首頁(yè) 資訊個(gè)人信息安全評(píng)估十情景五豁免

個(gè)人信息安全評(píng)估十情景五豁免

來(lái)源：泰然健康網(wǎng) 時(shí)間：2024年12月29日 15:53

2021-06-23

微信圖片_20210624101912.png

筆者之前撰寫了《個(gè)人信息安全影響評(píng)估—被嚴(yán)重低估的價(jià)值》（以下簡(jiǎn)稱《價(jià)值》），文中分析了個(gè)人信息安全影響評(píng)估的觸發(fā)條件，用表格的方式全景呈現(xiàn)之后，發(fā)現(xiàn)這些觸發(fā)條件的規(guī)定散落在各個(gè)法律文件之中，包括了《網(wǎng)絡(luò)安全法》、《兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)規(guī)定》、《互聯(lián)網(wǎng)個(gè)人信息安全保護(hù)指南》、《個(gè)人信息保護(hù)法（草案）》等文件，文件從不同的監(jiān)管視角對(duì)個(gè)人信息處理者提出其開(kāi)展風(fēng)險(xiǎn)評(píng)估具體的強(qiáng)制性要求。因此，本文在《價(jià)值》一文的基礎(chǔ)上，化繁為簡(jiǎn)，直觀地整理出個(gè)人信息安全評(píng)估的十種情景和五種豁免的情景。

同時(shí)，為進(jìn)一步落實(shí)個(gè)人信息評(píng)估問(wèn)題，國(guó)家市場(chǎng)監(jiān)管總局、國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)發(fā)布《個(gè)人信息安全影響評(píng)估指南》（GB/T39335-2020，下稱：《指南》），并于2021年6月1日正式實(shí)施?！吨改稀芳?xì)化了《個(gè)人信息保護(hù)法（草案）》中的原則性規(guī)定，并明確了評(píng)估的定義和價(jià)值，為企業(yè)開(kāi)展個(gè)人信息安全評(píng)估工作提供了實(shí)操指引。

下文我們就先從《指南》中定義的什么是個(gè)人信息安全影響評(píng)估出發(fā)，分析為何要做評(píng)估，再到觸發(fā)評(píng)估的十種情景列舉，最后明確評(píng)估主體。

一、定義：什么是個(gè)人信息安全影響評(píng)估？

根據(jù)《指南》，個(gè)人信息安全影響評(píng)估是指，檢驗(yàn)個(gè)人信息處理活動(dòng)的合法合規(guī)，判斷對(duì)個(gè)人信息主體可能造成的風(fēng)險(xiǎn)，在企業(yè)現(xiàn)階段保護(hù)措施的基礎(chǔ)上評(píng)估各類措施的有效性。

二、價(jià)值：為什么要做個(gè)人信息安全影響評(píng)估？

對(duì)企業(yè)而言，評(píng)估工作可以規(guī)范組織日常經(jīng)營(yíng)管理活動(dòng)，及時(shí)識(shí)別風(fēng)險(xiǎn)和保護(hù)措施的漏洞，將事后補(bǔ)救的工作前置預(yù)防階段，一來(lái)可以減少管理和合規(guī)成本，評(píng)估成果也可在監(jiān)管和調(diào)查過(guò)程中發(fā)揮重要作用；二來(lái)可以重塑企業(yè)形象，為企業(yè)贏得良好的知名度和美譽(yù)度。

對(duì)于個(gè)人信息主體而言，其是被保護(hù)的重心所在。個(gè)人信息安全評(píng)估報(bào)告可助其了解個(gè)人信息將如何被處置、保護(hù)，供其判斷是否存在任何風(fēng)險(xiǎn)，在“數(shù)據(jù)透明”的時(shí)代下保障個(gè)人對(duì)個(gè)人信息數(shù)據(jù)的知情權(quán)。

對(duì)監(jiān)管機(jī)構(gòu)而言，在處理個(gè)人信息安全相關(guān)投訴、開(kāi)展相關(guān)事件調(diào)查時(shí)，評(píng)估報(bào)告可作為其開(kāi)展工作的重要參考，甚至將此作為處罰幅度確定的裁量要素。

三、強(qiáng)制評(píng)估十情景：個(gè)人信息安全影響評(píng)估

觸發(fā)個(gè)人信息安全影響評(píng)估的條件有哪些？答案目前散見(jiàn)于各個(gè)法律法規(guī)以及文件中，讓處理數(shù)據(jù)的企業(yè)無(wú)所適從，我們分析整理所有相關(guān)法律文件中的規(guī)定，明確以下十種情景被強(qiáng)制要求需要進(jìn)行個(gè)人信息安全評(píng)估。

情景1:處理個(gè)人敏感信息

所謂“敏感信息”是指一旦泄露或者非法使用，可能導(dǎo)致個(gè)人受到歧視或者人身、財(cái)產(chǎn)安全受到嚴(yán)重危害的個(gè)人信息，如身份證號(hào)碼、電話號(hào)碼、指紋、人臉等信息。

《個(gè)人信息保護(hù)法（草案）》第29條第2款。

情景2:自動(dòng)化決策

利用個(gè)人信息自動(dòng)化決策且對(duì)個(gè)人信息主體權(quán)益造成顯著影響的。如某寶獲取用戶位置、消費(fèi)能力、使用軟件時(shí)長(zhǎng)等信息，給用戶精準(zhǔn)推送產(chǎn)品等，還比如軟件根據(jù)個(gè)人信息決定個(gè)人征信及貸款額度等。

《GB/T35273—2020信息安全技術(shù)個(gè)人信息安全規(guī)范》第7.7條。

情景3:委托第三方處理

委托他人處理自身收集的個(gè)人信息。即滿足授權(quán)同意的前提下，自身不具備信息處理能力或與外部第三方進(jìn)行合作時(shí)，委托其他技術(shù)團(tuán)隊(duì)等為其處理信息。

《互聯(lián)網(wǎng)個(gè)人信息安全保護(hù)指南》第6.5條、《GB/T35273-2020信息安全技術(shù)個(gè)人信息安全規(guī)范》第9.1條。

情景4:向第三方提供

向第三方提供個(gè)人信息的情形是自身收集信息之后，提供給其他人使用，不論是有償還是無(wú)償。

《個(gè)人信息保護(hù)法(草案)》第54條。

情景5:公開(kāi)個(gè)人信息

個(gè)人信息原則上不得公開(kāi)，除非經(jīng)過(guò)法律授權(quán)或者具備合理是由需要公開(kāi)個(gè)人信息。

《互聯(lián)網(wǎng)個(gè)人信息安全保護(hù)指南》第8.4條。

情景6:向境外提供個(gè)人信息

一般情況下，應(yīng)當(dāng)在境內(nèi)收集和產(chǎn)生的信息存儲(chǔ)在境內(nèi)，向境外提供時(shí)原則上應(yīng)當(dāng)經(jīng)過(guò)國(guó)家網(wǎng)信部門組織的安全評(píng)估。

《網(wǎng)絡(luò)安全法》第37條、《個(gè)人信息保護(hù)法（草案）》第38條。

情景7:數(shù)據(jù)共享、轉(zhuǎn)讓

數(shù)據(jù)共享：是指與數(shù)據(jù)處理企業(yè)以外的任何企業(yè)、組織和個(gè)人分享用戶的個(gè)人信息。如某打車軟件，為了提供地圖服務(wù)與某導(dǎo)航軟件進(jìn)行用戶信息共享。

數(shù)據(jù)轉(zhuǎn)讓：是指數(shù)據(jù)處理企業(yè)將用戶的個(gè)人信息以有償或無(wú)償?shù)姆绞睫D(zhuǎn)讓給任何企業(yè)、組織和個(gè)人。如某征信企業(yè)，將其收集到用戶征信信息轉(zhuǎn)讓給某貸款企業(yè)。

《互聯(lián)網(wǎng)個(gè)人信息安全保護(hù)指南》第6.6條、《GB/T35273—2020信息安全技術(shù)個(gè)人信息安全規(guī)范》第9.2條

