一、“個人信息保護影響評估”是風險路徑的直接體現
規范個人信息處理者的信息處理行為,無非是兩個主要路徑。一是直接設定具體的行為規范。此方面主要體現在《個人信息保護法》第二章“個人信息處理規則”。這一章對個人信息處理的全生命周期的主要環節——“收集、存儲、使用、加工、傳輸、提供、公開、刪除”——逐一給出了規定動作。首先,開展個人信息處理之前,個人信息處理者需要根據處理個人信息的目的,確定適當的合法性基礎,即第十三條所規定的各種情形。其次,針對個人信息處理者選擇個人的同意作為合法性基礎時,第十四至十八條共同規定了告知的內容和例外、個人的同意形式、同意的撤回、同意的自愿性質等。再次,第十九條規定了個人信息存儲時間最小化的準則。此外,第二十至二十三條規定了共同處理、委托處理、向其他個人信息處理者提供其處理的個人信息,以及“因合并、分立、解散、被宣告破產等原因需要轉移個人信息”等不同情形中的行為規范。《個人信息保護法》第二章的第二節還專門對“敏感個人信息”的處理規則做出了規定。以上種種,均是直接對個人信息行為做出了具體規范。
除了直接的行為規范之外,不少國家和地區的個人信息保護相關的法律、法規、標準的規定提出了一種“評估式合規”要求(assessment-based compliance)。這類規定并沒有針對特定的個人信息處理活動提出明晰、確定的安全控制措施,而是要求組織針對特定個人信息處理活動,開展具體的風險分析并采取與風險相稱的安全控制措施,將對個人信息主體合法權益不利影響的風險降低到可接受的程度,才符合其規定。我國《個人信息保護法》提出的“個人信息保護影響評估”和歐盟《通用數據保護條例》(GDPR)提出的“數據保護影響評估”(data protection impact assessment)即為典型的例子。這樣的規范路徑并不事先設定,而是要求個人信息處理者完成一個完整的風險評估流程,并根據評估得到的風險自主提出合規措施。
簡單來說,針對某一信息處理環節直接設定具體的行為規范,即直接明確“規定動作”;而“評估式合規”要求,則需要個人信息處理者通過風險評估這個“規定動作”得出合適的“自選動作”。因此,后者是基于“風險路徑”,其核心目的是在一定場景中,超越“靜態底線式”的個人信息保護合規,實現有效、全面地掌握信息處理行為對個人合法權益影響的風險變化,有針對性地提出安全保護措施,最終達到動態優化式的權益保護效果。這樣的思路在個人信息處理行為日益復雜化、泛在化、鏈條化的今天,尤為重要。
二、“個人信息保護影響評估”符合國際先進實踐
其實,風險路徑對信息安全來說并不陌生,信息或網絡安全風險評估已有成熟的實踐,其針對的是組織的IT和數據等資產不受來自外界和內部的風險源的破壞。但在個人信息保護的語境下,組織之外的個人是保護重點。因此風險路徑完成了“由內及外”的視角轉換。為了與過去的風險評估相區別,國際上均采用了影響評估的概念(例如考慮對生態影響的環境影響評估),目的是控制組織的信息處理行為對外(即對個人)的影響。
GDPR在許多方面貫徹了風險路徑,特別是其第24條對數據控制者保護義務的總體性規定。第24條的第一款規定:“考慮到數據處理的性質、范圍、情境、目的,以及對自然人權利和自由的不同程度和大小的風險,數據控制者應采取合適的技術和組織方面的措施,以保證數據處理符合GDPR的規定。這些措施應經常評估和更新”。第二款更規定上述“措施應與數據處理的風險合乎比例,應包括在內部建立合適的數據保護政策。”顯然,該條文的寫法也突出風險路徑。用大白話說就是,你要干什么事,就要考慮會對外界造成什么風險;為了降低這些風險,需要提出與面臨風險相稱的保護措施;這些保護措施還必須經常評估和更新,以適應風險態勢的變化。
以上是對數據處理風險一般性的規定。對于高風險的數據處理行為,GDPR還專門規定數據控制者應當開展數據保護影響評估。第35條第一款規定:“在考慮數據處理性質、范圍、情境、目的后,數據控制者如認為數據處理,特別是采用新技術的處理,可能導致個人權益有較高的風險被侵害的,應在處理前,進行數據保護影響評估”。該條第三款還規定了“在以下場景中,數據保護影響評估被特別要求:a)基于自動化數據處理,包括數字畫像,對數據主體個人方面開展系統和廣泛的評估,且評估對個人能產生法律效力,或類似重大的影響;b)對特定類別的數據進行大規模處理,或處理與刑事犯罪和刑事起訴相關的個人數據的;c)對公開區域進行大規模、系統性監控的”。開展數據保護影響評估的目的,在于督促數據控制者主動考慮風險,主動提出降低風險的方案。GDPR還在第36條規定,“如前述的數據安全影響評估表明,數據控制者不采取額外措施的話,數據處理將帶來較高的風險,則數據控制者應在數據處理開始前,征求監管機構的意見。”
