前言
《个人信息安全影响评估指南》(以下简称“PIA”)新版已正式实施了一段时日,其正式稿标准编号为GB/T 39335-2020,随着《个人信息保护法》(以下简称“《个保法》”)的生效、数安管理条例的发布,以及当今数据出境问题日益严峻的发展形势下,PIA已经成为国内企业数据合规工作中一张热度持续不下的必备王牌。与此同时,欧盟GDPR项下DPIA一直以来也备受瞩目,二者的相似与区别一度成为大家津津乐道的谈点。在历经一段时间的实践后,笔者尝试在从标准的文理内容和务实评估一文一武两方面对二者进行对比与分析。同时带着解决这个疑问的初衷开始本篇分享:国内PIA的方法是否能够支撑GDPR下的DPIA要求?
01 文理内容对比与分析
PIA与DPIA文理内容方面,我们从执行力度、适用条件、适宜阶段、评估目标、评估步骤和评估产物这6个维度来进行对比分析,其对比结果雷达图如下所示:
执行力度方面:
二者趋于相似,国内PIA在《个保法》中已在明确情形下要求企业履行该项工作,《网络数据安全管理条例(征求意见稿)》中也提出“不得超出报送网信部门的个人信息保护影响评估报告中明确的目的、范围、方式和数据类型、规模等向境外提供个人信息”,同时对违反该条出具了相应的罚则。DPIA在GDPR中的明确要求及处罚措施。二者在该方面相似度80%。
适用情况方面:
二者相似并具部分重叠,而在倾向上,PIA偏重于判断数据的敏感度,倾向对个人造成的影响。DPIA偏重于判断大规模信息处理的范围,倾向对公众的影响。二者在该方面相似度60%。
适宜阶段方面:
二者倾向不同,PIA根据适用条件,按需进行,不限于个人信息处理活动的事前事中。DPIA偏重于个人信息处理活动前,来评估可能潜在对自然人权利和自由带来高度风险。二者在该方面相似度40%。
评估目标方面:
二者几乎类似,但相比来说,PIA评估结论中信息安全要素的权重占比似乎更高。PIA评估均衡了隐私权益保护和信息安全保护措施。DPIA评估更关注对数据自身及其处理过程的法律合规,以及其固有风险。二者在该方面相似度85%。
评估步骤方面:
整体看来二者几乎相同,PIA体现出的评估步骤更显体系化和逻辑化。二者在该方面相似度90%。
评估产物方面:
二者相似并具部分重叠,同其目标,PIA评估结论中信息安全要素的权重占比似乎更高。PIA产物的元素均衡了隐私权益保护和信息安全保护措施,视情况会有实际安全测试、安全审计报告。DPIA产物的元素更突出对数据主体权益和自由的评估及其处理的法律合规。二者在该方面相似度80%。
其中,文理方面的分析过程与理论参考可详见下表:
02 务实评估对比与分析
在PIA与DPIA务实评估交付要求上,我们从背景原因陈述、个人信息处理描述、个人信息影响分析、个人信息风险分析和评估结论与建议这5个维度来进行对比分析,其对比结果雷达图如下所示:
背景原因方面:
背景原因等通用描述上二者的要求基本相同。二者在该方面相似度95%。
个人信息处理描述方面:
二者各有侧重。PIA基于组件和基于个人信息生命周期的两个维度,DPIA主要围绕基于个人信息生命周期维度,同时在此阶段增加了对数据主体权益保障方面的叙述。(PIA将此放在了“个人信息风险分析”中的“个人信息处理流程”里面)二者在该方面相似度60%。
个人信息影响分析方面:
二者基本不同,PIA侧重于对个人信息数据泄露后会对数据主体的影响维度进行分析,DPIA侧重于对于数据主体权益保障维度的分析,包括不限于必要性和相称性。(PIA将此放在了“个人信息风险分析”中的“个人信息处理流程”里面)二者在该方面相似度20%。
个人信息风险分析方面:
整体来看二者在评估方法大体相同但略有区别,PIA则更为细致和全面,可以认为了内容上PIA覆盖DPIA的风险维度。二者在该方面相似度70%。
评估结论与建议方面:
整体来看二者在结论和建议的产物呈现上大体相同,PIA也同样更为细致和全面。二者在该方面相似度80%。
其中,务实评估方面的分析过程与理论参考可详见下表:
03 总结与启示
本文从PIA与DPIA文理内容的6个维度与务实评估的5个维度,在对二者进行了横纵对比后,我们发现:
文理方面:PIA与DPIA的适用条件、评估目标、步骤和产物上颇为相似,伴随国内立法与执法态势的日渐完善,二者执行力度方面也趋于相近,而对于适宜阶段上二者则存在一定程度上的差异。
务实方面:PIA与DPIA在具体落地的评估过程与其产物上,虽在各阶段中略显差异,但整体交付则大致相同。值得一提的,PIA评估均衡了隐私权益保护和信息安全保护措施,DPIA评估更关注对数据自身及其处理过程的法律合规以及其固有风险。但综合而言在风险评估层面上PIA是可以覆盖DPIA所要的风险维度。
整体二者在文理内容上方向一致但各有倾向,在务实评估的交付要求上则非常类似。其中PIA的评估在呈现上更显体系化和逻辑化,覆盖面更广也更为细致。另外,从对比结果也可以轻松的解决开篇我们所提出的疑问,PIA方法基本足以支撑GDPR下的DPIA要求。
最后,通过再次对二者的对比分析,笔者也结合得到一些在企业实践方面的启示与思考在此简要分享:
1
PIA与DPIA在评估交付上都具有较为严格且正式的要求,但在一般的企业实践中,触发正式影响评估、出具评估报告并由DPO签字审批业务场景相对并不算多。而身处日常海量的业务场景中,我们也同样需要提炼一个通用、高效且标准化的评估方法去审核业务侧提出的需求与相关疑问;
2
企业处理PIA/DPIA实践中遇到的难点和痛点,往往并非全在评估风险与影响分析上,而是启动评估后对于企业实际数据处理与流转现状的确认,需要结合多个部门或业务线协作完成。这个问题的有效解决,则依赖对于数据清册、数据流转的自动化治理工作的成熟度提升,以及对于合规人员的易用性与友好性;
3
无论企业处理国内业务还是海外业务,PIA/DPIA落实在企业流程卡点的建立与执行上思路基本没有差别。类似地,隐私与数据合规的评估流程也应与信息安全SDLC相结合,融入到软件开发的全生命周期,并同样遵循左移的思路。
作者简介
黑心狐狸:隐私与安全合规领域甲乙方背景,具备法务、安全部门从业经验,现就职头部互联网企业,从事数据合规工作,持有CIPM、CISA、CISP、EXIN DPO、CDPSE、ISO 27000、ITIL、PRINCE2等资格认证。
👍 数据合规学习内容推荐
DPO数据保护官
DPO是由EXIN(国际信息科学考试学会)基于欧盟GDPR法律条款发布,当你成为EXIN认证的数据保护官DPO时,这不仅意味着你成功通过了对欧盟法规的全面考察,更加意味着你拥有了在组织中担任实施与维护GDPR这一角色的能力。
认证收获
充分了解欧盟GDPR法律法规条例,构建个人数据保护的知识体系和实施能力,梳理企业数据合规和安全需求,设定制度流程,进行数据安全体系建设,提升企业的数据安全和隐私保护能力,组织建设数据安全治理团队,规避企业违规成本,考试通过可获得国际EXIN DPO证书,提升个人竞争力,对个人岗位提升、未来转型均有帮助。
DPO高阶课程
国际隐私专家协会发证,包含国际注册信息隐私经理、国际注册信息隐私技术专家、国际注册信息隐私专家3个认证。帮助从业者推动职业生涯发展,帮助机构管理并保护数据。作为一家非营利组织,其宗旨是在全球范围内界定、支持并完善隐私保护行业。
认证收获
熟悉个人数据保护相关的合规框架,了解国内外数据合规、数据跨境相关法规,关注全球个人数据保护和数据安全相关立法趋势和动态,识别合规差距和风险,帮助企业构建优秀的数据安全合规团队,减少巨额损失,同时成为企业中不易被替代的金字塔人才。
认证适合行业及企业包括不限于:
凡是涉及到个人信息的企业及政府机构、或在欧盟设有分支机构及有跨境业务的企业及行业等,例如:航空、酒店、医院、金融、房地产行业、电商、跨境企业、大数据公司、政府机构(人社局、工商局、税务局、教育局等)、零售行业、互联网企业、外部咨询公司等。
适合人群
数据保护官、隐私专家、审计专业人员、法律专业人士、合规专业人士、信息安全专业人员、人力资源、寻求隐私/个人数据保护职业的专业人士
实力师资
方乐老师,谷安金牌讲师,谷安天下合伙人超过20年的IT从业经验。在企业IT管理、IT治理、信息安全管理、IT风险管理、信息系统审计、数据治理等方面具有丰富的实战和咨询及培训经验,多次受邀在大型专业论坛和会议进行主题演讲。自2003年起,为超过500家企业的数千名IT经理、开发运维及安全相关人员培训CISSP/CISM/CRISC/ITILv3/Expert/CGEIT/CISA/ITSM Master/ISO27001LA/ISO20000LA/DPO/CIPM/CIPT、CIPP/E等课程,深受学员们喜爱。
扫码添加助教微信了解认证详情
发表评论
您还未登录,请先登录。
登录