前言

　　《個人信息安全影響評估指南》（以下簡稱“PIA”）新版已正式實施了一段時日，其正式稿標(biāo)準編號為GB/T 39335-2020，隨著《個人信息保護法》（以下簡稱“《個保法》”）的生效、數(shù)安管理條例的發(fā)布，以及當(dāng)今數(shù)據(jù)出境問題日益嚴峻的發(fā)展形勢下，PIA已經(jīng)成為國內(nèi)企業(yè)數(shù)據(jù)合規(guī)工作中一張熱度持續(xù)不下的必備王牌。與此同時，歐盟GDPR項下DPIA一直以來也備受矚目，二者的相似與區(qū)別一度成為大家津津樂道的談點。在歷經(jīng)一段時間的實踐后，筆者嘗試在從標(biāo)準的文理內(nèi)容和務(wù)實評估一文一武兩方面對二者進行對比與分析。同時帶著解決這個疑問的初衷開始本篇分享：國內(nèi)PIA的方法是否能夠支撐GDPR下的DPIA要求？

　　01 文理內(nèi)容對比與分析

　　PIA與DPIA文理內(nèi)容方面，我們從執(zhí)行力度、適用條件、適宜階段、評估目標(biāo)、評估步驟和評估產(chǎn)物這6個維度來進行對比分析，其對比結(jié)果雷達圖如下所示：

　　執(zhí)行力度方面：

　　二者趨于相似，國內(nèi)PIA在《個保法》中已在明確情形下要求企業(yè)履行該項工作，《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例（征求意見稿）》中也提出“不得超出報送網(wǎng)信部門的個人信息保護影響評估報告中明確的目的、范圍、方式和數(shù)據(jù)類型、規(guī)模等向境外提供個人信息”，同時對違反該條出具了相應(yīng)的罰則。DPIA在GDPR中的明確要求及處罰措施。二者在該方面相似度80%。

　　適用情況方面：

　　二者相似并具部分重疊，而在傾向上，PIA偏重于判斷數(shù)據(jù)的敏感度，傾向?qū)€人造成的影響。DPIA偏重于判斷大規(guī)模信息處理的范圍，傾向?qū)姷挠绊憽６咴谠摲矫嫦嗨贫?0%。

　　適宜階段方面：

　　二者傾向不同，PIA根據(jù)適用條件，按需進行，不限于個人信息處理活動的事前事中。DPIA偏重于個人信息處理活動前，來評估可能潛在對自然人權(quán)利和自由帶來高度風(fēng)險。二者在該方面相似度40%。

　　評估目標(biāo)方面：

　　二者幾乎類似，但相比來說，PIA評估結(jié)論中信息安全要素的權(quán)重占比似乎更高。PIA評估均衡了隱私權(quán)益保護和信息安全保護措施。DPIA評估更關(guān)注對數(shù)據(jù)自身及其處理過程的法律合規(guī)，以及其固有風(fēng)險。二者在該方面相似度85%。

　　評估步驟方面：

　　整體看來二者幾乎相同，PIA體現(xiàn)出的評估步驟更顯體系化和邏輯化。二者在該方面相似度90%。

　　評估產(chǎn)物方面：

　　二者相似并具部分重疊，同其目標(biāo)，PIA評估結(jié)論中信息安全要素的權(quán)重占比似乎更高。PIA產(chǎn)物的元素均衡了隱私權(quán)益保護和信息安全保護措施，視情況會有實際安全測試、安全審計報告。DPIA產(chǎn)物的元素更突出對數(shù)據(jù)主體權(quán)益和自由的評估及其處理的法律合規(guī)。二者在該方面相似度80%。

　　其中，文理方面的分析過程與理論參考可詳見下表：

　　02 務(wù)實評估對比與分析

　　在PIA與DPIA務(wù)實評估交付要求上，我們從背景原因陳述、個人信息處理描述、個人信息影響分析、個人信息風(fēng)險分析和評估結(jié)論與建議這5個維度來進行對比分析，其對比結(jié)果雷達圖如下所示：

　　背景原因方面：

　　背景原因等通用描述上二者的要求基本相同。二者在該方面相似度95%。

　　個人信息處理描述方面：

　　二者各有側(cè)重。PIA基于組件和基于個人信息生命周期的兩個維度，DPIA主要圍繞基于個人信息生命周期維度，同時在此階段增加了對數(shù)據(jù)主體權(quán)益保障方面的敘述。（PIA將此放在了“個人信息風(fēng)險分析”中的“個人信息處理流程”里面）二者在該方面相似度60%。

