ICS 35.040
L80
中华人民共和国国家标准
信息安全技术 个人信息安全影响评估指南
2019-10-20 报批
Information security technology -
Security impact assessment guide of personal information
前 言
本标准按照GB/T 1.1—2009《标准化工作导则 第1部分:标准的结构和编写》给出的规则起草。
请注意本文件的其他内容可能涉及专利,本文件的发布机构不承担识别这些专利的责任。
本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。
本标准主要起草单位:中国电子技术标准化研究院、颐信科技有限公司、深圳市腾讯计算机系统有限公司、华为技术有限公司、全知科技有限公司、北京信息安全测评中心、四川大学网络空间安全研究院、中国信息通信研究院、阿里巴巴(北京)软件服务有限公司、蚂蚁金服公司、陕西信息安全测评中心、国家金融IC卡检测中心。
范围
本标准规定了个人信息安全影响评估的基本概念、框架、方法和流程。
本标准适用于各类组织自行开展个人信息安全影响评估工作。同时为国家主管部门、第三方测评组织等开展个人信息安全监管、检查、评估等工作提供的指导和依据。
规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 25069—2010 信息技术 安全技术 术语
GB/T 35273 信息安全技术 个人信息安全规范
术语和定义
GB/T 25069—2010、GB/T 35273中界定的以及下列术语和定义适用于本文件。
3.1 个人信息 personal information
以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。
[GB/T 35273,定义3.1]
3.2 个人信息主体 personal data subject
个人信息所标识的自然人。
[GB/T 35273,定义3.3]
3.3 个人信息控制者 personal information controller
有权决定个人信息处理目的、方式等的组织或个人。
[GB/T 35273,定义3.4]
3.4 个人信息安全影响评估 personal information security impact assessment
针对个人信息处理活动,检验其合法合规程度,判断其对个人信息主体合法权益造成损害的各种风险,以及评估用于保护个人信息主体的各项措施有效性的过程。
评估基本原理和框架
4.1 概述
保障个人信息安全的根本目的,在于避免个人信息收集、使用等处理行为对个人信息主体的合法权益造成损害。个人信息安全影响评估旨在发现、处置和持续监控个人信息处理过程中对个人信息主体合法权益造成不利影响的风险。
个人信息安全影响评估为个人信息控制者实施风险管理的重要工作程序。根据评估结果,开展个人信息处理的组织可实施适当的安全控制措施,从而降低收集和处理个人信息的过程中对个人信息主体权益造成的不利影响;并根据组织的业务现状和可预期的变化、对个人信息安全可能产生威胁的内外部因素、有关法律法规标准要求等内外部因素的定期评估,持续修正个人信息安全控制措施,使个人信息收集、处理过程对个人合法权益不利影响的风险处于总体可控的状态。
4.2 评估价值
个人信息安全影响评估通常被视为一种事前预防机制,帮助组织在业务(或工作程序)开展之前,识别对个人信息主体权益的风险,实施有针对性的保护措施。个人信息安全影响评估有助于在工作开展的初期识别个人信息安全问题,通过尽早考虑、分析和处理个人信息安全问题,降低组织的时间管理成本、法律风险以及潜在的声誉或公众问题。
因此,个人信息安全影响评估作为常规性合规性检查,帮助组织在政府、相关机构或商业伙伴的合规性审计或调查中证明其遵守了个人信息与数据保护法律、法规和标准的要求。在发生个人信息安全风险或违规事件时,个人信息安全影响评估的制度及记录评估过程和结果的报告有利于证明组织已经采取适当措施试图防止上述情况发生,有助于减轻、甚至免除相关责任和名誉损失。
