个人信息保护影响评估初探

摘要：《个保法》规定，处理敏感个人信息应当事前进行个人信息保护影响评估。个人征信机构作为个人信息处理者，开展评估必要且重要，可减少声誉风险，还可提供合规证明。个人征信机构或可从合规性和尽责性角度开展个人信息保护影响评估，以评估促保护。预计随着法规落实和监管强化，个人信息保护影响评估将成必然。

关键词：个人信息保护  影响评估  个人征信机构

作者简介：

杨晋丽，朴道征信有限公司

通讯地址：北京市朝阳区景辉街31号院三星大厦60层 邮编：100020；yangjinli@pudaocredit.cn。

2.梁平，朴道征信有限公司

一、个人信息保护影响评估概述

（一）评估的提出与内容

随着人工智能、大数据、云计算等新技术的快速发展和广泛应用，人类进入数字经济时代，数据成为最具价值的生产要素，数据的有效利用对推动经济社会高质量发展具有重要意义。数据天然具有可流动、可复制等属性，但在数据使用过程中也容易发生泄露和滥用等问题，进而可能损害信息主体合法权益。为此，数据安全和信息保护，尤其是个人信息保护就成为数字经济可持续发展所必须解决的基本问题。

国家高度重视个人信息保护。据统计，我国已有近40部法律、30多部法规、200多部规章涉及个人信息保护。2021年11月1日起施行的《个人信息保护法》（简称《个保法》）是我国第一部个人信息保护的专门法律，为个人信息权益保护、个人信息处理者的义务以及监管部门的职权范围提供了全面和系统的法律依据。

《个保法》明确，个人信息处理者在特定情形下应当事前进行“个人信息保护影响评估”（Personal Information Protection Impact Assessment，PIPIA），并对评估内容进行规定（表1）。PIPIA是针对个人信息处理活动，检查个人信息处理者合法合规程度，判断其对个人信息主体合法权益造成损害的各种风险，以及评估用于保护个人信息主体的各项措施有效性的过程。

表1 《个保法》对个人信息保护影响评估的规定

（二）评估方法

2020年10月《个保法（草案）》阶段就已提出个人信息处理者在处理敏感个人信息、利用个人信息进行自动化决策等行为时，要事前进行风险评估。为提高个人信息处理者PIPIA可操作性，国家市场监督管理总局、国家标准化管理委员会2020年11月发布《信息安全技术 个人信息安全影响评估指南》(简称《指南》），2021年6月1日起正式实施。该指南既借鉴国际标准化组织《隐私影响评估准则》中的隐私影响评估（Privacy Impact Assessment，PIA）流程，也结合我国国情进行创新，对个人信息安全影响评估的基本概念、框架、方法和流程等进行规定。其中，“评估原理”、“评估实施流程”，以及附录参考性材料相结合，使评估更具操作性，能有效支撑《个保法》要求，为个人信息处理者、监管部门、第三方测评机构等开展评估提供参考。《指南》还指出，评估由组织指定责任部门或责任人员开展，可自行开展，也可外聘第三方进行，责任部门或人员需具备独立性，不受被评估方的影响；在评估原理上，可从个人权益影响和安全保护措施有效性两方面进行，最终确定风险级别；在评估方法上，提供了访谈、检查、测试三种基本方法。具体到评估实施流程，可分为九步：必要性分析、准备工作、数据映射分析、安全风险综合分析、个人权益影响分析、风险源识别、评估报告、风险处置和报告发布策略等。

（三）评估场景

《指南》提供九类常见高风险个人信息处理活动与场景，需个人信息处理者关注：1.用户画像与评价，即数据处理涉及对个人信息主体的评价或评分；2.大规模处理个人信息，即数据处理的规模较大，如涉及100万人以上、持续时间久或某个特定群体占比超过50%、涵盖区域广泛或较集中等；3.自动化决策，即使用个人信息进行自动化分析并给出对个人有重大影响的决定；4.数据汇聚融合，即对不同处理活动的数据进行匹配、合并、应用；5.系统性监控，即系统性地监控分析个人或个人信息；6.涉及弱势群体，即数据处理涉及未成年人、病人、老年人和低收入人群等弱势群体的场景；7.高频收集敏感信息，即收集的个人敏感信息数据量多、比重大、频率高；8.应用创新型技术，包括采用人工智能、物联网、生物识别等技术；9.妨碍信息主体权利，即处理个人信息可能导致个人信息主体无法行使权利或使用服务等。

全国信息安全标准化技术委员会2020年3月6日发布《信息安全技术 个人信息安全规范》（简称《规范》），2020年10月1日实施，指出：在产品或服务发布前，或业务功能发生重大变化时，应进行个人信息安全影响评估；在法律法规有新的要求时，或在业务模式、信息系统、运行环境发生重大变更时，或者发生重大个人信息安全事件时，应进行个人信息安全影响评估。

