《个人信息安全影响评估指南》重磅解读

前言

2020年11月19日国家市场监督管理总局、国家标准化管理委员会发布GB/T 39335-2020《信息安全技术 个人信息安全影响评估指南》（以下简称“本指南”），并将于2021年6月1日正式实施。

本指南由“范围”、“规范性引用文件”、“术语和定义”、“评估原理”及“评估实施流程”5个章节，和“评估性合规的示例及评估要点”、“高风险的个人信息处理活动示例”、“个人信息安全评估常用工作表”、“个人信息安全影响评估参考办法”4个附录部分组成，如下图所示：

《个人信息安全影响评估指南》结构

企业在什么情况下需开展个人信息安全影响评估

《网络安全法》中第四十二条要求“网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。”所以网络运营者如何确保现有措施可确保其收集的个人信息安全，就需要通过个人信息安全影响评估。

《个人信息保护法（草案）》第五十四条要求“个人信息处理者应当在处理敏感个人信息、利用个人信息进行自动化决策、委托处理个人信息、向第三方提供个人信息、公开个人信息、向境外提供个人信息及其他对个人有重大影响的个人信息处理活动前进行风险评估（个人信息影响评估）:

GB/T 35273-2020中明确要求企业在个人信息的委托处理时、个人信息共享、转让时、个人信息公开披露时、收集未成年人信息时、在业务模式、信息系统、运行环境发生重大变更时、在产品或服务发布前，或功能发生重大变化时、发生重大个人信息安全事件时均需开展个人信息安全影响评估工作。

评估原理解读

本指南对评估原理进行了讲解，如下图所示：

通过数据映射分析，识别出待评估的个人信息处理活动，对待评估的个人信息处理活动分别开展个人权益影响分析及现有安全保护措施有效性分析，将得出的个人权益影响程度和安全事件可能的程度进行整合，最终得出风险级别。

本指南分别罗列出访谈、检查及测试三种基本方式，企业可通过自评估和检查评估（第三方评估）的形式开展评估工作。

评估流程介绍

本指南第五章“评估实施流程”将个人信息安全影响评估分为以下阶段：

评估准备阶段：主要包含明确评估范围、评估团队建立、评估计划制定、评估检查清单制定等；

评估实施阶段：主要包括数据映射分析、风险源识别、个人权益影响分析以及安全风险综合分析四个方面，其中本指南在评估阶段建议企业从“限制个人自主决定权”、“引发差别性待遇”、“个人名誉受损或遭受精神压力”及“人身财产受损”四个纬度进行分析。

安言-个人信息安全影响分析表示例

评估报告阶段：企业在完成个人信息安全影响评估后，最终形成个人信息安全影响评估报告，结合本指南第四部分与第五部分中关于评估报告的要求，评估报告主要用于企业完善相关个人信息保护措施外，同时可向个人信息主体、主管监管部门等发布，用于配合监管活动，增加客户信任等。

总结

我国信息化的飞速发展给企业带来新的机遇的同时，企业也面临着前所未有的个人信息保护的挑战。本指南的推出为企业处理个人信息提供了安全保护依据。安言可为企业提供个人信息安全影响评估服务，并依据个人信息安全评估的结果协助企业完善安全保护措施，有效控制个人信息相关安全风险。

更多相关业务与内容，请持续关注安言Aryasec。