个人信息安全影响评估还可以作为基础合规之上的风控工具。在满足基本合规要求后,组织主动对某些个人信息处理环节或场景(例如运用新技术或搭建新模式)进行个人信息安全影响评估,提前掌握对个人信息主体合法权益的影响并采取安全控制措施。。此举有利于表明组织努力降低风险,充分尊重个人信息主体及所托付的信任。信任建立在透明的基础上,因此,个人信息安全影响评估倡导组织通过主动提升透明度,进一步加强对个人信息主体权益的保护。
经常开展个人信息安全影响评估的组织还能对其员工和合作伙伴形成示范效应。通过个人信息安全影响评估,组织可以对相关员工进行个人信息保护教育,使之警惕可能导致组织受损的个人信息安全问题。对合作伙伴来说,组织通过评估的实际行动表明其严肃对待个人信息保护问题,也期望他们能够采取相同的处理方式或提供同等水平的安全控制措施。
4.3 评估效果
通常情况下,实施个人信息安全影响评估实现的评估效果如下:
识别数据安全风险、数据处理活动对个人权益可能造成的不利影响,以及相关的责任;
为产品和业务设计阶段的个人信息保护理念落地提供支撑;
评审新上线信息系统在收集处理个人信息时的安全风险及可以采取的安全控制措施;
向个人信息主体提供信息安全的建议,从而提升个人信息主体的安全防护意识,进而提高其个人信息安全防护的效果;
评估信息系统在维护和更新功能时,对其所存储处理的个人信息造成的潜在安全影响及可以采取的安全控制措施;
向适当的相关方披露已识别的个人信息安全风险,使该相关方可以采取风险处置措施;
向组织内的责任部门反馈评估结果并监督相关安全控制措施落地。
4.4 评估报告的基本内容和用途
个人信息安全影响评估报告应主要包括被评估的对象所覆盖的业务场景、涉及的个人数据收集处理活动和参与及负责部门、已识别的风险,以及已采用或拟采用的安全控制措施清单等。
注:需要对评估报告中的信息(包括固有风险和已经得到缓解的风险)的分发或发布进行明确评估和分类(如私有、机密、公开等),确保不同的相关方(例如个人信息主体、监管组织等)获得其所需要的信息。
基于上述内容,个人信息安全影响评估报告可以给个人信息主体、个人信息控制者、监管组织、组织的合作伙伴带来以下帮助:
对于个人信息主体,个人信息安全影响评估报告,可确保个人信息主体了解其信息被如何处理、如何保护,并使个人信息主体能够判断是否有剩余风险尚未得到处置。
对于个人信息控制者,评估报告的使用场景可能包括以下方面:
在项目初始阶段执行个人信息安全影响评估,有助于更加透彻地理解个人信息保护要求,确保在产品或服务的设计和流程中加入个人信息保护要求(如安全机制的可实现性、可行性、可追踪性等);
在产品或服务交付后,产品功能、外部因素(例如互联网安全环境、信息共享的第三方安全控制能力等)、法律法规产生实质变更时,对个人信息安全影响评估结果进行审核和修订,有助于组织及时跟踪产品或服务的安全风险,及时防范或弥补,避免对组织或个人信息主体带来更大的损失;
作为一种持续的监督机制,监督通过评估已识别为存在个人信息安全风险的处理活动,采取措施改善或消除已识别的风险;
用于管理个人信息安全风险、提升意识、建立责任制度,确保组织内部能够识别处理个人信息的风险,进而管理潜在风险与影响。
对于监管组织,要求组织提供个人信息安全影响评估报告可以高效地监督个人信息控制者的收集处理行为,并通过这样的要求促使个人信息控制者对于有一定风险的个人信息收集处理行为进行事前风险评估并采取有效地安全控制措施。而对于组织而言,采取个人信息安全影响评估有利于证明该组织遵守法律、法规和标准要求;此外,如发生个人信息保护方面的违规、投诉等情况,个人信息安全影响评估可作为该组织已进行尽职调查的相关证据。
对于组织的合作伙伴,可作为管控风险的工具,即通过个人信息安全影响评估报告评估该组织收集处理个人信息的方式是否会对个人信息安全带来不良影响。而对组织而言,采取个人信息安全影响评估可以作为履行合同义务的证据。
4.5评估责任主体
组织应当指定个人信息安全影响评估的责任部门或责任人员,由其负责个人信息安全评估流程的制定、实施、改进工作程序,并为个人信息安全影响评估工作执行结果的质量负责。该责任部门或人员应具有独立性,不受到被评估方的影响。通常组织内部牵头执行个人信息安全影响评估工作的部门为法务部门、合规部门或信息安全部门。
