首发文章丨《个人信息安全影响评估指南》之抢鲜解读

竞天公诚律师事务所

网络安全与数据隐私团队

2018年6月13日，全国信息安全标准化委员会（以下简称“信安标委”）在其官方网站正式发布“关于国家标准《信息安全技术-个人信息安全影响评估指南》征求意见稿征求意见的通知”，面向社会广泛征集意见。《个人信息安全影响评估指南》是《个人信息安全规范》标准落地的重要抓手，是完善我国个人信息安全保护标准体系的关键环节。本文将从实务角度出发，对《个人信息安全影响评估指南》征求意见稿（以下简称“征求意见稿”）的内容进行介绍，并对征求意见稿所反映出的个人信息保护价值取向进行了初步解读，供同仁批评。

一、整体结构

从整体结构上看，本次征求意见稿正文共分为六大主要部分，外加两个附录。正文分别为“范围”、“规范性引用文件”、“术语”、“评估基本原理和框架”、“评估流程”、“评估实施”。附录A是个人信息安全影响评估参考办法、附录B是个人信息安全影响评估常用工具表。

从内容上看，正文的前三部分——“范围”、“规范性引用文件”、“术语”十分简短，仅就相应的问题进行了简要说明，后三部分——“评估基本原理和框架”、“评估流程”、“评估实施”才是征求意见稿的实质部分，从各个方面对如何进行个人信息安全影响评估做出了较为细致的规定，在细节的把握上比较到位。作为《个人信息安全规范》的配套标准，可以看出《个人信息安全影响评估指南》广泛借鉴了欧美国家和地区在个人信息安全风险评估方面的法律规定、实践做法，并以国内现有立法、行政法规、标准要求为出发点，内容全面，具体，力求为我国个人信息安全影响评估工作做出了具体指引。

从整体的逻辑结构上来看，征求意见稿先从宏观层面介绍了评估的原理以及框架，再从实际操作的角度规定了评估的流程，最后从细节上入手，详细解释如何进行评估、评估的标准等，从这一角度进行观察，可以发现征求意见稿遵循了“从一般到具体”、“先原则后细节”的整体逻辑，但是第五部分的“评估流程”相较于“评估实施”而言，似乎更加具体，更专注于具体操作。

二、具体内容

（一）评估的基本原理与框架

征求意见稿第四部分是“评估基本原理和框架”。此部分介绍了评估的价值、评估报告使用对象、评估责任主体、评估规模、评估原理图示、实施流程、评估活动的种类、评估工作形式等。评估的价值也就是实施评估能实现哪些目的，比如识别识别对个人权益造成的影响，安全风险和相关的责任、为产品和业务设计阶段的个人信息保护理念落地提供支撑等。评估报告的使用对象部分分为两部分，一是个人信息安全影响评估报告应能支持的功能，比如提供清单，确保特定相关方了解已识别的受影响部门；二是对于个人信息控制者，评估报告的使用场景类型，比如项目初始阶段进行评估、产品或服务交付后产品功能、互联网安全环境、法律法规变更时进行评估。

征求意见稿将评估责任的主体分为两大种，一是组织内部的安全职能部门，二是客户组织或非政府组织，两者之间具体是并列关系抑或先后关系，正文中未能说明，此处存在一定的疑问。具体到某个人上，确保执行个人信息安全影响评估流程的责任首先应由负责保护个人信息的人员承担，或者由研发可能对隐私造成影响的新技术、服务或其他提案的项目经理承担，且应由最高级别的个人信息安全影响评估管理员负责确保评估流程的执行及结果的质量。在评估规模的确定上，要考察受到影响的个人信息主体范围和程度、个人信息的总量、类别、敏感程度、涉及个人信息主体的数量，能访问个人信息的人员等。征求意见稿还专门为中小企业实施个人信息影响评估提供了指引，比如选取外部专家进行评估。

在评估原理上，征求意见稿以图片形式进行了说明，如图一所示。由图一可知，评估原理分为两条路径，一是从个人权益角度出发，二是从安全保护措施角度出发，最终确定风险级别。对于“数据映射分析”，征求意见稿未在“术语”部分进行一定的解释与说明，我们认为其与该领域英文文献中常说的“data mapping”应为同一含义。

征求意见稿列举了三种评估活动，包括访谈、检查、测试，还分别规定了相应的方法、对象，十分细致。评估工作形式有两种，一是自评估，二是检查评估。前者是个人信息控制者自身进行评估，可以委托外部机构，后者是信息控制者上级机构或国家职能部门进行评估。

通读之后，能明显感到征求意见稿力图在每一个问题上都进行详细的阐释，其出发点在于给实践提供足够的指引，如果在后续实践中被验证为具备可操作性，相信对于企业会具有很强的指导意义。

（二）评估流程

征求意见稿第五部分是“评估流程”。此部分为各个组织进行评估提供了详细的流程指引。征求意见稿规定，首先应当进行的是必要性分析，在确定了评估必要性后，就需要开展评估的准备工作，包括组建评估团队、制定评估计划、确定评估对象和范围、相关方咨询等。需要进行评估的组织应任命评估人，由评估人定义风险准则，此时应考虑的因素包括法律与监管因素、行业准则等外部因素、具体应用的预先决定因素等。征求意见稿还具体列出了评估人应回答的问题种类，比如用于评估可能性的标准等，十分具体详细，如果在后续实践中被验证为具备可操作性，相信对于企业会具有很强的指导意义。基于此，对于如何定义风险准则，征求意见稿同样给出了十分具体的指示，共有五项具体内容，比如“对产品、服务或系统使用者的伤害”、“法律与监管要求、合同义务”等。