二、个人征信机构开展评估的必要性和重要性

（一）评估必要性

金融业发展要以数据为基本要素，信用是金融的基础，个人征信业的发展高度依赖个人信息处理。根据《个保法》第四条和第七十三条的规定（表2），个人征信机构属于个人信息处理者范畴。根据《个保法》第五十五条和五十六条，个人征信机构作为处理敏感个人信息的信息处理者，应对信息处理业务进行事前风险评估，并形成记录，记录至少保存三年。《规范》对个人敏感信息进行了界定，是指一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息，具体包括身份证件号码、个人生物识别信息、银行账户、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14岁以下（含）儿童的个人信息等。

表2 《个保法》个人信息处理的规定

根据《指南》提供的个人信息处理场景，个人征信机构也需开展PIPIA，因为个人征信机构正是采用大数据等新技术，持续、大规模地处理全国范围的个人信息，覆盖人群广泛，通过融合不同类型数据，对个人信息主体进行画像、评价等，服务于金融机构，个人征信机构所处理的个人信息几乎符合所有特殊场景。因此，个人征信机构有责任建立事前风险评估制度，对个人信息处理目的和方式的合法、正当、必要性，以及对外提供个人信息产生的个人权益影响、安全保护措施的有效性及风险、实施自动化决策等开展评估，确保敏感个人信息保护满足法律法规要求和个人信息权益维护要求。

（二）评估重要性

1.可提供早期预警，降低声誉风险

个人征信机构通过事前开展PIPIA，识别可能导致个人信息主体权益遭受侵害的风险，并据此采取适当的个人信息保护措施，根据内外部情况的变化，持续修正已采取的措施，可有效加强征信机构对个人信息主体权益的保护，确保风险总体可控，评估还能够对外展示个人征信机构在个人信息保护领域的努力，提升透明度，使信息主体了解个人征信机构个人信息处理和保护情况，增进个人信息主体对个人征信机构的信任，进而避免或减少声誉风险。

2.可提供尽责和合规证明

个人征信机构事前开展PIPIA，形成记录文档，在监管部门常规检查或调查个人信息主体相关异议投诉等事项时,可作为个人信息保护、数据安全、已主动评估风险和采用保护措施等的有效证明，证明个人征信机构已经遵守个人信息保护与数据安全等方面的法律、法规和标准的要求，进而减轻或免除个人征信机构相关责任和声誉损失。

3.可提高员工个人信息保护意识

个人征信机构通过PIPIA，加强对员工个人信息保护和安全方面的教育和培训，使员工熟悉各种个人信息保护和安全风险，提升个人信息保护意识，增强处理风险的能力。

4.可对合作方起引导作用

个人征信机构通过开展PIPIA，以实际行动向其合作方表明要严格对待个人信息保护，也有能力保护个人信息安全，让合作方了解其在合作过程中的角色和作用，知晓其应具体承担的个人信息保护工作和责任，间接影响和引导合作方采取适当保护措施，以达到与个人征信机构同等或类似的个人信息保护水平，进而提升整个社会的个人信息保护意识和水平。

三、个人征信机构开展评估的着眼点

公信力是个人征信机构的发展根基，合规是一切经营活动的底线。作为敏感个人信息处理者，个人征信机构应该严格遵守法律法规和监管要求，合规开展个人信息处理业务，始终将个人信息保护放在首位，建立并严格执行个人信息保护制度，应在系统建设、数据引入、数据管理和征信产品开发等各方面落实个人信息保护职责。鉴于此，个人征信机构可考虑从合规和尽责两方面开展个人信息保护影响评估。

（一）合规性评估要点建议

1.制度建设评估

个人征信机构首先应该建立个人信息全生命周期保护制度体系和流程标准，以确保个人信用信息采集、整理、保存、加工和对外提供等活动依法合规，评估时要关注制度是否完备和体系化，个人信息处理是否合法、正当和必要。例如，是否建立个人信息保护相关制度，是否建立个人信息采集、合规审核、使用等制度，是否出现个人信息保护合规风险事件。

2.制度执行评估

个人征信机构应该通过制度执行将个人信息保护落到实处。评估时应关注是否对信息提供者的信息来源、信息质量、信息安全、信息主体授权等必要内容进行实质性的、穿透式审核，个人信息采集、个人征信产品服务、合作等协议内容是否体现个人信息保护和征信业务等法规要求，是否开展必要的个人信息处理业务风险审计，整个业务流程是否进行相应的合规监测和管控等。

