南方財經全媒體記者 吳立洋 上海報道
隨著各行業數字化程度不斷加深,企業在業務開展過程中收集和處理個人信息也面臨諸多合規風險問題。根據《個人信息保護法》要求,在處理敏感個人信息、利用個人信息進行自動化決策等情形下,個人信息處理者應當事前進行個人信息保護影響評估(Privacy Impact Assessment,以下簡稱PIA),評估報告和處理情況記錄至少保存三年,同時作為審計重點的PIA,也被越來越多的企業納入日常的業務工作流程中。
但在PIA落地實施過程中,不同企業仍面臨困境和難點,一方面企業需要對內加強溝通效率,提升對合規情況的認知與控制能力,另一方面需要針對外部監管要求進行合規調整。此外,不同主體的PIA訴求也存在差異。
近日,由DLaw Hub、用九智匯主辦的數據合規主題沙龍在上海舉行。來自高校、律所、合規科技企業的代表結合自身工作與研究經驗,分享了對PIA推進過程中各類重點問題的觀察和思考。
對內合規管理需兼顧成本與效率
作為合規人員,最基本的要求是對自身企業的業務情況和合規要點有充分了解,而這很大程度上基于與業務部門的溝通。其中,以訪談問卷的形式對企業合規情況進行基本了解是經常被采用的調研方法之一。
但在合規實踐中,業務所面臨的數據合規場景普遍復雜,可能涉及多種類型,采用標準的統一的問卷模版可能難以兼顧不同場景下的合規重點,導致需要額外進行大量訪談工作進行補充,對合規人員和受訪的業務人員都意味著更高的合規成本和工作復雜性。
對此,上海某知名平臺公司合規總監宇文沛表示,在實際業務操作過程中,公司應重視結合項目的業務特征分級分類進行PIA評估。PIA問卷的設計除應當按照業務線進行劃分,還應同時考慮到問卷制作成本問題,按照風險等級、影響的嚴重程度進行劃分,較高或較為嚴重的情況會有專門的問卷和訪談設置。
上海漢盛律師事務所鄭書康則指出,合規人員可以在標準化問卷的基礎上按照實際場景進行分類。例如,為處理敏感個人信息、委托處理、對外提供,自動化決策等情形設置針對性問卷。在遇到復雜情況時,再將標準化進行組合。對于場景劃分,可根據系統之間的數據流向進行全面描述,并區分境內和跨境的數據流動。
而在PIA報告制作的實際操作過程中,企業相關人員和律師都面臨著人員和精力分配上的困境和責任歸屬問題。在企業方面,最常遇的問題,是在立項前期就由于數據流不清晰無法對個人信息影響效果進行有效評估,導致PIA項目推進緩慢。
一位研討會現場的企業數據合規人員指出,面對業務流程的復雜多變,如何在合適的流程節點將PIA報告工作嵌入,使得部門之間的協調效率最高,避免因責任歸屬不明晰帶來的后續風險問題,也是目前企業合規人員最為關注的焦點。
對此,緯湃科技數據合規法務顧問顧哲語提出,當前在很多企業準備開展一項新業務時,往往會舉行一場由產品部門主導的評審會,就具體功能和需要用戶完成怎樣的操作與開發部門進行溝通,在實際進行開發測試之前討論可能存在的問題。而有別于以往法務、合規等部門不介入或只在事后介入的情況,在當前的合規環境下,相關人員應積極參與此類評審會,卡住類似的事前關鍵節點,一方面對要開展的業務有一個基本了解,另一方面盡早對可能存在的合規問題進行規避。
值得關注的是,對于PIA報告的撰寫主體,多位業內人士均表示,結合當前的行業實踐,還是應當由最熟悉該業務流程的相關業務成員負責撰寫,再由法務和數據合規部門進行審核,是能夠兼顧業務實際情況同時保證報告規范有效的方式。
在動態環境下保持風險跟蹤能力
在研討會上,多位嘉賓提到,PIA報告形成并不是個人信息處理活動風險控制的終點,如何將PIA的風險控制進行量化,使個人信息處理活動能夠在日常業務流程中持續推進,是常態化提升企業合規能力,構建完善合規機制的關鍵。
“目前針對《個人信息保護法》的執法案例還相較有限,企業對于落實相關義務的意識和動力不足。” 上海政法學院教授張繼紅指出,目前并沒有出現明確的要求或者處罰案例是因為多數企業還沒有做好準備,都在彈性摸索的過渡期。
不過,違反《個人信息保護法》的民事、行政、刑事法律風險是可以預見的,將此類風險也納入到PIA工作中,可以促使企業及相關人員考量個人信息處理活動造成安全事件的可能性以及對數據主體的影響。
“在這樣的背景下,誰先做好完備的合規措施并得到市場與監管認可,就能形成自身的核心競爭力。”她進一步表示。
由于不同主體對于個人信息處理活動的出發點不同,如何形成科學的、規范的風險量化標準,是推進PIA風險控制持續進行的關鍵。普遍認為,由于不同行業所聚焦的數據處理標準存在差異,因此對于個人信息處理活動風險量化標準的評估,企業應當具備內部的風險劃分標準,而標準制定的參照則需要結合現有法律和規定的風險評級,國內外公開的參考數據指標和實際經驗的積累。
上海漢盛律師事務所高級合伙人金震華則提出,從監管角度出發進行衡量,是當前比較務實的實踐經驗。具體而言,需要分別從個人信息權益影響程度和安全風險問題兩部分進行風險和損害程度的評估,并結合執法案例,盡可能多地搜集不同維度信息,使衡量標準客觀化。
而在風險跟蹤方面,華商(杭州)律師事務所何魯揚指出,在首次評估過后,PIA是已經完成的狀態,個人信息處理活動的場景也已經維護,但是業務場景會變化,需要對其進行持續跟蹤。可以通過在前置業務中設置審查節點,在關鍵節點中做把控;以及通過預設的評估,以場景的變化觸發不同的預設條件,實現風險的持續控制。
一方面,這有賴于法務合規部門對業務的了解,另一方面,新型合規工具的使用也能夠極大提升相關工作的運行效率。
“很多企業已經在通過內部培訓指導相關部門合理、有效地使用AI,解答PIA過程中的一些常見問題。”Milliken legal Ellen Shen沈春燕表示,例如安裝微軟系統的可以應用Copilot等,都是已經在推行的實用做法與工具。
用九智匯副總裁宋建表示,當前已有自動化評估工具能夠很大程度上高效解決企業在PIA流程中的挑戰,包括在線協同評估、進度管理、風險庫自動標記和一鍵生成評估報告等功能的引入,企業可以減少人工干預,降低錯誤率,從而確保評估流程的順暢進行。
本文鏈接:企業合規建設進入深水區,PIA報告撰寫如何應對風險量化、動態跟蹤難題?http://m.lensthegame.com/show-2-2575-0.html
聲明:本網站為非營利性網站,本網頁內容由互聯網博主自發貢獻,不代表本站觀點,本站不承擔任何法律責任。天上不會到餡餅,請大家謹防詐騙!若有侵權等問題請及時與本網聯系,我們將在第一時間刪除處理。