解读|GBT39335-2020《信息安全技术 个人信息安全影响评估指南》
解读|GBT39335-2020《信息安全技术 个人信息安全影响评估指南》
2020年11月19日,国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告(2020年第26号),GB/T39335-2020《信息安全技术 个人信息安全影响评估指南》国家标准正式发布,并将于2021年6月1日正式实施。本则指南历时3年终于发布,为公民个人信息再添一张保护伞。
1、背景介绍
1.1. 发布背景
随着大数据时代的到来,数据成为新的生产要素,是国家的基础性资源和战略性资源。美国,欧盟,日本等国家前后出台了有关数据保护与个人信息保护的法律法规标准,来保护本国的数据及个人信息安全。
在2016年4月19日召开的网络安全和信息化工作座谈会上,国家总书记提出了“以人民为中心”的网信发展思想,并做出了“网络安全为人民、网络安全靠人民”的重要指示。2016年,《信息安全技术 个人信息安全规范》标准制定项目在全国信息安全标准化技术委员会立项,被列为重点标准项目,《个人信息安全规范》标准强调展开个人信息安全影响影响评估工作,旨在发现、处置和持续监控个人信息处理过程中的安全风险。个人信息安全影响评估与传统信息安全风险评估不同,其评估的风险是指对个人权益造成的损害,评估对象、评估方法均有所不同,国际上针对个人信息安全风险评估有大量专门的标准和指南,而我国尚无对个人信息主体权益影响进行评估的指导文件,制定该指南标准,将是推动个人信息保护工作深入落地,提升保护水平的有效途径。
1.2. 标准定位
2018年6月13日,全国信息安全标准化技术委员会发布国家标准《信息安全技术 个人信息安全影响评估指南》征求意见稿征求意见的通知。
2020年11月19日,国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告(2020年第26号)上,GB/T39335-2020《信息安全技术个人信息安全影响评估指南》国家标准正式发布。
《个人信息安全影响评估指南》(以下简称“《指南》”)是《个人信息保护法(草案)》和《个人信息保护规范》标准落地的重要抓手,是我国个人信息安全保护标准体系的关键环节。它规定了个人信息安全影响评估的基本概念、框架、方法和流程,并提出了特定场景下进行评估的具体方法。适用于各类组织自行开展个人信息安全影响评估工作。同时为国家主管部门、第三方测评机构等开展个人信息安全监管、检查、评估等工作提供的指导和依据。
1.3. 发展历程
个人信息安全政策及标准的发展历程如下所示:
1.4. 标准参考
《指南》参考了传统信息安全风险评估的方法,从资产、威胁、脆弱性三个角度进行分析,并结合个人信息处理行为对用户权益产生的影响,判断其对个人信息主体合法权益造成损害的各种风险,评估用于保护个人信息主体的各项措施有效性。同时,该标准还参考《ISO/IEC29134:2017隐私影响评估准则》中的隐私影响评估(PIA)的流程,通过借鉴国外立法和标准的研究,结合国内应用实践和标准编制组的科研成果,提出与国际标准接轨、适合我国国情,并具有一定创新性的“PIA”标准。为组织、监管部门、第三方测评机构等开展评估工作提供的指导和依据。
因此,《指南》既能够有效支撑我国《个人信息保护法(草案)》中的第五十四条要求,同时也能支撑实施《通用数据保护条例(GDPR)》下的数据保护影响评估(DPIA)要求。
2、内容解读
2.1 标准概述
《指南》由五个章节以及四份附录组成。其中第四章节“评估原理”和第五章“评估实施流程”作为主要章节,配合附录参考性材料,以“先原理后细节”的整体逻辑,明确指出了个人信息安全影响评估的基本原理、实施流程、评估细节,更加具象且专注于具体实操,对个人信息安全影响评估的工作落地起到了重要的指导意义。
2.2 内容简介
2.2.1 评估原理
《指南》中第四章节“评估原理”,介绍了开展评估的价值、评估报告的用途、评估责任主体、评估基本原理和评估实施考虑的要素。
开展评估的价值主要从组织和组织第三方合作伙伴两个维度进行阐述。
· 针对组织,在个人信息处理前,协助组织识别风险,辅助其采取对应的安全控制措施,并基于评估工作,帮助企业员工熟悉个人信息安全风险,增强处置风险的能力;在开展个人信息处理过程中,持续修正安全控制措施有效性,确保风险可控,同时可作为证明组织个人信息保护与数据安全方面的合规证明;当发生个人安全事件时,可作为组织已主动评估风险和采用保护措施的有效证明,减轻或免除组织相关责任和名誉损失。
· 针对组织第三方合作伙伴,在证明组织个人信息安全保护能力的同时,也可引导其采取适当安全管控措施。
在评估报告用途上,主要从个人信息主体、开展影响评估的组织、主管监管部门和组织第三方合作伙伴四个层面进行的阐述,具体如下图所示:
在评估责任主体上,由组织指定责任部门或责任人员(可选择自行开展或外聘独立第三方),但需要注意,该责任部门或人员需要具有独立性,不受被评估方影响。
在评估原理上,从两方面对个人信息处理活动进行评估,一是个人权益影响,另一个是安全保护措施有效性,最终确定风险级别。
在评估实施考虑要素上,主要包含三方面:评估规模,取决于受到影响的个人信息主体范围、数量和受影响的程度;评估方法,提供了访谈、检查、测试三中基本评估方法;评估工作形式,可分为自评估和检查评估两种。
2.2.2 评估实施流程
《指南》中第五章节“评估实施流程”,详细提供了组织进行个人信息安全影响评估的流程指引。评估实施流程可分为九步,具体如下图所示:
· 评估必要性分析,可从合规差距分析(整体合规分析、局部合规分析、评估性合规要求分析)和尽责性风险评估两个维度开展。
· 开展评估准备工作,包括组建评估团队、制定评估计划、确定评估对象和范围(系统基本信息、系统设计信息、处理流程和程序信息)、制定相关方咨询计划。
· 数据映射分析,需要结合个人信息处理的具体场景,开展方式可参考附录C中表C.1《基于处理活动/场景/特性或组件的个人信息映射表》和C.2《个人信息生命周期安全管理》
· 风险源识别,针对个人信息安全事件,对要素进行了简化,归纳为网络环境和技术措施、个人信息处理流程、参与人员与第三方、业务特点和规模及安全趋势四个方面。具体评估可参考附录D.1《评估安全事件发生的可能性》
· 个人权益影响分析,是分析特定的个人信息处理活动是否会对个人信息主体合法权益产生影响,以及可能产生何种影响,主要包括四个维度:限制个人自主决定权、引发差别性待遇、个人名誉受损或遭受精神压力、人身财产受损。具体评估可参考附录D.2《评估个人信息主体权益影响程度》
· 安全风险综合分析,具体过程和风险等级的判定可参考附录D中D.3《个人信息安全风险综合评估》。
2.3 关注重点
《指南》的发布为个人信息控制者提供了行之有效的方法去判断其个人信息处理活动的合法合规性,以及是否会对个人信息主体合法权益造成不利影响。对于一般企业来说,在个人信息安全保护工作的过程中,应当关注到以下内容:
2.3.1 需开展个人信息安全影响评估的情况
《中华人民共和国个人信息保护法(草案)》第五十四条中指出:个人信息处理者应当对下列个人信息处理活动在事前进行风险评估,并对处理情况进行记录:
· 处理敏感个人信息;
· 利用个人信息进行自动化决策;
· 委托处理个人信息、向第三方提供个人信息、公开个人信息;
· 向境外提供个人信息;
· 其他对个人有重大影响的个人信息处理活动;
《GB/T 35273-2020 信息安全技术 个人信息安全规范》中对开展个人信息安全影响评估的场景进行了补充:
· 在产品或服务发布前,或业务功能发生重大变化时,应进行个人信息安全影响评估;
· 在法律法规有新的要求时,或在业务模式、信息系统、运行环境发生重大变更时,或者发生重大个人信息安全事件时,应进行个人信息安全影响评估。
2.3.2 可能对个人信息产生高风险的情况
为了让企业更好的发现个人信息安全风险,《指南》提供了常见的高风险个人信息处理活动与场景,企业存在下述个人信息处理活动时,应当对其特别关注。
3、绿盟科技个人信息安全影响评估服务方案
作为将 “巨人背后的专家,保障客户业务顺畅运行”列为使命的公司,为了有效保障客户的业务运行以及用户的个人信息安全,绿盟科技向全行业的客户提供专业高效的个人信息安全影响评估服务,全力保障企业个人信息处理业务的合法合规,规避对用户合法权益的损害,并保障用于个人信息保护的各项措施有效落实,帮助企业规避因侵害用户权益带来的合规风险、财务风险以及舆论风险。
3.1 服务方案实施流程
3.2 评估收益
个人信息安全影响评估可有效加强企业对个人信息主体权益的保护,能够对外展示企业在个人信息保护领域的努力,提升透明度,增进个人信息主体对企业的信任。
具体收益如下:
4、个人信息安全影响评估实践案例
基于对《指南》以及国际标准和最佳实践的深入理解,结合长久以来积累的风险评估经验,绿盟科技已为多家企业提供了成熟完善的个人信息安全影响评估服务,为帮助读者更好地理解个人信息安全影响评估的实施方法,下面是对某省烟草企业个人信息安全影响评估项目作为案例进行的分析。
· 企业特征:业务设计明确、信息系统繁多、用户信息数量庞大、用户信息类别明确、可能导致重大个人权益影响。
· 评估对象:出于对上述因素的考虑和对重点业务的分析,本次评估确定了多个信息系统作为评估对象,涉及个人信息的全生命周期行为,且覆盖了个人信息种类与数量最多的几个系统。
· 实践过程:本次评估基于《指南》中的评估方法,结合企业架构特征与项目团队经验,通过如下方法完成了个人信息安全影响评估工作,并出具了综合企业整体个人信息保护状况的个人信息安全影响评估报告。
· 评估结果:本次评估发现安全保护措施落实不到位容易造成个人信息被泄露,以及引发零售户财产受损、歧视性待遇。下面选取两个典型的风险问题进行分析:
