关于《个人信息保护法》，你应该知道的事
发布时间：2021-08-31 16:52:00

《个人信息保护法》于2021年8月20日正式通过，并将于2021年11月1日起实施。

 

对于企业而言，搞明白《个人信息保护法》的要求固然重要，如何做才能满足《个人信息保护法》的要求，避免处罚，做个遵纪守法的好公司，似乎更加迫在眉睫。《ISO/IEC 27701：2019 ISO/IEC 27001 与 ISO/IEC 27002隐私信息管理的扩展—要求与指南》，恰好就给予企业更好做好个人信息保护的指引。

 

《个人信息保护法》遍地是重点

企业难以找到实施逻辑

 

面对《个人信息保护法》就会发现，其从结构上，更加像一个checklist，对于个人信息保护提出了非常多的要求，每个要求都很重要，但彼此之间是否存在一些逻辑关系，是否有一些先后顺序，这个单单去解读《个人信息保护法》，会导致企业陷入眉毛胡子一把抓的境地，遍地是重点，那就全都不是重点。

 

以上的困境其实源自于《个人信息保护法》并非是从实施角度去说个人信息保护，其更加偏向于约束企业，而非指导企业。因此企业在考虑如何开展个人信息保护时，需要寻找新的思路。

 

 

ISO 27701曾经为企业遵守GDPR提供方向

 

自2016年以来，中国乃至于全世界的公司都在为GDPR所头疼，ISO 27701也曾作为企业遵守GDPR的指引。在ISO 27701的附录D中，甚至还将ISO 27701标准条款与GDPR的条款做了映射。

 

 

 

ISO 27701更为擅长从高层视角

整体规划个人信息保护工作

ISO 27701标准擅长从高视角考量个人信息保护工作应该如何开展，其基于PDCA的思路，在策划阶段考虑个人信息保护的整体思路，从风险和目标两个角度规划个人信息保护工作，在实施阶段从风险评估、目标执行，具体实施个人信息保护动作。在检查阶段，检查所有控制措施是否实施到位。在改进阶段，通过根本原因分析，确保个人信息保护工作得到质的提升。

 

 

 

ISO 27701兼顾信息安全与隐私要求

ISO 27701对个人信息保护的核心思路是“在安全的环境里适当地使用个人信息“，所谓安全的环境，是指对个人信息的信息安全保护，所以适当地使用，是指尊重个人的隐私。

 

ISO 27701的第六章，引用了ISO 27001附录A的内容，从14个控制域的角度，介绍了如何保护个人信息的安全。

 

而ISO 27701的第七章和第八章，分别从控制者和处理者视角，分别介绍了如何适当地使用个人信息。

 

补充说明：《个人信息保护法》里的“个人信息处理者”，其定义是“是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。”这个定义等同于ISO 27701中”个人信息控制者“；而ISO 27701里的”个人信息处理者“，等同于个保法里第五十九条的”受托人“，两者思路一致，只是命名不同，在下文中主要参考ISO 27701的叫法，区分控制者和处理者。

 

 

 

 

 

一、理解组织环境

 

1.1. 《个人信息保护法》的识别

 

应根据业务识别《个人信息保护法》的适用情况

 

并非《个人信息保护法》来了，企业才需要保护个人信息。《个人信息保护法》有自己的适用范围，当企业满足如下条件时，企业是必须要考虑《个人信息保护法》的要求：

· 在中华人民共和国境内处理自然人个人信息；

· 虽然在境外处理自然人个人信息，但是是以向境内自然人提供产品或者服务为目的；

· 虽然在境外处理自然人个人信息，但是在分析、评估境内自然人的行为。

 

1.2. 全球法律识别

 

应识别业务应遵守的全球法律法规

 

同时，在全球普遍重视隐私的基调之下，并非中国发布了《个人信息保护法》，欧洲地区有GDPR，俄罗斯有《俄罗斯联邦个人信息法》，新加坡有PDPA，等等。这些法律各自有各自的适用范围，企业还需要根据自己的注册地、处理的个人信息的国别、业务开展国家等，综合识别需要遵守的法律法规要求。

 

即使企业自己不在这些法律的适用范围之内，如果企业所服务的客户要遵守这些法律，他们也可能会在合同协议中对企业提出个人信息保护的要求。

 

ISO 27701关联条款：5.2 组织情境

 

二、组建自上而下的组织

 

2.1. 主管人员

 

应设立明确的主管人员

 

在《个人信息保护法》中明确了，国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。企业在落实个人信息保护要求时，也需要首先有明确的组织架构，才能保证责任落到实处，后续每一项任务，都明确有人会严格落实。

 

参照ISO 27701的要求，企业应任命一名或多名人员，负责建立、实施、维护和监视整个企业范围的个人信息保护方案，以确保遵守与个人信息处理有关的所有适用的法律法规。

 

作为这个负责人，无论称其为DPO（数据保护官），还是CPO（首席隐私官），其职责都应该是明确的，建议的职责如下：

· 独立并直接向企业适当的管理层报告，以确保有效管理隐私风险；

· 参与管理与个人信息处理有关的所有问题；

· 精通个人信息保护法律法规和实践；

· 作为监管机构的联络点；

· 向企业的高级管理层和员工告知他们在处理个人信息保护方面的责任义务；

· 就组织开展隐私影响评估提供建议。

 

 

2.2. 组织架构

 

建立设立治理、管理、执行三层组织

 

仅有高级管理人员还不够，通常我们建议企业建立三层组织架构：

· 治理层：由企业高层组成隐私委员会，作为隐私的最高决策机构，决策企业的隐私方向

· 管理层：由DPO领导，由具备信息安全、法律、隐私、合规的专业人士组成，负责制定、推行企业内的隐私策略，并协助执行层

· 执行层：由业务部门、产品部门、人事部门等能直接接触到个人信息的部门选派代表，负责隐私策略的宣贯、推进、支持。

 

《个人信息保护法》关联条款：第五十二条、第五十三条、第五十四条

 

ISO 27701关联条款：5.3 领导力、6.3.1.1 信息安全角色和职责

 

三、培养人员能力与意识

 

好的策略需要人才来推动和执行。对于专业岗位的员工，应当培养其专业能力，对于大部分员工，应保证其具备基本的隐私意识。

 

3.1. 专业能力

 

对专业岗位员工，应培养其信息安全、

法律合规、业务的跨界能力

 

个人信息保护需要具备跨界的知识，至少包括信息安全和法律合规，且通晓业务。快速提升个人能力的方式，是学习他人已经组织好的结构化知识，站在巨人的肩膀上。国际隐私专业协会IAPP推出了针对隐私管理专家的认证CIPM，针对隐私技术专家的认证CIPT，以及针对隐私法律合规专家的CIPP系列，包括欧洲地区的CIPP/E，亚洲地区的CIPP/A，美国的CIPP/US，可以帮助企业员工快速建立起个人信息保护的知识框架。

 

 

 

3.2. 隐私意识

 

对普通员工，应重复宣贯，培养隐私意识

 

对于普通员工的意识宣贯，参照ISO 27701，应确保相关员工认识到违反隐私或安全（特别是涉及处理个人信息问题的）规则和规程，可能带给企业的后果（如：法律后果、业务和品牌损失、声誉损害），带给员工的后果（如：违纪后果）和带给自然人的后果（如：身体、物质和情感上的后果）。

 

意识宣贯很多时候并不强调一次宣贯能达到的高度，更合适的意识宣贯方式应该是重复重复再重复，保证员工始终绷紧脑中的弦。

 

ISO 27701关联条款：5.5.2能力，5.5.3意识、6.4.2.2 信息安全意识、教育和培训

 

四、建立风险识别与处置机制

 

4.1. 风险识别

 

应明确何时、对什么开展评估

 

无论是《个人信息保护法》，还是GDPR，都在强调个人信息保护影响评估。凡是基于风险管理思路，都非常强调对风险的识别与处置。

 

参照ISO 27701，我们建议企业开展触发型评估和周期型评估。触发型评估应该在满足如下条件时执行：

· 处理敏感个人信息；

· 利用个人信息进行自动化决策；

· 委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息；

· 向境外提供个人信息；

· 其他对个人权益有重大影响的个人信息处理活动。

 

触发型评估往往需要执行层的各部门接口人在业务活动中识别出满足上述条件的场景，并基于自身的个人信息保护知识评估是否需要触发个人信息保护影响评估，如果触发，那么应该评估该个人信息处理方式的风险，必要时可以向专业岗位人员，或外部专家寻求帮助。

 

但触发型评估依赖于接口人对风险的识别，如果接口人有遗漏，那么可能会导致风险无法充分评估。因此建议同时采用周期型评估，定期对业务开展全面识别和评估，查漏补缺。

 

 

4.2. 风险评估

 

应确定如何评估风险

 

开展个人信息保护影响评估时，至少要覆盖如下内容：

· 个人信息的处理目的、处理方式等是否合法、正当、必要；

· 对个人权益的影响及安全风险；

· 所采取的保护措施是否合法、有效并与风险程度相适应。

 

真正在评估风险时，比较简单的风险评估方式是，熟悉《个人信息保护法》、ISO 27701等标准中给出的建议措施，如果有缺失，那么至少可以识别为一个潜在风险，而进一步评估该风险的影响。

 

在评估个人信息保护风险时，建议从法律法规合规性、对自然人的影响、对企业的影响三个维度评估风险的影响。

 

4.3. 风险处置与跟踪

 

应对评估的风险进行处置跟踪

 

确认风险后，风险责任人应确定风险处置方案，明确风险的整改期限，确保风险得到充分的处置，控制风险在可接受水平内。

 

定义风险处置方案时，可以从事前准备与预防、事中检测与阻断、事后审计与追溯三个角度来考量处置方案。

 

根据《个人信息保护法》的要求，个人信息保护影响评估报告和处理情况记录应当至少保存三年。

 

《个人信息保护法》关联条款：第五十五条、第五十六条

 

ISO 27701关联条款：5.4.1 应对风险和机会的措施、5.6 运行、7.2.5 隐私影响评估（PIA）、7.2.8 与个人信息处理有关的记录

 

 

五、构建明确的个人信息保护目标

 

建议设立目标来指引个人信息保护工作

 

我们必须承认，个人信息保护并非是一蹴而就的事情，我们应当建立合理的安全与隐私目标，将个人信息保护列入企业的KPI或OKR机制，正向指引企业的个人信息保护工作，目标应该是：

· 与企业的隐私方针、隐私策略相一致

· 可测量的（如可行）

· 考虑使用的法律法规要求，和已识别的风险

· 得到沟通和宣贯

· 适当时更新

 

ISO 27701关联条款：5.4.2 信息安全目标和实现规划

 

六、搭建PIMS管理体系

 

人会流动，但流程会持续运行，应建立制度流程

当企业已经识别出做个人信息保护时要遵守哪些要求，企业面临哪些个人信息保护风险，企业期望达到什么样的隐私目标，那么企业就有了个人信息保护的方向。企业进而应该将这些方向细化为具体的制度和要求。参照ISO 27701的结构，企业在搭建管理体系时，应考虑如下方向的信息安全要求：

· 信息安全组织

· 人力资源安全

· 资产管理

· 访问控制

· 加密

· 物理与环境安全

· 运行安全

· 通信安全

· 开发安全

· 供应商关系

· 信息安全事件与业务连续性

· 符合性

 

还应考虑如下隐私要求：

· 收集和处理的条件

· 对自然人的责任

· 隐私设计与隐私默认

· 个人信息共享、转移和披露

 

《个人信息保护法》关联条款：第五十八条

 

ISO 27701关联条款：5.2.4 信息安全管理体系、6.2.1.1 信息安全策略