高效率高质量完成PIA,为启动个保合规审计做好准备-个保合规审计“进行时”
发布时间:2025-03-25
阅读次数: 63 次
本文拟从“PIA实施过程中常见问题”“PIA与个保合规审计的互相采信”视角,给出以下建议,供业界参考。
-
-
《个人信息保护法》于2021年11月1日正式施行,其中明确提到满足相关情形的个人信息处理者,应当在事前开展PIA评估,并保留相关记录。事前开展PIA的目的是为了提前规避风险,做到风险防范。然而,很多企业其业务线较多、业务内容复杂,且可能涉及多个实体,在个保法实施前企业尚未来得及事前开展PIA也是常见现象,如果事后不再开展PIA工作,则无法识别是否存在法律法规规定情形下采取安全措施和风险不相适应的情形,导致个人权益遭受侵害。因此,企业及时对现有满足评估条件的个人信息处理活动事后开展PIA,只要评估方法及内容满足相关规范要求,则可以识别可能侵害个人权益的情形,并通过采取安全措施降低安全风险,达到法律法规相关要求的既定目的。
2、PIA评估对象及范围如何界定?越精确越好还是越宽泛越好?是否能合并开展?
-
-
根据GB/T 39335《个人信息安全影响评估指南》要求,PIA原则上应以个人信息处理活动为评估对象,即根据业务场景的维度开展。但是企业如何选定PIA评估范围?如何界定业务场景?如何把控业务场景颗粒度,是不是越精确越好?选定范围内的业务场景是否可以整合为一个场景进行评估?相信很多企业在开展评估前都会有诸如此类的疑问。从评估必要性来看,个保法中提到的五类个人信息处理活动情形均需在事前开展个人信息保护影响评估,基于该项要求,企业在考虑评估对象时,原则上应将所有业务线全部纳入PIA评估范围,但是在实际评估时,部分企业可能存在业务线较多、业务类型复杂、组织内部职责架构不清晰等客观因素,因此从执行层面无法一次性针对所有业务开展PIA评估工作,且评估过程中极有可能出现并行业务频繁变动的情况,导致整体评估工作有效性存在不足。因此,建议企业根据自身业务特点及合规能力,优先选择核心业务或合规风险可能较高的业务开展评估,逐步实现业务的全覆盖。那么企业在选定优先评估的业务线之后,业务场景如何选择和界定也是需要考虑的关键内容之一。从业界常规做法及实践出发,企业可以基于业务流程界定场景颗粒度,一个业务流程可视作一个业务场景,在此基础上,形成整体的场景目录清单并逐个场景开展评估。但是企业需要同步考虑界定业务场景的常见关键要素,包括个人信息种类、处理目的、处理方式、处理范围、数据来源、业务功能/板块等,涉及到相同评估要素的个人信息处理活动或业务流程可以进行整合,视作一个业务场景进行评估。但需要注意的事,如果合并业务场景开展,对个人权益影响分析和风险源识别还需考虑周全,涉及不同业务场景中个性的部分需予以强调,以免产生遗漏。
3、PIA过程中安全措施有效性分析细粒度如何把握?
-
--细粒度应至少与法律法规基础要求相当。
-
根据GB/T 39335《个人信息安全影响评估指南》,PIA中安全控制措施有效性的评估通常包括网络环境和技术措施、处理流程规范性、参与人员与第三方、业务特点和规模及安全态势四种维度。其中,网络环境和技术措施维度的分析通常涵盖系统、平台整体安全、传输与存储、网络边界防护、身份鉴别与访问控制、审计、风险监测与事件处置等方面;处理流程规范性维度的分析通常涵盖合法、正当、必要原则、告知同意的实施、个人信息主体权利保障等方面;参与人员与第三方维度的分析通常涵盖组织架构及负责人、管理体系与制度规程、人员安全管理等方面;业务特点和规模及安全态势的分析通常涵盖业务特点和规模、安全态势等方面。以上评估控制要求基本覆盖了引发合规风险常见的情形,当然企业可以根据安全动态更新补充评估内容,形成风险的持续跟进和闭环。
-
以处理流程规范性维度中“告知同意”这一检查要点举例, PIA过程中对于“告知同意的实施”的分析通常包括以下要点及内容:
-
法律法规要求事前告知同意的情形下,是否在事前告知并按需取得个人信息主体的同意、单独同意、书面同意;
-
处理目的、方式、个人信息种类发生变更时是否及时告知,重新获取同意;
-
-
-
处理不满十四周岁未成年人个人信息的,是否制定专门的个人信息处理规则;
-
-
4、公司业务涉及个人信息跨境,但属于《促进和规范数据跨境流动规定》中的豁免场景,还需要开展PIA吗?
