|
伴随着新技术的发展,商业环境也已经在潜移默化的发现这改变,新的商业模式也在逐步的替代着传统的商业模式。我们正在进入一个全新的数字化生活时代——IoT时代。IoT时代的到来,不仅是人类技术的进步,在其中更是蕴含着很多的商机。与此同时,新技术新时代新商业模式给企业所带来的法律合规问题也不容小觑,而企业如何做到数据合规,很多企业并没有头绪,借此,本文将与大家聊一聊企业数据合规体系构建的第一步——个人信息安全影响评估。于2021年11月1日起施行的《个人信息保护法》(以下简称“《个保法》”)中,“个人信息保护影响评估”便是该法中的一大亮点,但在《个保法》中,并未对其进行详细的阐释,仅表明评估报告应包括个人信息的处理的方式方法是否符合数据处理的基本原则;对个人数据安全的影响;所采取的防范措施是否合法、有效等。那么,到底个人信息安全影响评估具体是什么?其实,答案早就存在于国标《GB/T 35273—2020信息安全技术个人信息安全规范》(以下简称“GB/T 39335-2020”)中,其是指“针对个人信息处理活动,检验其合法合规程度,判断其对个人信息主体合法权益造成损害的各种风险,以及评估用于保护个人信息主体的各项措施有效性的过程。”此外, GB/T 39335-2020亦是一本企业进行个人信息安全影响评估的操作指南。通常情况下,个人信息保护影响评估更多的适用于企业新产品或者新服务上线之前,对业务所涉及到的数据进行整体初步的评估。但随着,法律法规的逐步完善,个人信息保护影响评估不仅侧重个人信息在处理前的评估,乃至涵盖到个人信息处理活动过程之中。例如在企业业务模式发生变化的过程中、发生重大个人信息安全事件后亦或是在互联网内、外部安全环境发生重大变化时。此外,在GB/T 39335-2020中还提到了一些可以适用个人信息安全影响评估的情形,比如,在法律法规、政策和国家标准发生变化时、产品的定期的持续性评估等等。个人信息安全影响评估的目的在于企业可以有效的对自身所收集、处理的数据做到全方位的风险把控。通过评估,可以识别数据带来的安全隐患,并据此结果采用适当防范控制措施措施;识别与自身合作的第三方对于数据安全控制的能力。此外,评估报告的留存不仅可以作为数据安全事件发生时减轻企业责任的依据,也是在面向监管部门监督或是调查取证时有利的材料。关于如何进行在进行个人信息安全影响评估,其实在GB/T 39335-2020的第五章中已经给出了相对明确的方式,具体来说可以分为以下几个步骤:1.企业可以通过内部选任或者外部委派的形式组建评估团队,制定评估计划;3.制定向业务部门或是其他相关涉数据部门的咨询计划;在实践中,个人信息安全影响评估的结果通常以报告的形式进行呈现,个人信息安全影响评估报告与传统的法律类的报告存在着一定的差异。在报告中,不仅应当体现对数据主体权益的评估和单纯法律上的合规建议,还应包括数据主体权益的物理保护措施,例如,数据安全审计情况,安全测试结果,数据安全日志、数据访问方式等。 
作者1:刘欣,北京市瀛和律师事务所合伙人。全国检察系统先进个人、省级“十佳公诉人”。 
作者2:王泽博,律师/专利代理师,北京瀛和律师事务所,中国人民大学 知识产权法律硕士。
|
