律师随笔
《个人信息安全影响评估指南》解读及实践(二)
作者:郭庆梓 律师 时间:2020年11月26日
三
由谁开展PISIA
根据行业实践,开展PISIA的责任主体,主要涉及如下几个层面:
1. 个人信息上下游流动中的责任主体
根据《儿童个人信息网络保护规定》、《个人信息安全规范》等规定,PISIA的责任主体是“网络运营者”和“个人信息控制者”但是,根据《个人信息保护法(草案)》规定,PISIA的责任主体是“个人信息处理者”。因此,结合前述法律法规之规定,汇业律师事务所黄春林律师团队建议,在不发生个人信息控制权转移的一般业务场景中(例如非敏感个人信息的委托处理),应当仅由控制者开展PISIA;而其他场景中,建议数据上下游流动各方均单独开展PISIA。
2. 企业内部组织机构及人员
根据《个人信息安全规范》规定,PISIA由个人信息保护负责人和个人信息保护工作机构负责。国标39335进一步细化了组织及人员要求,企业“指定个人信息安全影响评估的责任部门或责任人员”(有专门的个人信息保护负责人和个人信息保护工作机构的,通常由该机构担任),由其负责PISIA工作并对结果负责。同时,国标39335还建议企业内部牵头执行PISIA工作的部门为法务部、合规部或安全部门等。
3. 外部机构参与
国标39335不止一次提到,企业除了可以自行开展PISIA外,还可以委托外部专业机构(包括但不限于律师事务所、安全技术机构、咨询公司等)开展评估工作;上级检查部门检查企业的PISIA工作时,也可以委托外部专业机构开展评估工作。
四
如何开展PISIA
结合行业最佳实践,国标39335给到了一些典型的PISIA方法、流程及工具等。实践中,每个企业需要结合自身个人信息类型、规模,以及企业类型、业务场景、系统情况等因素,制定符合自身特点的PISIA工作方法。
结合近期类似项目经验,汇业黄春林律师团队通常会按照如下工作流程,协助企业开展PISIA工作:
(1) 调研及访谈:通过现场访谈、问卷清单、技术监测等方式,调研项目有关的主要系统/数据类型、业务流程/场景/系统/合同、组织架构/政策制度、数据上下游流动情况等,制作数据地图(映射表),确定评估工作范围、目的、方式及里程碑等。
(2)
法律调研与影响评估:根据前期工作情况,结合最新立法、行业监管实践及执法案例情况,参照行业可对标企业/项目经验,利用风险暴露面识别工具/清单,出具书面评估报告(初稿)及整改建议,包括现有供应商审查、组织架构、业务流程、技术现状及文本制度等存在的合规差距
(3) 评估情况沟通会:组织企业有关部门或人员研讨,汇报评估报告的情况,收集反馈意见,综合评估合规性、技术路径及落地成本等因素,并讨论整改方案/建议的可行性及落地方案。
(4) 协助整改实施(根据项目情况):根据前期整改建议,协助企业调整供应商、采购新设备,修改技术方案或网络结构,草拟配套制度,修改有关标准合同,制定相应的业务指引和流程控制文件,完善岗位设置及责任,等等。
(5) 出具最终评估报告:根据沟通会情况,出具正式评估报告,以及报告的保存、留档、备案、发布及公示等建议。
(6) 动态核查协助:评估项目实施完成后,协助企业建立动态检查机制。
(文章摘自网络,若有侵权,请联系删除)