首頁資訊個人信息安全評估十情景五豁免

個人信息安全評估十情景五豁免

來源：泰然健康網(wǎng) 時間：2024年12月29日 15:53

個人信息安全評估十情景五豁免

2021-06-23

微信圖片_20210624101912.png

筆者之前撰寫了《個人信息安全影響評估—被嚴重低估的價值》（以下簡稱《價值》），文中分析了個人信息安全影響評估的觸發(fā)條件，用表格的方式全景呈現(xiàn)之后，發(fā)現(xiàn)這些觸發(fā)條件的規(guī)定散落在各個法律文件之中，包括了《網(wǎng)絡安全法》、《兒童個人信息網(wǎng)絡保護規(guī)定》、《互聯(lián)網(wǎng)個人信息安全保護指南》、《個人信息保護法（草案）》等文件，文件從不同的監(jiān)管視角對個人信息處理者提出其開展風險評估具體的強制性要求。因此，本文在《價值》一文的基礎上，化繁為簡，直觀地整理出個人信息安全評估的十種情景和五種豁免的情景。

同時，為進一步落實個人信息評估問題，國家市場監(jiān)管總局、國家標準化管理委員會發(fā)布《個人信息安全影響評估指南》（GB/T39335-2020，下稱：《指南》），并于2021年6月1日正式實施。《指南》細化了《個人信息保護法（草案）》中的原則性規(guī)定，并明確了評估的定義和價值，為企業(yè)開展個人信息安全評估工作提供了實操指引。

下文我們就先從《指南》中定義的什么是個人信息安全影響評估出發(fā)，分析為何要做評估，再到觸發(fā)評估的十種情景列舉，最后明確評估主體。

一、定義：什么是個人信息安全影響評估？

根據(jù)《指南》，個人信息安全影響評估是指，檢驗個人信息處理活動的合法合規(guī)，判斷對個人信息主體可能造成的風險，在企業(yè)現(xiàn)階段保護措施的基礎上評估各類措施的有效性。

二、價值：為什么要做個人信息安全影響評估？

對企業(yè)而言，評估工作可以規(guī)范組織日常經(jīng)營管理活動，及時識別風險和保護措施的漏洞，將事后補救的工作前置預防階段，一來可以減少管理和合規(guī)成本，評估成果也可在監(jiān)管和調(diào)查過程中發(fā)揮重要作用；二來可以重塑企業(yè)形象，為企業(yè)贏得良好的知名度和美譽度。

對于個人信息主體而言，其是被保護的重心所在。個人信息安全評估報告可助其了解個人信息將如何被處置、保護，供其判斷是否存在任何風險，在“數(shù)據(jù)透明”的時代下保障個人對個人信息數(shù)據(jù)的知情權。

對監(jiān)管機構而言，在處理個人信息安全相關投訴、開展相關事件調(diào)查時，評估報告可作為其開展工作的重要參考，甚至將此作為處罰幅度確定的裁量要素。

三、強制評估十情景：個人信息安全影響評估

觸發(fā)個人信息安全影響評估的條件有哪些？答案目前散見于各個法律法規(guī)以及文件中，讓處理數(shù)據(jù)的企業(yè)無所適從，我們分析整理所有相關法律文件中的規(guī)定，明確以下十種情景被強制要求需要進行個人信息安全評估。

情景1:處理個人敏感信息

所謂“敏感信息”是指一旦泄露或者非法使用，可能導致個人受到歧視或者人身、財產(chǎn)安全受到嚴重危害的個人信息，如身份證號碼、電話號碼、指紋、人臉等信息。

《個人信息保護法（草案）》第29條第2款。

情景2:自動化決策

利用個人信息自動化決策且對個人信息主體權益造成顯著影響的。如某寶獲取用戶位置、消費能力、使用軟件時長等信息，給用戶精準推送產(chǎn)品等，還比如軟件根據(jù)個人信息決定個人征信及貸款額度等。

《GB/T35273—2020信息安全技術個人信息安全規(guī)范》第7.7條。

情景3:委托第三方處理

委托他人處理自身收集的個人信息。即滿足授權同意的前提下，自身不具備信息處理能力或與外部第三方進行合作時，委托其他技術團隊等為其處理信息。

《互聯(lián)網(wǎng)個人信息安全保護指南》第6.5條、《GB/T35273-2020信息安全技術個人信息安全規(guī)范》第9.1條。

情景4:向第三方提供

向第三方提供個人信息的情形是自身收集信息之后，提供給其他人使用，不論是有償還是無償。

《個人信息保護法(草案)》第54條。

情景5:公開個人信息

個人信息原則上不得公開，除非經(jīng)過法律授權或者具備合理是由需要公開個人信息。

《互聯(lián)網(wǎng)個人信息安全保護指南》第8.4條。

情景6:向境外提供個人信息

一般情況下，應當在境內(nèi)收集和產(chǎn)生的信息存儲在境內(nèi)，向境外提供時原則上應當經(jīng)過國家網(wǎng)信部門組織的安全評估。

《網(wǎng)絡安全法》第37條、《個人信息保護法（草案）》第38條。

情景7:數(shù)據(jù)共享、轉讓

數(shù)據(jù)共享：是指與數(shù)據(jù)處理企業(yè)以外的任何企業(yè)、組織和個人分享用戶的個人信息。如某打車軟件，為了提供地圖服務與某導航軟件進行用戶信息共享。

數(shù)據(jù)轉讓：是指數(shù)據(jù)處理企業(yè)將用戶的個人信息以有償或無償?shù)姆绞睫D讓給任何企業(yè)、組織和個人。如某征信企業(yè)，將其收集到用戶征信信息轉讓給某貸款企業(yè)。

《互聯(lián)網(wǎng)個人信息安全保護指南》第6.6條、《GB/T35273—2020信息安全技術個人信息安全規(guī)范》第9.2條

情景8：數(shù)據(jù)融合

所謂數(shù)據(jù)融合：是指將不同來源的數(shù)據(jù)進行整合來獲得更高質量的信息。如電商平臺公司除了提供傳統(tǒng)的電商平臺服務，還通過平臺向用戶提供金融服務，為了提供更精準的服務，電商平臺公司將兩條產(chǎn)品線的數(shù)據(jù)庫打通，根據(jù)用戶的消費能力和消費習慣來調(diào)整貸款額和利息。

《GB/T35273—2020信息安全技術個人信息安全規(guī)范》第7.6條。

情景9:接入SDK

接入第三方產(chǎn)品時的APP開發(fā)者和第三方產(chǎn)品開發(fā)者。接入SDK（輔助開發(fā)某一類應用軟件的相關文檔、范例和工具的集合）收集個人信息前需要對第三方 SDK進行安全性評估，不僅如此，SDK提供者在發(fā)布上線前，也應進行安全評估。

《GB/T35273—2020信息安全技術個人信息安全規(guī)范》第9.7條、《網(wǎng)絡安全標準實踐指南—移動互聯(lián)網(wǎng)應用程序（App）中的第三方軟件開發(fā)工具包（SDK）安全指引（征求意見稿）》第4.1條、第4.2條。

情景10:向第三方轉移兒童個人信息

網(wǎng)絡運營者向第三方轉移兒童個人信息的，應當自行或者委托第三方機構進行安全評估。

《兒童個人信息網(wǎng)絡保護規(guī)定》第十七條。

四、豁免評估五條件：僅以下情況可豁免

針對上述列舉的觸發(fā)強制評估的十種情形中，《數(shù)據(jù)安全管理辦法（征求意見稿）》第27條規(guī)定了僅限于以下五種情形可構成豁免。

情景1:從公開渠道收集信息且不違背個人信息主體意愿。

情景2:個人信息主體主動公開。

情景3:將經(jīng)過匿名化處理的個人信息提供給他人。

情景4:執(zhí)法機關依法履行職責所必需。

情景5:維護國家安全、社會公共利益、個人信息主體生命安全所必需。

五、誰來做個人信息安全影響評估？

根據(jù)《指南》，企業(yè)可以根據(jù)自身情況自行開展個人信息安全影響評估工作，也可聘請外部獨立第三方開展合規(guī)工作。若企業(yè)內(nèi)部組織架構不完善、部門之間尚不完全獨立，建議委托外部第三方機構（如律師事務所、安全技術機構、咨詢公司等）進行獨立且專業(yè)的評估。第三方機構開展個人信息安全評估時就更加中立，并對評估過程中發(fā)現(xiàn)的問題對癥下藥，提供合規(guī)解決方案，降低企業(yè)被下架、約談、整改的風險，保障相關企業(yè)的持續(xù)運營。

本文作者：