南方财经全媒体记者 吴立洋 上海报道
随着各行业数字化程度不断加深,企业在业务开展过程中收集和处理个人信息也面临诸多合规风险问题。根据《个人信息保护法》要求,在处理敏感个人信息、利用个人信息进行自动化决策等情形下,个人信息处理者应当事前进行个人信息保护影响评估(Privacy Impact Assessment,以下简称PIA),评估报告和处理情况记录至少保存三年,同时作为审计重点的PIA,也被越来越多的企业纳入日常的业务工作流程中。
但在PIA落地实施过程中,不同企业仍面临困境和难点,一方面企业需要对内加强沟通效率,提升对合规情况的认知与控制能力,另一方面需要针对外部监管要求进行合规调整。此外,不同主体的PIA诉求也存在差异。
近日,由DLaw Hub、用九智汇主办的数据合规主题沙龙在上海举行。来自高校、律所、合规科技企业的代表结合自身工作与研究经验,分享了对PIA推进过程中各类重点问题的观察和思考。
对内合规管理需兼顾成本与效率
作为合规人员,最基本的要求是对自身企业的业务情况和合规要点有充分了解,而这很大程度上基于与业务部门的沟通。其中,以访谈问卷的形式对企业合规情况进行基本了解是经常被采用的调研方法之一。
但在合规实践中,业务所面临的数据合规场景普遍复杂,可能涉及多种类型,采用标准的统一的问卷模版可能难以兼顾不同场景下的合规重点,导致需要额外进行大量访谈工作进行补充,对合规人员和受访的业务人员都意味着更高的合规成本和工作复杂性。
对此,上海某知名平台公司合规总监宇文沛表示,在实际业务操作过程中,公司应重视结合项目的业务特征分级分类进行PIA评估。PIA问卷的设计除应当按照业务线进行划分,还应同时考虑到问卷制作成本问题,按照风险等级、影响的严重程度进行划分,较高或较为严重的情况会有专门的问卷和访谈设置。
上海汉盛律师事务所郑书康则指出,合规人员可以在标准化问卷的基础上按照实际场景进行分类。例如,为处理敏感个人信息、委托处理、对外提供,自动化决策等情形设置针对性问卷。在遇到复杂情况时,再将标准化进行组合。对于场景划分,可根据系统之间的数据流向进行全面描述,并区分境内和跨境的数据流动。
而在PIA报告制作的实际操作过程中,企业相关人员和律师都面临着人员和精力分配上的困境和责任归属问题。在企业方面,最常遇的问题,是在立项前期就由于数据流不清晰无法对个人信息影响效果进行有效评估,导致PIA项目推进缓慢。
一位研讨会现场的企业数据合规人员指出,面对业务流程的复杂多变,如何在合适的流程节点将PIA报告工作嵌入,使得部门之间的协调效率最高,避免因责任归属不明晰带来的后续风险问题,也是目前企业合规人员最为关注的焦点。
对此,纬湃科技数据合规法务顾问顾哲语提出,当前在很多企业准备开展一项新业务时,往往会举行一场由产品部门主导的评审会,就具体功能和需要用户完成怎样的操作与开发部门进行沟通,在实际进行开发测试之前讨论可能存在的问题。而有别于以往法务、合规等部门不介入或只在事后介入的情况,在当前的合规环境下,相关人员应积极参与此类评审会,卡住类似的事前关键节点,一方面对要开展的业务有一个基本了解,另一方面尽早对可能存在的合规问题进行规避。
值得关注的是,对于PIA报告的撰写主体,多位业内人士均表示,结合当前的行业实践,还是应当由最熟悉该业务流程的相关业务成员负责撰写,再由法务和数据合规部门进行审核,是能够兼顾业务实际情况同时保证报告规范有效的方式。
在动态环境下保持风险跟踪能力
在研讨会上,多位嘉宾提到,PIA报告形成并不是个人信息处理活动风险控制的终点,如何将PIA的风险控制进行量化,使个人信息处理活动能够在日常业务流程中持续推进,是常态化提升企业合规能力,构建完善合规机制的关键。
“目前针对《个人信息保护法》的执法案例还相较有限,企业对于落实相关义务的意识和动力不足。” 上海政法学院教授张继红指出,目前并没有出现明确的要求或者处罚案例是因为多数企业还没有做好准备,都在弹性摸索的过渡期。
不过,违反《个人信息保护法》的民事、行政、刑事法律风险是可以预见的,将此类风险也纳入到PIA工作中,可以促使企业及相关人员考量个人信息处理活动造成安全事件的可能性以及对数据主体的影响。
“在这样的背景下,谁先做好完备的合规措施并得到市场与监管认可,就能形成自身的核心竞争力。”她进一步表示。
由于不同主体对于个人信息处理活动的出发点不同,如何形成科学的、规范的风险量化标准,是推进PIA风险控制持续进行的关键。普遍认为,由于不同行业所聚焦的数据处理标准存在差异,因此对于个人信息处理活动风险量化标准的评估,企业应当具备内部的风险划分标准,而标准制定的参照则需要结合现有法律和规定的风险评级,国内外公开的参考数据指标和实际经验的积累。
上海汉盛律师事务所高级合伙人金震华则提出,从监管角度出发进行衡量,是当前比较务实的实践经验。具体而言,需要分别从个人信息权益影响程度和安全风险问题两部分进行风险和损害程度的评估,并结合执法案例,尽可能多地搜集不同维度信息,使衡量标准客观化。
而在风险跟踪方面,华商(杭州)律师事务所何鲁扬指出,在首次评估过后,PIA是已经完成的状态,个人信息处理活动的场景也已经维护,但是业务场景会变化,需要对其进行持续跟踪。可以通过在前置业务中设置审查节点,在关键节点中做把控;以及通过预设的评估,以场景的变化触发不同的预设条件,实现风险的持续控制。
一方面,这有赖于法务合规部门对业务的了解,另一方面,新型合规工具的使用也能够极大提升相关工作的运行效率。
“很多企业已经在通过内部培训指导相关部门合理、有效地使用AI,解答PIA过程中的一些常见问题。”Milliken legal Ellen Shen沈春燕表示,例如安装微软系统的可以应用Copilot等,都是已经在推行的实用做法与工具。
用九智汇副总裁宋建表示,当前已有自动化评估工具能够很大程度上高效解决企业在PIA流程中的挑战,包括在线协同评估、进度管理、风险库自动标记和一键生成评估报告等功能的引入,企业可以减少人工干预,降低错误率,从而确保评估流程的顺畅进行。