仅包含了企业的制度、机制、措施、信披、培训、应急、岗位、人员等公司层面的合规义务，还包含了人事、安全、IT、合规、客服等BU层面的合规责任，更包括具体产品及服务层面的告知同意、数据出境、敏感个人信息保护等合规落地，几乎覆盖了企业的全场景个人信息保护，是企业个人信息保护的一项全面体检，因此需要更强的独立性、更高的专业度、更广的行业视角和更多的资源支持。实践中，建议企业根据审计批次、审计目标及资源等情况，具体确定定期审计的范围。

因此，总结起来，PIPCA全面着眼于企业全场景的个人信息处理活动，通常由外部专业机构（例如律师事务所、咨询机构及认证机构等）负责，具有事后性、全面性、独立性等特点。PIPCA最大优点是全面、独立，有利于推动企业“以审促建”。