企业如何进行出境场景下的个人信息保护影响评估
作者:吴鹏飞 吴金冬 2023-05-19根据《个人信息保护法》,个人信息处理者向境外提供个人信息,应当事前进行个人信息保护影响评估(以下简称“PIA”),以保障个人信息安全。我们在此前一篇文章《外商投资企业数据出境安全评估申报实操指南》中提到,外商投资企业因为其境外总部集中管理的需求,导致其向境外提供个人信息的场景很常见。本文将尝试讨论企业如何进行个人信息出境场景下的PIA,为企业提供参考。
一、相关法律法规下PIA的重点内容
个人信息出境目前主要有以下三种合规路径:(1)通过国家网信部门组织的安全评估;(2)经专业机构进行个人信息保护认证;(3)与境外接收方订立国家网信部门制定的标准合同。《个人信息保护法》和相关法规对这三种合规路径下进行PIA的重点做了规定,如下表所示:
通过上述表格,我们不难看出:1、几个专项法规或规范中规定的重点评估内容均源自《个人信息保护法》第五十六条确立的原则,并针对出境的情形做了细化规定;2、出境场景下即使采用不同合规路径,PIA的重点评估内容基本一致。
二、出境场景下如何进行PIA
前述法规虽然规定了PIA的重点评估内容,但对于企业如何开展PIA工作并没有详细规定。具体来说:1、数据出境安全评估申报路径下,我们认为做完自评估已经履行了PIA义务,而官方的申报指南提供了自评估报告模板可以遵照;2、通过第三方认证机构进行个人信息保护认证的路径下,第三方认证机构可以为企业进行PIA提供帮助和指导。所以,在这里我们主要讨论标准合同路径下企业如何进行PIA,据我们观察,这也适用于多数企业的合规需求。
1、自评估报告模板可以作为PIA报告的模板
如前表所示,申报路径下风险自评估和标准合同路径下PIA的重点内容基本一致,在进行PIA时可以参考中央网信办制定的数据出境安全评估申报指南(以下简称“申报指南”)中的自评估报告模板。
根据申报指南,自评估模板包括以下几部分内容:
首先,对自评估工作开展情况进行简述;
其次,对出境活动整体情况进行说明,内容包括但不限于数据处理者基本情况、数据出境涉及的业务和信息系统、拟出境数据情况、数据处理者安全保障能力情况、境外接收方情况等;
再次,数据处理者应就前表中所列的重点内容,逐项说明风险评估情况,重点说明评估发现的问题和风险隐患,以及相应采取的整改措施及整改效果;
最后,综合上述风险评估情况和整改情况,做出拟申报的数据出境活动风险自评估结论,充分说明得出自评估结论的理由和论据。
根据我们在安全评估申报过程中的经验,网信部门尤为看重自评估报告中的论证部分,如果只是罗列事实,可能会导致不利的反馈。
2、可参考国家标准开展PIA工作
仅有PIA报告的模板还不够,企业应如何开展PIA工作?可以参考推荐性国家标准《信息安全技术 个人信息安全影响评估指南》(GB/T 39335-2020)[1],该标准有助于我们厘清PIA的流程,比如下图就是该国家标准中对PIA基本原理或流程的介绍。我们在此不再展开。
根据我们的经验,1、前期准备工作和数据映射分析可以确定企业应评估的个人信息处理活动,这是PIA的基础,需要企业多加重视;2、该标准中规定的评估的维度和前表中出境场景下评估的重点并不完全一致,在出境场景下进行PIA可以参考该标准,但建议应围绕相关法规中规定的评估重点内容。
三、期待官方的明确指引
在缺乏网信部门的明确指引的情况下,现阶段企业进行PIA可以参考自评估报告模板和国家标准。同时,《个人信息出境标准合同办法》将于今年6月1日起正式施行,而PIA报告是办理标准合同备案的必备材料,我们相信随着法规正式施行,网信部门很快会出台更加明确的指引。
※实习生王秋琪对本文亦有贡献
注释:
[1] 信息安全技术数据出境安全评估指南(征求意见稿)中同样规定了个人信息保护影响评估的流程和要点,也可以作为进行PIA的参考。
