前言

　　《個(gè)人信息安全影響評(píng)估指南》（以下簡(jiǎn)稱“PIA”）新版已正式實(shí)施了一段時(shí)日，其正式稿標(biāo)準(zhǔn)編號(hào)為GB/T 39335-2020，隨著《個(gè)人信息保護(hù)法》（以下簡(jiǎn)稱“《個(gè)保法》”）的生效、數(shù)安管理?xiàng)l例的發(fā)布，以及當(dāng)今數(shù)據(jù)出境問(wèn)題日益嚴(yán)峻的發(fā)展形勢(shì)下，PIA已經(jīng)成為國(guó)內(nèi)企業(yè)數(shù)據(jù)合規(guī)工作中一張熱度持續(xù)不下的必備王牌。與此同時(shí)，歐盟GDPR項(xiàng)下DPIA一直以來(lái)也備受矚目，二者的相似與區(qū)別一度成為大家津津樂(lè)道的談點(diǎn)。在歷經(jīng)一段時(shí)間的實(shí)踐后，筆者嘗試在從標(biāo)準(zhǔn)的文理內(nèi)容和務(wù)實(shí)評(píng)估一文一武兩方面對(duì)二者進(jìn)行對(duì)比與分析。同時(shí)帶著解決這個(gè)疑問(wèn)的初衷開始本篇分享：國(guó)內(nèi)PIA的方法是否能夠支撐GDPR下的DPIA要求？

　　01 文理內(nèi)容對(duì)比與分析

　　PIA與DPIA文理內(nèi)容方面，我們從執(zhí)行力度、適用條件、適宜階段、評(píng)估目標(biāo)、評(píng)估步驟和評(píng)估產(chǎn)物這6個(gè)維度來(lái)進(jìn)行對(duì)比分析，其對(duì)比結(jié)果雷達(dá)圖如下所示：

　　執(zhí)行力度方面：

　　二者趨于相似，國(guó)內(nèi)PIA在《個(gè)保法》中已在明確情形下要求企業(yè)履行該項(xiàng)工作，《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例（征求意見稿）》中也提出“不得超出報(bào)送網(wǎng)信部門的個(gè)人信息保護(hù)影響評(píng)估報(bào)告中明確的目的、范圍、方式和數(shù)據(jù)類型、規(guī)模等向境外提供個(gè)人信息”，同時(shí)對(duì)違反該條出具了相應(yīng)的罰則。DPIA在GDPR中的明確要求及處罰措施。二者在該方面相似度80%。

　　適用情況方面：

　　二者相似并具部分重疊，而在傾向上，PIA偏重于判斷數(shù)據(jù)的敏感度，傾向?qū)€(gè)人造成的影響。DPIA偏重于判斷大規(guī)模信息處理的范圍，傾向?qū)姷挠绊?。二者在該方面相似?0%。

　　適宜階段方面：

　　二者傾向不同，PIA根據(jù)適用條件，按需進(jìn)行，不限于個(gè)人信息處理活動(dòng)的事前事中。DPIA偏重于個(gè)人信息處理活動(dòng)前，來(lái)評(píng)估可能潛在對(duì)自然人權(quán)利和自由帶來(lái)高度風(fēng)險(xiǎn)。二者在該方面相似度40%。

　　評(píng)估目標(biāo)方面：

　　二者幾乎類似，但相比來(lái)說(shuō)，PIA評(píng)估結(jié)論中信息安全要素的權(quán)重占比似乎更高。PIA評(píng)估均衡了隱私權(quán)益保護(hù)和信息安全保護(hù)措施。DPIA評(píng)估更關(guān)注對(duì)數(shù)據(jù)自身及其處理過(guò)程的法律合規(guī)，以及其固有風(fēng)險(xiǎn)。二者在該方面相似度85%。

　　評(píng)估步驟方面：

　　整體看來(lái)二者幾乎相同，PIA體現(xiàn)出的評(píng)估步驟更顯體系化和邏輯化。二者在該方面相似度90%。

　　評(píng)估產(chǎn)物方面：

　　二者相似并具部分重疊，同其目標(biāo)，PIA評(píng)估結(jié)論中信息安全要素的權(quán)重占比似乎更高。PIA產(chǎn)物的元素均衡了隱私權(quán)益保護(hù)和信息安全保護(hù)措施，視情況會(huì)有實(shí)際安全測(cè)試、安全審計(jì)報(bào)告。DPIA產(chǎn)物的元素更突出對(duì)數(shù)據(jù)主體權(quán)益和自由的評(píng)估及其處理的法律合規(guī)。二者在該方面相似度80%。

　　其中，文理方面的分析過(guò)程與理論參考可詳見下表：

　　02 務(wù)實(shí)評(píng)估對(duì)比與分析

　　在PIA與DPIA務(wù)實(shí)評(píng)估交付要求上，我們從背景原因陳述、個(gè)人信息處理描述、個(gè)人信息影響分析、個(gè)人信息風(fēng)險(xiǎn)分析和評(píng)估結(jié)論與建議這5個(gè)維度來(lái)進(jìn)行對(duì)比分析，其對(duì)比結(jié)果雷達(dá)圖如下所示：

　　背景原因方面：

　　背景原因等通用描述上二者的要求基本相同。二者在該方面相似度95%。

　　個(gè)人信息處理描述方面：

　　二者各有側(cè)重。PIA基于組件和基于個(gè)人信息生命周期的兩個(gè)維度，DPIA主要圍繞基于個(gè)人信息生命周期維度，同時(shí)在此階段增加了對(duì)數(shù)據(jù)主體權(quán)益保障方面的敘述。（PIA將此放在了“個(gè)人信息風(fēng)險(xiǎn)分析”中的“個(gè)人信息處理流程”里面）二者在該方面相似度60%。