除了歐盟之外,日本、澳大利亞、加拿大、巴西、印度、新加坡、英國等主要國家的個人信息保護法律中,都有“個人信息保護影響評估”的類似規定。即便是尚未在聯邦層面制定統一性的個人信息保護法律的美國,也在加州、弗吉尼亞州等州隱私立法方面,確立了類似隱私影響評估的制度。
三、“個人信息保護影響評估”具有科學的實施基礎
我國《個人信息保護法》第五十五條規定了應當開展“個人信息保護影響評估”的情形,具體包括:(一)處理敏感個人信息;(二)利用個人信息進行自動化決策;(三)委托處理個人信息、向其他個人信息處理者提供個人信息、公開個人信息;(四)向境外提供個人信息;(五)其他對個人權益有重大影響的個人信息處理活動。第五十六條規定了評估的內容:(一)個人信息的處理目的、處理方式等是否合法、正當、必要;(二)對個人權益的影響及安全風險;(三)所采取的安全保護措施是否合法、有效并與風險程度相適應。并進一步規定了個人信息保護影響評估報告和處理情況記錄應當至少保存三年。為了落實上述規定,個人信息處理者顯然需要開展“個人信息保護影響評估”的操作指引,特別是開展評估的方法論。
2020年11月發布并于2021年6月1日生效的國家標準《信息安全技術 個人信息安全影響評估指南》(GB/T 39335-2020)恰好為《個人信息保護法》第五十五和五十六條的實施提供了堅實且科學的基礎。【《個人信息安全影響評估指南》(GB/T 39335-2020)正式發布】該標準歸口于全國信息安全技術標準委員會(TC260),制定時間超過兩年,并充分借鑒了美、歐等國家和地區最新的法律規定、制度設計、標準文本和實踐做法,例如我國《個人信息保護法(草案)》、ISO/IEC 29134:2017《隱私影響評估指南》、歐盟數據保護委員會(EDPB)的數據保護影響評估指南(WP248)、法國國家信息自由委員會(CNIL)的隱私影響評估指南和工具、美國國家標準技術研究所(NIST)關于隱私影響評估的標準文件等。
就內容而言,《個人信息安全影響評估指南》主要包括評估原理(第四章)、評估實施流程(第五章)、評估性合規的示例及評估要點(附錄A)、高風險的個人信息處理活動示例(附錄B)、個人信息安全影響評估常用工具表(附錄C)等。其核心思路是從網絡環境和技術措施、個人信息處理流程、參與人員與第三方、業務特點和規模及安全態勢等四個可能存在風險或發生安全事件的維度出發,評估可能對個人權益造成的影響以及風險。具體而言,《個人信息安全影響評估指南》進一步將個人權益影響細分四個方面:一是,限制個人自主決定權,比如被強迫執行不愿執行的操作、無法更正錯誤上傳的個人信息、無法選擇推送廣告的種類、被蓄意推送影響個人價值觀判斷的資訊;二是,引發差別性待遇,比如隱私信息(疾病、婚史、種族等)泄露造成的歧視、故意設置個人福利、資格、權利的差別等;三是,個人名譽受損或遭受精神壓力,比如公開不愿為人知的事實(生活習慣、以往經歷等),被頻繁騷擾、監視追蹤等;四是,個人財產受損或遭受人身傷害,比如賬戶被盜、遭受詐騙、被勒索恐嚇、限制自由等。
事實上,在標準報批稿階段,標準編制組還在2019年底選取了電子商務、金融、餐飲外賣、新聞資訊、車聯網、SDK、智能家居等多種業態及場景,吸納了10余家企業開展試點,對標準條款合理性和可操作性等進行驗證,進一步保障我國法定的“個人信息保護影響評估”的實施落地。
四、總結
開展個人信息保護工作的根本目的,在于避免個人信息收集、使用等處理行為對個人信息主體的合法權益造成損害。我國《個人信息保護法》將“個人信息保護影響評估”作為一種特定場景下的事前預防機制,幫助個人信息處理者在業務開展之前,通過盡早考慮、分析和處理個人信息保護問題,識別對個人信息主體權益的不利影響,實施有針對性的保護措施。除了對個人的保護之外,“個人信息保護影響評估”能夠降低個人信息處理者的管理成本、法律風險以及潛在的聲譽或公眾信任問題。此外,個人信息保護影響評估也能夠幫助個人信息處理者在政府、相關機構或商業伙伴的合規性審計或調查中證明其遵守了個人信息與數據保護法律、法規和標準的要求。在發生個人信息安全風險或違規事件時,個人信息保護影響評估的制度及記錄評估過程和結果的報告有利于證明處理者已經采取適當措施試圖防止上述情況發生,有助于減輕、甚至免除相關責任和名譽損失。因此,無論是對個人,還是處理者本身,“個人信息保護影響評估”均有重要的意義。善用我國《個人信息保護法》中這個創新性的靈活保護工具,能夠有效地實現業務發展和個人保護之間的平衡。(完)