在组建评估团队后，需要制定评估计划，计划应清楚规定完成个人信息安全影响评估报告须进行的工作、相关工作具体由评估团队中的哪些成员负责、评估计划表、以及如果进行咨询、咨询的进行方式。其后需要确定评估对象和范围，从三个方面入手，一是描述系统需求信息，比如处理个人信息的类型目的；二是描述系统设计信息，比如功能、物理结构；三是描述处理流程和程序信息信息系统的身份与用户管理概念等。此部分涉及大量的信息技术专业术语，我们建议，为了提升可读性，指南应在“术语”部分对其进行一定的解释说明。确定评估对象和范围后，需要进行相关方咨询，相关方的范围十分广泛，包括但不限于员工、信息主体、消费者、分包商等。如何进行咨询、咨询的内容有哪些，征求意见稿都进行了十分详尽的阐释。

在“评估流程”这一章节的最后四部分，征求意见稿分别解释了数据映射分析、个人权益影响分析、安全事件可能性分析、风险分析的具体方式、参考因素、评价标准等，可见是对上图一中所列的流程之解释扩充，此部分结合附录中的图表进行了相应的说明与指引，力求将每种情形都规定在内。

针对数据映射分析，征求意见稿规定，组织应参考附录B表B-1和表B-2，针对个人信息控制者的个人信息处理过程进行全面的调研，形成清晰的数据清单及数据映射图表。表B-1如下图二所示。数据映射分析阶段需结合个人信息处理的具体场景，初步判定所处理的个人信息哪些属于个人敏感信息。结合附录B表B-3，调研个人信息收集、存储、使用、对外提供、废弃环节涉及的目的和具体实现方式，以及个人信息处理过程涉及的资源和相关方，最终梳理数据映射分析的结果，根据个人信息的类型、敏感程度、收集场景、处理方式、涉及相关方等要素，对个人信息处理活动进行分类，并描述每类个人信息处理活动的具体情形，便于后续分类进行影响分析和风险评价。

针对个人权益影响分析，可以参考附录B表B-4，如图三所示。此处体现了征求意见稿制定者对于个人权益保护的价值取向，具体包括“影响个人自主决定权”、“引发差别性待遇”、“个人名誉受损或遭受精神压力”、“个人财产受损”四个维度。具体参考因素如图三所示。

针对安全事件可能性分析，征求意见稿同样以后附图表的方式进行了具体的指引，此部分将与安全事件可能性相关的要素归纳为四个方面：网络环境和技术措施、处理流程规范性、参与人员与第三方、安全态势及处理规模。针对“风险分析”，征求意见稿同样后附图表进行了解释说明，在此不做赘述。基于以上的分析形成评估报告，并公开发布，同时应对风险进行处置。

（三）评估实施

此部分由“合规性差距评估”、“典型个人信息处理活动影响评估”、“可能产生高风险的处理活动影响评估”三大部分组成。对于“合规性差距评估”，可以将之理解为企业日常合规场景评估，“典型个人信息处理活动影响评估”以及“可能产生高风险的处理活动影响评估”可以看做是可能发生特定事件场景的评估，此部分规定的较为宏观，针对的是在何种情形下，应当进行何种评估，并对各类情形下应参考的因素进行了细分。总结而言，即是“应当进行评估的场景+可参考因素”。

由此观之，征求意见稿第五部分的“评估流程”是对评估工作具体细节的指导与说明，而第六部分的“评估实施”则对何种情形下应当进行何种评估进行了较为原则性的规定，若按照“一般到具体”的逻辑顺序，第五、第六部分在细度上似乎有些不相称。

（四）个人信息保护的价值取向

征求意见稿以资料性附录形式发布了“个人信息安全影响评估参考方法”，规定在附录A中，第一部分是“评估个人信息主体权益影响程度”，配以三大表格作为判定个人权益影响程度的方法。第一个表格是个人权益影响程度判定原则，将影响程度分为四个等级，分别为“严重”、“高”、“中”、“低”。第二个表格根据所产生的影响的类别，结合影响程度的判定原则，配以后果描述，最终确定影响程度。第三个表格是“修正表”，修正前影响程度为“高”的，结合修正条件，便有可能转化为“严重”，同理，正前影响程度为“中”的，结合修正条件，便有可能转化为“严重”或“高”。下表为A.2 影响程度判定表，详情可见图四。

图四：表 A.2 影响程度判定表

在我们看来，该表格有可能成为此次征求意见稿最具争议性的内容之一。从图表中可以看出，征求意见稿以定性方式为例，从“影响个人自主决定权”、“引发差别性待遇”、“个人名誉受损和遭受精神压力”、“个人财产受损”四个维度，依据判定原则，对个人信息主体的权益进行影响程度评价。这体现了征求意见稿制定者在个人信息保护方面的价值取向。“个人名誉受损和遭受精神压力”、“个人财产受损”可以视为个人信息安全领域的传统价值取向，比较容易被接受；而“影响个人自主决定权”涉及到“信息茧房”、“自由意志”等尚未在理论上得到充分讨论，更谈不上达成共识的话题，“引发差别性待遇”也涉及到“算法歧视”、“算法黑箱”等存在巨大争议的话题。这样的指南设定是否能够很好的平衡个人信息保护与数据自由流通这两大价值取向，是否能够在满足隐私期待的同时不伤害商业和技术创新，还值得我们进一步的深思和探讨。