组织内的责任部门可根据部门的具体能力配备情况,选择自行执行个人信息安全影响评估流程,也可协调其他内部和/或外部相关方提供帮助,或聘请外部独立第三方执行个人信息安全影响评估。
注:特定情况下,个人信息安全影响评估也可能会由客户或非政府组织来执行。
当由组织自行进行个人信息安全影响评估时,监管组织和客户可要求独立审计来核证评估活动的合理性和完备性。同时,该组织应允许监管组织对评估流程以及相关信息系统或程序的取证。
对于具体的产品、服务或项目,应由相应的产品、服务或项目负责人确保个人信息安全影响评估活动的开展和顺利进行,并给予相应支持。
4.6 评估规模
个人信息安全影响评估的规模往往取决于受到影响的个人信息主体范围和程度。通常,组织在实施该类个人信息安全影响评估时,个人信息的总量、类别、敏感程度、涉及个人信息主体的数量、能访问个人信息的人员等都会成为影响实际评估规模的重要因素。
4.7 评估原理
个人信息安全影响评估的基本原理如下图。
图1 评估原理示意图
评估前,对待评估的对象(可为某项产品、某类业务、某项具体合作等)进行全面的调研,形成清晰的数据清单及数据映射图表(data flow charts)。同时,结合个人信息处理的具体场景,初步判断所处理的个人信息是否包含不必要的个人信息,对属于个人敏感信息的数据类型进行初步识别,并梳理出待评估的具体的个人信息处理活动。
评估过程中,首先分析收集处理(或计划收集处理)的个人信息(个人敏感信息应重点关注)是否有必要、是否可以由其它非个人信息或者非个人敏感信息来替代;其次,分析个人信息处理活动对个人信息主体的权益造成的影响,并判定相应的影响程度;再次,对个人信息处理活动的特点、已采用的或已决定采用的安全措施、所涉及相关方类型和数量、个人信息处理活动的规模(包括信息总量、覆盖人群和地域等)等进行分析,判定对于个人信息主体的影响和个人信息安全事件发生的可能性。
最后,综合分析必要性、影响程度和可能性三个要素,得出风险等级,并给出相应的改进建议,形成评估报告。
4.8 实施流程
个人信息安全影响评估的基本实施流程包括:评估准备阶段、分析阶段、评估报告阶段、风险处置和持续改进阶段、评估报告发布阶段。
其中,分析阶段应至少包括必要性分析、数据映射分析、个人权益影响分析、安全事件可能性分析和风险分析等环节。
4.9 评估活动
评估过程中采用的基本评估方法,包括但不限于以下三种:
访谈:指评估人员对相关人员进行谈话,进而对信息系统中个人信息收集处理、保护措施设计和实施情况进行了解、分析和取证。访谈的对象为个人或团体,如产品经理、研发工程师、个人信息保护负责人、法务负责人员、系统架构师、安全管理员、运维人员、人力资源人员和系统用户等。
检查:指评估人员通过对管理制度、安全策略和机制、合同协议、安全配置和设计文档、运行记录等进行观察、查验、分析,以便理解、分析或取得证据的过程。检查的对象为规范、机制和活动,如个人信息保护策略规划和程序、系统的设计文档和接口规范、应急规划演练结果、事件响应活动、技术手册和用户/管理员指南、信息系统的硬件/软件中信息技术机制的运行等。
测试:指评估人员通过人工或自动化安全测试工具进行技术测试,获得相关信息,并进行分析以便获取证据的过程。测试的对象为安全控制机制,如访问控制、身份识别和验证、安全审计机制、传输链路和保存加密机制、对重要事件进行持续监控、测试事件响应能力、以及应急规划演练能力等。
4.10 评估工作形式
从实施主体来区分,个人信息安全影响评估分为自评估和检查评估两种形式。
自评估是指个人信息控制者自行发起对其个人信息处理行为的评估,自评估可以由本组织指定专门负责评估、审计的岗位或角色开展,也可以委托外部专业组织开展评估工作。
检查评估是指个人信息控制者的上级组织发起的个人信息安全影响评估工作,上级组织为对个人信息控制者有直接领导关系或负有监督管理责任的组织。检查评估也可以委托外部评估技术服务支持,应要求外部组织的评估结果对检查组织负责。
评估流程
5.1 必要性分析
5.1.1 概述
个人信息安全影响评估可用于合规差距分析,也可以用于超越合规目的的自检。因此启动个人信息安全影响评估的必要性,取决于组织的个人信息安全目标,组织可根据实际的需求选取需要启动评估的业务场景。