情景8：數(shù)據(jù)融合

所謂數(shù)據(jù)融合：是指將不同來(lái)源的數(shù)據(jù)進(jìn)行整合來(lái)獲得更高質(zhì)量的信息。如電商平臺(tái)公司除了提供傳統(tǒng)的電商平臺(tái)服務(wù)，還通過(guò)平臺(tái)向用戶提供金融服務(wù)，為了提供更精準(zhǔn)的服務(wù)，電商平臺(tái)公司將兩條產(chǎn)品線的數(shù)據(jù)庫(kù)打通，根據(jù)用戶的消費(fèi)能力和消費(fèi)習(xí)慣來(lái)調(diào)整貸款額和利息。

《GB/T35273—2020信息安全技術(shù)個(gè)人信息安全規(guī)范》第7.6條。

情景9:接入SDK

接入第三方產(chǎn)品時(shí)的APP開(kāi)發(fā)者和第三方產(chǎn)品開(kāi)發(fā)者。接入SDK（輔助開(kāi)發(fā)某一類應(yīng)用軟件的相關(guān)文檔、范例和工具的集合）收集個(gè)人信息前需要對(duì)第三方 SDK進(jìn)行安全性評(píng)估，不僅如此，SDK提供者在發(fā)布上線前，也應(yīng)進(jìn)行安全評(píng)估。

《GB/T35273—2020信息安全技術(shù)個(gè)人信息安全規(guī)范》第9.7條、《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南—移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序（App）中的第三方軟件開(kāi)發(fā)工具包（SDK）安全指引（征求意見(jiàn)稿）》第4.1條、第4.2條。

情景10:向第三方轉(zhuǎn)移兒童個(gè)人信息

網(wǎng)絡(luò)運(yùn)營(yíng)者向第三方轉(zhuǎn)移兒童個(gè)人信息的，應(yīng)當(dāng)自行或者委托第三方機(jī)構(gòu)進(jìn)行安全評(píng)估。

《兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)規(guī)定》第十七條。

四、豁免評(píng)估五條件：僅以下情況可豁免

針對(duì)上述列舉的觸發(fā)強(qiáng)制評(píng)估的十種情形中，《數(shù)據(jù)安全管理辦法（征求意見(jiàn)稿）》第27條規(guī)定了僅限于以下五種情形可構(gòu)成豁免。

情景1:從公開(kāi)渠道收集信息且不違背個(gè)人信息主體意愿。

情景2:個(gè)人信息主體主動(dòng)公開(kāi)。

情景3:將經(jīng)過(guò)匿名化處理的個(gè)人信息提供給他人。

情景4:執(zhí)法機(jī)關(guān)依法履行職責(zé)所必需。

情景5:維護(hù)國(guó)家安全、社會(huì)公共利益、個(gè)人信息主體生命安全所必需。

五、誰(shuí)來(lái)做個(gè)人信息安全影響評(píng)估？

根據(jù)《指南》，企業(yè)可以根據(jù)自身情況自行開(kāi)展個(gè)人信息安全影響評(píng)估工作，也可聘請(qǐng)外部獨(dú)立第三方開(kāi)展合規(guī)工作。若企業(yè)內(nèi)部組織架構(gòu)不完善、部門之間尚不完全獨(dú)立，建議委托外部第三方機(jī)構(gòu)（如律師事務(wù)所、安全技術(shù)機(jī)構(gòu)、咨詢公司等）進(jìn)行獨(dú)立且專業(yè)的評(píng)估。第三方機(jī)構(gòu)開(kāi)展個(gè)人信息安全評(píng)估時(shí)就更加中立，并對(duì)評(píng)估過(guò)程中發(fā)現(xiàn)的問(wèn)題對(duì)癥下藥，提供合規(guī)解決方案，降低企業(yè)被下架、約談、整改的風(fēng)險(xiǎn)，保障相關(guān)企業(yè)的持續(xù)運(yùn)營(yíng)。

本文作者：