　　個人信息影響分析方面：

　　二者基本不同，PIA側(cè)重于對個人信息數(shù)據(jù)泄露后會對數(shù)據(jù)主體的影響維度進行分析，DPIA側(cè)重于對于數(shù)據(jù)主體權(quán)益保障維度的分析，包括不限于必要性和相稱性。（PIA將此放在了“個人信息風(fēng)險分析”中的“個人信息處理流程”里面）二者在該方面相似度20%。

　　個人信息風(fēng)險分析方面：

　　整體來看二者在評估方法大體相同但略有區(qū)別，PIA則更為細致和全面，可以認為了內(nèi)容上PIA覆蓋DPIA的風(fēng)險維度。二者在該方面相似度70%。

　　評估結(jié)論與建議方面：

　　整體來看二者在結(jié)論和建議的產(chǎn)物呈現(xiàn)上大體相同，PIA也同樣更為細致和全面。二者在該方面相似度80%。

　　其中，務(wù)實評估方面的分析過程與理論參考可詳見下表：

　　03 總結(jié)與啟示

　　本文從PIA與DPIA文理內(nèi)容的6個維度與務(wù)實評估的5個維度，在對二者進行了橫縱對比后，我們發(fā)現(xiàn)：

　　文理方面：PIA與DPIA的適用條件、評估目標(biāo)、步驟和產(chǎn)物上頗為相似，伴隨國內(nèi)立法與執(zhí)法態(tài)勢的日漸完善，二者執(zhí)行力度方面也趨于相近，而對于適宜階段上二者則存在一定程度上的差異。

　　務(wù)實方面：PIA與DPIA在具體落地的評估過程與其產(chǎn)物上，雖在各階段中略顯差異，但整體交付則大致相同。值得一提的，PIA評估均衡了隱私權(quán)益保護和信息安全保護措施，DPIA評估更關(guān)注對數(shù)據(jù)自身及其處理過程的法律合規(guī)以及其固有風(fēng)險。但綜合而言在風(fēng)險評估層面上PIA是可以覆蓋DPIA所要的風(fēng)險維度。

　　整體二者在文理內(nèi)容上方向一致但各有傾向，在務(wù)實評估的交付要求上則非常類似。其中PIA的評估在呈現(xiàn)上更顯體系化和邏輯化，覆蓋面更廣也更為細致。另外，從對比結(jié)果也可以輕松的解決開篇我們所提出的疑問，PIA方法基本足以支撐GDPR下的DPIA要求。

　　最后，通過再次對二者的對比分析，筆者也結(jié)合得到一些在企業(yè)實踐方面的啟示與思考在此簡要分享：

　　1

　　PIA與DPIA在評估交付上都具有較為嚴格且正式的要求，但在一般的企業(yè)實踐中，觸發(fā)正式影響評估、出具評估報告并由DPO簽字審批業(yè)務(wù)場景相對并不算多。而身處日常海量的業(yè)務(wù)場景中，我們也同樣需要提煉一個通用、高效且標(biāo)準化的評估方法去審核業(yè)務(wù)側(cè)提出的需求與相關(guān)疑問；

　　2

　　企業(yè)處理PIA/DPIA實踐中遇到的難點和痛點，往往并非全在評估風(fēng)險與影響分析上，而是啟動評估后對于企業(yè)實際數(shù)據(jù)處理與流轉(zhuǎn)現(xiàn)狀的確認，需要結(jié)合多個部門或業(yè)務(wù)線協(xié)作完成。這個問題的有效解決，則依賴對于數(shù)據(jù)清冊、數(shù)據(jù)流轉(zhuǎn)的自動化治理工作的成熟度提升，以及對于合規(guī)人員的易用性與友好性；

　　3

　　無論企業(yè)處理國內(nèi)業(yè)務(wù)還是海外業(yè)務(wù)，PIA/DPIA落實在企業(yè)流程卡點的建立與執(zhí)行上思路基本沒有差別。類似地，隱私與數(shù)據(jù)合規(guī)的評估流程也應(yīng)與信息安全SDLC相結(jié)合，融入到軟件開發(fā)的全生命周期，并同樣遵循左移的思路。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<