3.合规文化建设评估

个人征信机构应该加强内部从业人员个人信息保护教育。评估时应关注是否组织员工学习个人信息保护和征信业务相关知识，是否宣介《个保法》《征信业务管理办法》等法律法规，是否对合规人员、数据管理人员、系统管理人员、产品开发人员等进行必要的合规尽调、数据采集、数据安全、信息管理等法律法规培训，是否创造和培育了一定的个人信息保护和合规文化。

（二）尽责性评估要点建议

1.征信系统建设评估

征信系统是个人征信机构开展业务的基础。评估时应关注是否建立征信系统相关制度，系统的技术成熟度、国产化水平、系统功能等所处的状态。例如，是否制订征信系统建设、信息安全管理、信息设备管理、网络管理、信息安全检查、应急演练等系统相关制度，是否通过征信系统安全等级保护备案、网络安全等级保护测评、信息安全管理体系认证、个人隐私信息安全管理体系认证和信息技术服务管理体系认证等；系统是否具备高可用性、高并发性、高安全性、高伸缩性和高连续性的对外服务能力，是否定期开展应急演练，是否出现个人信息保护风险事件等。

2.数据引入和管理评估

数据是个人征信机构的立身之本，数据、数据产品的合规引入和数据安全是个人征信机构的生命线。评估时应关注是否建立了覆盖数据处理各环节的管理制度体系和组织体系，数据管理能力和科技水平怎样。例如是否有数据安全专职人员或组织，是否制订数据安全管理、数据分类分级管理、数据引入管理、数据检查、数据加密管理、数据脱敏管理、API接口安全管理等制度，制度执行程度和效果怎样，是否开展数据安全相关培训和数据安全自评估，是否发现潜在数据安全风险以及化解措施，是否出现数据安全相关风险事件等。

3.产品研发和应用评估

个人征信机构应该坚持在合规数据源基础上研发征信产品、提供征信服务。评估时应关注个人征信产品开发所利用的数据源是否合规；产品开发过程中对个人信息保护情况，是否采取了一定的技术措施以确保产品研发过程中的数据安全；产品服务过程中是否对产品使用行为进行必要的监测和管理、是否建立个人信息主体权益保护制度，例如个人征信产品查询是否合法合规、是否按约查询、授权查询、有无异常、异常处理措施怎样、异议处理制度、流程等；是否出现产品研发数据安全风险。

四、个人信息保护影响评估现状及展望

2021年，《数据安全法》和《个保护》相继出台后，各界高度关注数据安全和个人信息保护。2021年年底，为落实国家数据安全产业生态建设工作布局，中国信息通信院联合60多家高校、科研院所、企事业单位共同发起“数据安全共同体计划”，首批入选成员单位125家，包括著名高校、科研院所，以及通信、互联网、大数据、信息技术、金融、医疗等行业的重要企业，如京东、百度、阿里、腾讯、字节跳动等均在列，共同参与数据安全标准体系与生态共建。2022年3月11日，该共同体计划启动“个人信息保护影响评估专题工作”，4月7日召开首次研讨会，对个人信息保护影响评估常用工具表牵头单位、参编单位的基本情况进行介绍，法律、技术、合规等实务专家对个人信息保护影响评估实践经验等进行分享。

目前，虽有少数几家科技公司宣称提供个人信息保护影响评估服务，但实践者尚少。可以预见，随着个人信息保护相关法律法规施行和监管持续强化，个人信息处理者开展个人信息保护影响评估将成为必然。因此，随着业务场景不断增加和复杂化，个人信息处理者，尤其是个人征信机构都应当进一步提升合规意识，提早准备，主动开展个人信息保护影响评估，并根据评估结果，关注重点风险，完善系统、产品和服务，以减少个人信息保护安全事件的发生和降低不利影响。

参考资料：

中华人民共和国个人信息保护法[EB/OL].http://www.npc.gov.cn/npc/c30834/202108/a8c4e3672c74491a80b53a172bb753fe.shtml.

个人信息将迎来系统法律保护，解析《个人信息保护法（2017版草案）》[EB/OL].http://www.guantao.com/NewsSt/1487.html.

《中华人民共和国个人信息保护法（草案）》全文及说明[EB/OL].http://fuxiinstitution.org.cn/media_371600347451494400.

《个人信息安全影响评估指南》（GB/T 39335-2020）正式发布[EB/OL].https://www.sohu.com/a/434281388_100014117.

隐私影响评估[EB/OL].https://www.guayunfan.com/baike/186277.html.

GB/T 35273-2020《信息安全技术 个人信息安全规范》[EB/OL].http://www.100ec.cn/detail–6571570.html.

中国信通院“数据安全共同体计划（DSC）”第一批125家入选成员单位公示[EB/OL].https://topics.gmw.cn/2022-06/23/content_35832510.htm.

“个人信息保护影响评估专题工作”首次研讨进展[EB/OL].https://topics.gmw.cn/2022-06/22/content_35829654.htm.