今年7月,圆通速递有限公司河北省区内部员工与外部不法分子勾结,利用员工账号和第三方非法工具窃取运单信息,导致40万条个人信息泄露。从垃圾短信到诈骗电话,很多人都遭遇过个人信息泄露,“内鬼”犯案不是第一次出现也不是只存在于一家企业,为什么总也拦不住?有专家指出,在新技术、新业态、新模式快速发展的信息时代,我们亮出的法律牙齿还不够锋利不够健全。
根据2020年11月19日国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告(2020年第26号),全国信息安全标准化技术委员会归口的GB/T 39335-2020《信息安全技术 个人信息安全影响评估指南》国家标准正式发布,并将于2021年6月1日正式实施。本则指南历时3年终于发布,为公民个人信息再添一张保护伞。《个人信息安全影响评估指南》的出台无疑为合法合规处理个人信息提供有力指引,个人信息处理活动进行前或进行中,应及时启动个人信息安全影响评估工作,根据评估结果采取或调整相应安全保障措施,才能有效控制风险,赢取公众的信任。
《个人信息安全影响评估指南》由五个章节以及四份附录组成。其中第四章节“评估原理”和第五章“评估实施流程”作为主要章节,配合附录参考性材料,以“先原理后细节”的整体逻辑,明确指出了个人信息安全影响评估的基本原理、实施流程、评估细节,更加具象且专注于具体实操,对个人信息安全影响评估的工作落地起到了重要的指导意义。
评估原理
《个人信息安全影响评估指南》以流程图形式对评估原理进行了说明。从图中可知,个人信息安全影响评估以调研产生的数据映射分析报告为基础,在分析个人信息处理活动的前提下分别判定其对个人权益的影响程度和产生安全事件的可能性,两者结合最终确定风险级别。
组织需指定个人信息安全影响评估的责任部门或责任人员,通常由法务部门、合规部门或信息安全部门承担该工作职责。《个人信息安全影响评估指南》介绍了三种基本评估方法:访谈、检查与测试,并对其定义与对象进行详细规定。
评估流程
(一)评估准备工作
开展评估前,组织应对其新产品或服务的开发、启动、发布等环节是否需开展评估进行必要性分析。必要性分析包括合规差距评估及尽责性风险评估两个方面。根据《网络安全审查办法》,若关键信息基础设施运营者采购网络产品和服务,影响或可能影响国家安全的,还应先依法进行网络安全审查。
在确定评估的必要性后,组织应进行评估准备工作,该阶段包括组建评估团队、制定评估计划、确定评估对象和范围以及制定相关方咨询计划。
首先,组织需任命评估人并指定人员负责签署评估评估报告,由评估人确定影响评估报告的提交对象、评估时间段以及是否会公布评估报告或其摘要。
其次,评估计划在制定时应清楚规定完成评估需进行的工作、评估任务分工、评估计划表,此外还需考虑待评估场景中止或撤销的情况。
再次,在确定评估对象和范围时应从三个方面进行描述:系统基本信息、系统设计信息、处理流程和程序信息。
最后,需咨询的相关方包括但不限于员工、个人信息主体和消费者代表、分包商和业务合作伙伴、系统开发和运维人员以及对于评估有相应担忧的其他组织人员等,《个人信息安全影响评估指南》还就咨询计划的制定进行规定。
此外,组织在开展影响评估时,还可督促适当的相关方(主要包括分包商和业务合作伙伴)开展影响评估。适当的相关方有义务开展或者需配合组织开展,组织可应用相关方的影响评估报告作为咨询结果。
(二)评估实施
评估实施时需考虑评估规模、评估方法和评估工作形式等三要素。通常而言,组织在实施影响评估时,个人信息的类型、敏感程度、数量,涉及个人信息主体的范围和数量,以及能访问个人信息的人员范围等,都是影响评估规模的重要因素。
以“个人权益影响分析”为例,其指分析特定的个人信息处理活动是否会对个人信息主体合法权益产生影响,以及可能产生何种影响。组织可根据数据映射分析结果及确定需评估的个人信息处理活动,结合相关法律、法规、标准的要求或组织自定义的个人信息安全目标,分析个人信息处理活动全生命周期或特定处理行为对个人权益可产生的影响,以及个人信息泄露、毁损、丢失、滥用等对个人权益可能产生的影响,以审视是否存在侵害个人信息主体权益的风险。《评估指南》列举了分析过程中需考量的四个维度:
限制个人自主决定权
|
例如被强迫执行不愿执行的操作,缺乏相关知识或缺少相关途径更正个人信息、无法选择拒绝个性化广告的推送、被蓄意推送影响个人价值观判断的资讯等
|
引发差别性待遇
|
例如因疾病、婚史、学籍等信息泄露造成的针对个人权利的歧视;应个人消费习惯等信息的滥用而对个人公平交易权造成损害等
|
个人名誉受损或遭受精神压力
|
例如被他人冒用身份、公开不愿为人所知的习惯、经理等,被频繁骚扰,监视追踪等
|
人身财产受损
|
例如引发人身伤害、资金账户被盗、遭受诈骗、勒索等
|
(三)评估后工作
组织实施个人信息安全影响评估后,应最终形成评估报告,结合第四部分与第五部分关于评估报告的要求,评估报告除用于组织内部完善相关个人信息保护措施外,还可提供给个人信息主体、主管监管部门以及合作伙伴,以配合监管活动,增加客户信任,加强与合作伙伴的协作。
通常情况下,在影响评估工作完成后,组织可根据评估结果选取并实施相应安全控制措施进行风险处置。组织应持续跟踪风险处置的落实情况,评估剩余风险,将风险控制在可接受的范围内。此外,还可将评估结果用于下一次影响评估工作。
《个人信息安全影响评估指南》是《个人信息保护法(草案)》和《个人信息保护规范》标准落地的重要抓手,是我国个人信息安全保护标准体系的关键环节。它规定了个人信息安全影响评估的基本概念、框架、方法和流程,并提出了特定场景下进行评估的具体方法。适用于各类组织自行开展个人信息安全影响评估工作。同时为国家主管部门、第三方测评机构等开展个人信息安全监管、检查、评估等工作提供的指导和依据。