5.1.1 合规差距分析
5.1.1.1 概述
当组织定义的个人信息安全目标为符合相关法律、法规或标准的基线要求时,则个人信息安全影响评估主要目的在于识别待评估的具体个人信息处理活动已采取的安全控制措施,与相关法律、法规或标准的具体要求之间的差距。例如在某业务场景中与第三方共享个人信息,是否取得了个人信息主体的明示同意。
5.1.1.2 整体合规分析
个人信息控制者可根据所适用的个人信息保护相关法律、法规、政策及标准,直接分析当前执行的个人信息处理活动与其条款的差距。该评估方式的应用场景包括但不限于以下情形:
a)产品或服务年度整体评估;
b)新产品或新服务(不限技术平台)设计阶段评估;
c)新产品或服务(不限技术平台)上线初次评估;
d)法律法规、政策、标准等出现重大变化时重新评估;
e)业务模式、互联网安全环境、外部环境等发生重大变更的重新评估;
f)发生重大个人信息安全事件后重新评估;
g)发生收购、兼并、重组等情形时。
5.1.1.3 局部合规分析
个人信息控制者可根据所参考的个人信息保护相关法律、法规、政策及标准,对个人信息处理活动中的部分处理活动与相对应条款的差距进行分析。该评估方式的应用场景包括但不限于以下情形:
a)新增功能需要收集新的个人信息时评估;
b)法律、法规、政策、标准出现部分变化时评估;
c)业务模式、信息系统、运行环境等发生变化时评估。
5.1.2 合法权益风险分析
当组织定义的个人信息安全目标为尽可能降低对个人信息主体合法权益的不利影响时,则个人信息安全影响评估的主要目的为,在符合相关法律、法规和标准的基线要求之上,识别在某些具体个人信息处理活动中还应采取的安全控制措施。例如在某业务场景中与第三方共享个人生物识别信息时,除取得个人信息主体明示同意之外,还通过合同约束第三方不得再次对外共享上述信息。
通常来说,组织在可能对个人合法权益产生高风险的个人信息处理活动中,应采取个人信息安全影响评估。可能产生高风险的场景包括但不限于:
涉及对个人信息主体评价、打分等直接画像行为,如进行负面标识、预测健康状态等;
使用个人信息进行自动分析给出司法裁定或其他对个人有重大影响的决定;
系统性的监控分析个人或个人信息,如在公共区域监控、采集个人信息等;
收集的个人敏感信息数量较多,收集频率高,或与个人经历、思想观点、健康、财务状况等密切相关;
数据处理的规模较大,如涉及100万人以上、持续时间久、在某个特定群体的占比高、涵盖的地理区域广泛或较集中等;
对不同处理活动的数据集进行匹配和合并,并应用于业务;
数据处理涉及弱势群体的,如未成年人、病人、老年人、低收入人群、文化水平偏低人群、寻求庇护人群等;
创新型技术或解决方案的应用,如生物特征识别、IoT、人工智能等;
处理个人信息可能导致个人信息主体无法行使权利、使用服务或得到合同保障等。
判断个人信息处理活动是否与上述情形相关,可在进行数据映射分析、合规性差距分析等过程中进行识别,一旦涉及上述情形,可针对以上场景评估影响和风险,同时应重视个人信息主体代表等相关方的咨询工作,保障评估的准确性。
注:高风险的个人信息处理活动示例可参考附录A。
5.1.3风险式合规要求
部分个人信息保护相关的法律、法规、标准的规定提出了风险式合规要求。这类规定并没有针对特定的个人信息处理活动提出明晰、确定的安全控制措施,而是要求组织针对特定个人信息处理活动,开展具体的风险分析并采取与风险相称的安全控制措施,将对个人信息主体合法权益不利影响的风险降低到可接受的程度,才符合其规定。
该类典型的规定如个人信息在出境前的安全评估要求、个人信息对外提供前的去标识化或匿名化,以及个人信息委托处理、转让、共享或公开披露前的评估。针对此类规定,组织可使用个人信息安全影响评估的方法保证处理风险可控,以达到的相应的合规要求。
注:风险式合规分析示例及具体评估要点可参考附录B。
5.2 评估准备工作
5.2.1 组建评估团队
组织应确认并任命负责进行个人信息安全影响评估的人员(评估人)。此外,组织还应指定人员负责签署评估报告。
评估人应明确规定个人信息安全影响评估报告的提交对象、个人信息安全影响评估的时间段、是否会公布评估报告或其摘要。