-
-
个保法中第55条明确指出向境外提供个人信息的个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录,这一要求是广泛适用的。个人信息处理者遵循《数据出境安全评估办法》、《个人信息出境标准合同办法》、《个人信息跨境处理活动安全认证规范》、《促进和规范数据跨境流动规定》等规定,通过自评估报告、标准合同、数据出境认证这三条个人信息出境合规路径之一完成个人信息数据跨境的强制性合规义务的,由于其个人信息数据出境这一领域的合规要求已经过相关部门认可,合规路径中已涉及了PIA相关的内容,因此无需重复开展“向境外提供个人信息”情形下的PIA。
-
需注意的是,国家网信部门未作出特别规定的,即不适用于三条个人信息出境合规路径的情况下个人信息处理者仍需向境外提供个人信息,在《促进和规范数据跨境流动规定》中豁免场景范围内的,仍需开展出境场景PIA,并形成评估报告以供开展合规审计时备查。
-
-
-
-
根据个保法及国标要求,PIA通常是以业务场景的维度来开展。但不同性质企业的业务形态和变化情况可能相差甚远,因此,从实践层面来看,企业通常是按照业务维度,结合自身管理需求制定计划,逐步开展PIA工作,这是一个持续动态的过程,最终实现业务全覆盖。
-
即使是在理想情况下,企业能够一次性针对全部业务场景开展PIA,但在业务运营过程中,业务场景很难一成不变,不断会有新业务、新功能、新版本上线,而我国合规体系也在与时俱进。当这些业务变动涉及到个人信息保护领域的新合规要求、引入了新的第三方合作、处理个人信息数量出现激增、计划开拓海外市场等类似情况,企业的个人信息保护合规部门应判断是否需要重新开展PIA评估。
-
国家网信办、公安部最新发布的《人脸识别技术应用安全管理办法》指出,处理人脸信息的目的、方式发生变化,或者发生重大安全事件的,应当重新进行个人信息保护影响评估。
-
根据 GB/T 39335《个人信息安全影响评估指南》,PIA的实施时机参考如下:
-
PIA作为基础性的合规工作,前期准备的充分性对于个保合规审计工作的快速落地和审计效果至关重要,2025年1月1日施行的《网络数据安全管理条例》也明确指出,个人信息保护合规审计、重要数据风险评估、重要数据出境安全评估等应当加强衔接,避免重复评估、审计。内容重合的,相关结果可以互相采信。因此规范、科学、严谨地开展PIA,能够较高程度上为审计工作提供采信输入。
-
1、按国标要求开展PIA,其中对安全措施的分析内容对应的是合规审计指引的要点
-
参考GB/T 35273《个人信息安全规范》,依据GB/T 39335《个人信息安全影响评估指南》的评估方法,PIA评估内容包括个保合规体系与制度建设情况、个保负责人设置、个人权利的响应、数据跨境情况、个人信息保护社会责任报告等方面,而这些恰恰也是审计指引中包含的审计要点,以“处理流程规范性”维度的分析为例,风险分析主要覆盖处理敏感个人信息的合法、正当、必要原则;告知同意的实施;个人信息主体权利保障等方面,而这些内容同样也是审计指引中的审计要点,甚至PIA的检查颗粒度更加细致。
-
从一定程度上说,短时间内上述方面的合规情况不会变化太大,因此,在审计工作开展过程中,仅需要适当复核已经形成的PIA报告即可在审计报告中采信,大大降低了审计工作投入。这也从一定程度上印证了《网络数据安全管理条例》第52条提出的关于加强评估工作的衔接和结果互信的精神。
-
2、依据国标完成评估取得“PIA标识”,可以快速证明落实PIA的要求
-
从《个人信息保护合规审计管理办法》审计要点内容来看,除要求企业在法规要求的情形下开展事前PIA评估,企业是否建立完善的PIA评估制度也是审计关注的内容,因此企业是否建立完备的PIA评估制度,是否按照制度流程实现PIA的业务全覆盖,是合规审计的重要关切。目前,“PIA标识”已经推出三星级评估指南,对企业自身PIA制度建设、PIA人员能力储备、PIA的覆盖面和自动化程度等进行综合评估,这将为进一步增加审计采信度提供重要支撑。
-
下一阶段,PIA专题工作将开启与个保合规审计互信新篇章,助力企业在完成各类型PIA的基础上加速开展个保合规审计工作,践行《网络数据安全管理条例》相关要求,减轻企业的合规审计准备负担。
-
浙公网安备 33010502006954号 
