点击右上角微信好友
朋友圈
请使用浏览器分享功能进行分享
2021年《中华人民共和国个人信息保护法》正式实施,标志着我国个人信息保护法治迈入新阶段。作为贯彻风险预防和管理路径的重要机制,《个人信息保护法》第55条、第56条明确将个人信息保护影响评估制度(PIA)纳入个人信息处理者的义务。其中,第55条明确规定个人信息处理者在处理敏感个人信息、利用个人信息进行自动化决策、委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息、向境外提供个人信息等场景下应当事先进行个人信息保护影响评估;同时,兜底规定其他对个人权益有重大影响的个人信息处理活动也应当进行个人信息保护影响评估。第56条对个人信息保护影响评估的内容作出规定,并要求个人信息处理者形成相应的评估报告和处理情况记录,保存至少三年。
个人信息保护影响评估制度不仅是个人信息处理者落实合规义务的重点内容,也是履行个人信息保护职责的部门监管个人信息处理活动的有效工具,最终有助于全社会提升对个人信息处理活动的信任度,助力数字经济平稳健康发展。但《个人信息保护法》生效以来,企业在推进个人信息保护影响评估的过程中仍然着困惑和盲区:
在操作指引层面
国家标准《信息安全技术 个人信息安全影响评估指南》(GB/T 39335-2020)虽已给出了PIA的实施流程、参考方法、高风险活动示例等,但通用性的指南在落地《个人信息保护法》中各类PIA场景以及各行业中PIA特殊风险时,难以对各方面细节兼顾,仍然需要业界共同推进PIA细分场景、行业的实施指引;
在落地执行层面
作为企业日常性的合规义务,企业在应对众多需要进行PIA的产品和场景时,如何能够在落地过程中更好地提升法务、合规与业务、产品等团队之间的沟通及推进效率,仍然需要业界共同推进更具包容性的PIA工作机制、沟通话术;
在评估效力层面
企业自身单方面推进PIA时,对个人权益影响分析、风险判定的结论是否足够合理、公正还存在一些争议,评估过程中存在疑虑时,也难以从外部获得专业性的指导,仍然需要业界研究工作机制,以共同推进PIA报告结论效力的评判尺度。
有鉴于此,为切实推进个人信息保护影响评估制度发挥实效,“数据安全共同体计划(DSC)”、“中国网络安全产业联盟(CCIA)数据安全工作委员会”、“数据保护官(DPO)社群”共同发起“个人信息保护影响评估专题工作”,在前期参与相关立法、标准编制工作的基础上,集合法律、技术、标准专家,探索个人信息保护影响评估的细化指引,回应企业落地难点与痛点,对标国内外监管动态和要求,推进业界共识,发掘优秀实践,助力产业生态健康发展。