　　個(gè)人信息影響分析方面：

　　二者基本不同，PIA側(cè)重于對(duì)個(gè)人信息數(shù)據(jù)泄露后會(huì)對(duì)數(shù)據(jù)主體的影響維度進(jìn)行分析，DPIA側(cè)重于對(duì)于數(shù)據(jù)主體權(quán)益保障維度的分析，包括不限于必要性和相稱性。（PIA將此放在了“個(gè)人信息風(fēng)險(xiǎn)分析”中的“個(gè)人信息處理流程”里面）二者在該方面相似度20%。

　　個(gè)人信息風(fēng)險(xiǎn)分析方面：

　　整體來(lái)看二者在評(píng)估方法大體相同但略有區(qū)別，PIA則更為細(xì)致和全面，可以認(rèn)為了內(nèi)容上PIA覆蓋DPIA的風(fēng)險(xiǎn)維度。二者在該方面相似度70%。

　　評(píng)估結(jié)論與建議方面：

　　整體來(lái)看二者在結(jié)論和建議的產(chǎn)物呈現(xiàn)上大體相同，PIA也同樣更為細(xì)致和全面。二者在該方面相似度80%。

　　其中，務(wù)實(shí)評(píng)估方面的分析過(guò)程與理論參考可詳見下表：

　　03 總結(jié)與啟示

　　本文從PIA與DPIA文理內(nèi)容的6個(gè)維度與務(wù)實(shí)評(píng)估的5個(gè)維度，在對(duì)二者進(jìn)行了橫縱對(duì)比后，我們發(fā)現(xiàn)：

　　文理方面：PIA與DPIA的適用條件、評(píng)估目標(biāo)、步驟和產(chǎn)物上頗為相似，伴隨國(guó)內(nèi)立法與執(zhí)法態(tài)勢(shì)的日漸完善，二者執(zhí)行力度方面也趨于相近，而對(duì)于適宜階段上二者則存在一定程度上的差異。

　　務(wù)實(shí)方面：PIA與DPIA在具體落地的評(píng)估過(guò)程與其產(chǎn)物上，雖在各階段中略顯差異，但整體交付則大致相同。值得一提的，PIA評(píng)估均衡了隱私權(quán)益保護(hù)和信息安全保護(hù)措施，DPIA評(píng)估更關(guān)注對(duì)數(shù)據(jù)自身及其處理過(guò)程的法律合規(guī)以及其固有風(fēng)險(xiǎn)。但綜合而言在風(fēng)險(xiǎn)評(píng)估層面上PIA是可以覆蓋DPIA所要的風(fēng)險(xiǎn)維度。

　　整體二者在文理內(nèi)容上方向一致但各有傾向，在務(wù)實(shí)評(píng)估的交付要求上則非常類似。其中PIA的評(píng)估在呈現(xiàn)上更顯體系化和邏輯化，覆蓋面更廣也更為細(xì)致。另外，從對(duì)比結(jié)果也可以輕松的解決開篇我們所提出的疑問(wèn)，PIA方法基本足以支撐GDPR下的DPIA要求。

　　最后，通過(guò)再次對(duì)二者的對(duì)比分析，筆者也結(jié)合得到一些在企業(yè)實(shí)踐方面的啟示與思考在此簡(jiǎn)要分享：

　　1

　　PIA與DPIA在評(píng)估交付上都具有較為嚴(yán)格且正式的要求，但在一般的企業(yè)實(shí)踐中，觸發(fā)正式影響評(píng)估、出具評(píng)估報(bào)告并由DPO簽字審批業(yè)務(wù)場(chǎng)景相對(duì)并不算多。而身處日常海量的業(yè)務(wù)場(chǎng)景中，我們也同樣需要提煉一個(gè)通用、高效且標(biāo)準(zhǔn)化的評(píng)估方法去審核業(yè)務(wù)側(cè)提出的需求與相關(guān)疑問(wèn)；

　　2

　　企業(yè)處理PIA/DPIA實(shí)踐中遇到的難點(diǎn)和痛點(diǎn)，往往并非全在評(píng)估風(fēng)險(xiǎn)與影響分析上，而是啟動(dòng)評(píng)估后對(duì)于企業(yè)實(shí)際數(shù)據(jù)處理與流轉(zhuǎn)現(xiàn)狀的確認(rèn)，需要結(jié)合多個(gè)部門或業(yè)務(wù)線協(xié)作完成。這個(gè)問(wèn)題的有效解決，則依賴對(duì)于數(shù)據(jù)清冊(cè)、數(shù)據(jù)流轉(zhuǎn)的自動(dòng)化治理工作的成熟度提升，以及對(duì)于合規(guī)人員的易用性與友好性；

　　3

　　無(wú)論企業(yè)處理國(guó)內(nèi)業(yè)務(wù)還是海外業(yè)務(wù)，PIA/DPIA落實(shí)在企業(yè)流程卡點(diǎn)的建立與執(zhí)行上思路基本沒(méi)有差別。類似地，隱私與數(shù)據(jù)合規(guī)的評(píng)估流程也應(yīng)與信息安全SDLC相結(jié)合，融入到軟件開發(fā)的全生命周期，并同樣遵循左移的思路。

更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<