如有必要评估人应申请团队支持,例如由IT部门、相关业务部门及法律部门的代表构成的团队。组织内部个人信息安全影响评估需要组织管理层给予长期大力支持。
管理层应确保为个人信息安全影响评估团队配置必要资源。
5.2.2 制定评估计划
计划应清楚规定完成个人信息安全影响评估报告须进行的工作、相关工作具体由评估团队中的哪些成员负责、评估计划表。此外,计划还应考虑到待评估提案中止或撤销的情况。具体操作时应考虑以下方面:
a)人员、技能、经验及能力;
b)执行各项任务所需时间;
c)进行评估每一步骤所需资源,如自动化的评估工具等。
注:当评估需使用大量资源时建议采用迭代方式,但针对复杂程度较低的小型提案时,非必要流程。
如涉及相关方咨询,计划应说明在何种情况下需要咨询相关方的原因、将咨询哪些人员、以及具体的咨询方式(例如通过公众意见调查、研讨会、焦点小组、公众听证会、线上体验等等)。
5.2.3 确定评估对象和范围
应从以下三个方面描述评估的对象和范围。
a)描述系统基本信息,包括但不限于:
1)处理个人信息的类型、目的;
2)对支撑当前或未来业务流程的信息系统的描述;
3)针对信息系统定义的职能要求清单,以及其义务或执行水平;
4)关于个人信息处理方式、处理范围的说明。说明中应阐明有权访问这些个人信息的群体或角色;
5)如预计与第三方共享信息系统或其中的个人信息,则应就信息系统或个人信息的共享人、以及共享目的等提供详细信息。
b)描述系统设计信息,包括但不限于:
1)功能(或逻辑)结构概览;
2)物理结构概览
3)包含个人信息的信息系统数据库、表格和字段的清单和结构;
4)按部分和接口划分的数据流示意图;
5)个人信息生命周期的数据流示意图,例如个人信息的生成、应用、转移和处理;
6)描述通知个人信息主体的时间节点、以及取得个人信息主体同意的时间节点和工作流程图;
7)可转移个人信息的接口清单;
8)个人信息处理过程中的安全措施。
c)描述处理流程和程序信息,包括但不限于:
1)信息系统的身份与用户管理概念;
2)操作概念,包括信息系统或其中部分结构采用现场运行、外部托管、或云外包的方式;
3)支持概念,包括列示可访问个人信息的第三方范围、其所拥有的个人信息访问权限、其可访问个人信息的位置等;
4)记录概念,包括已登入信息的保存计划;
5)备份与恢复计划;
6)元数据的保护与管理;
7)数据保存与删除计划及媒介的处置。
5.2.4 制定相关方咨询计划
相关方包括但不限于:
1)员工,例如人力资源、法律、信息安全、财务、业务运营职能、通信与内部审计(尤其是在监管环境下)相关人员;
2)个人信息主体和消费者代表;
3)分包商和业务合作伙伴;
4)系统开发和运维人员;
5)对于评估有相应担忧的其他组织人员。
为保证评估流程的透明,实现降低安全风险的目标,评估人应详细确认与进入评估程序的内部或外部相关方。通常来说,相关方待评估的个人信息处理活动具有直接的利益关系。相关方可以是拥有或可能获取个人信息访问权限的组织或个人。
评估人应确认相关方的分类,然后具体确认各类相关方中的特定组织或个人。如果相关方为个人,则该个人应尽可能具有代表性。
个人信息的范围与规模,以及业务重要性、成本收益等因素,对于确定恰当的相关方非常重要。如对大型个人信息处理项目进行评估,则可能存在许多相关方。在这种情况下,社会团体(如消费者权益保护组织)可能被确认为相关方。相反,一些小型评估,可能不需要确认宽泛的相关方清单。
制定咨询计划应明确不同的相关方所受的影响、后果(如果已知)、以及所采取的用于降低不利影响的安全控制措施等相关问题。计划中还应包含咨询范围及计划表。
咨询计划的目标包括但不限于:
将咨询的相关方的数量与范围,个人信息安全影响程度、安全事件的可能性、以及可能受到影响的个人信息主体数量进行评估;
与相关方作识别并评估个人信息安全影响;
注:相关方的反馈意见所提出的问题可能与主观风险认识有关、而非客观实际风险,但不应忽略这些意见、组织可将这些意见放在更广泛的相关方管理问题中进行处理,为交流活动提供帮助。
就评估报告草案咨询相关方意见以确认报告草案是否充分反映他们对有关问题的关注。
组织在开展个人信息安全影响评估时,可以督促适当的相关方开展个人信息安全影响评估。适当的相关方有义务开展个人信息安全影响评估,或者配合组织开展个人信息安全影响评估,组织可以引用相关方的个人信息安全影响评估报告作为咨询结果。
5.3 数据映射分析
组织应针对个人信息控制者的个人信息处理过程进行全面的调研,形成清晰的数据清单及数据映射图表。数据映射分析阶段需结合个人信息处理的具体场景,初步判定所处理的个人信息哪些属于个人敏感信息。
调研内容包括个人信息收集、存储、使用、转让、共享、删除环节涉及的目的和具体实现方式,以及个人信息处理过程涉及的资源(如内部信息系统)和相关方(如个人信息处理者、交易平台经营者、外部服务供应商、云服务商等第三方),调研过程中应考虑已下线系统、系统数据合并、企业收购、并购及全球化扩张等情况。
梳理数据映射分析的结果时,根据个人信息的类型、敏感程度、收集场景、处理方式、涉及相关方等要素,对个人信息处理活动进行分类,并描述每类个人信息处理活动的具体情形,便于后续分类进行影响分析和风险评价。一般情况下个人敏感信息处理活动和普通个人信息处理活动不归于同一类。
注:开展数据映射分析可参考附录C表C-1和表C-2。
5.4 风险源识别
通常来说,风险源识别是为了识别判断可能引起损失的事件,以了解损失是如何在哪里以及为什么会发生。而决定个人信息安全事件发生的要素很多,就威胁源而言,有内部威胁源,也有外部威胁源;有恶意人员导致的数据被窃取等事件,也有非恶意人员无意中导致的数据泄露等事件,也有物理环境影响导致的数据毁损;有技术因素导致的数据泄露、篡改、丢失等事件,也有管理不当引起的滥用等事件。在GB/T 20984《信息安全风险评估规范》中所描述的威胁识别和脆弱性识别方法均可用于对个人信息安全事件的分析过程。为进一步简化个人信息安全事件可能性的分析过程,将与个人信息安全事件可能性相关的要素归纳为以下四个方面:
网络环境和技术措施。评估时关注的要素包括:
处理个人信息的信息系统所处网络环境为内部网络还是互联网,不同的网络环境其面临的威胁源不同,连接互联网的信息系统面临的风险更高;
处理个人信息的信息系统与其他系统的交互方式,比如是否采用网络接口进行数据交互,是否嵌入可收集个人信息的第三方代码、插件等,通常情况下数据交互越多,应采取更加全面的安全措施防止信息泄露、窃取等风险;
个人信息处理过程中是否实施严格的身份鉴别、访问控制等措施;
是否在网络边界部署了边界防护设备,配置了严格的边界防护策略,实施了数据防泄露技术措施;
是否监测和记录网络运行状态,是否标记、分析个人信息在内部或与第三方交互时的状态,及时发现异常流量和违规使用情况;
是否采取了防范病毒和木马后门攻击、端口扫描、拒绝服务攻击等网络入侵行为的技术措施;
是否采用加密传输、加密存储等措施对个人敏感信息进行额外保护;
是否对个人信息收集、保存、传输、使用、共享等各阶段的个人信息处理活动进行审计,并对异常数据操作行为进行报警;
是否建立了完备的网络安全事件预警、应急处置、报告机制;
是否对信息系统进行定期安全检查、评估、渗透测试,并及时进行补丁更新和安全加固;
是否对数据存储介质加强安全管理,是否具备对数据进行备份和恢复的能力。
其他必要的网络安全技术保障措施。
如果组织参照其他网络安全、数据安全相关国家标准建立成熟的安全防护体系,可基于其已有基础进行分析评估。
个人信息处理流程。评估时关注的要素包括:
个人敏感信息的判定是否准确;
收集个人信息的目的是否正当、合法;
从第三方获得的数据是否得到正式的处理授权;
告知方式和告知的内容是否友好可达,是否所有的处理活动都征得了用户同意;
是否定义了个人信息最小元素集,是否超范围收集了个人信息;
变更目的处理是否对个人信息主体产生影响;
是否提供便捷有效的个体参与的机制,包括查询、更正、删除、撤回同意、注销账号等;
接收个人信息的第三方是否会变更目的使用个人信息;
个人信息的保存时间是否最小化,超出期限的删除等机制是否合理;
是否对用户画像机制进行限制,避免避免精确定位到特定个人;
是否为个性化展示提供用户可控制、可退出或关闭的机制;
匿名化机制是否合理,去标识化后的个人信息是否能够被识别;
是否提供及时有效的安全事件通知机制和应急处置机制;
是否提供有效的投诉和维权渠道等;
是否未经用户同意向第三方共享、转让个人信息;
是否私自变更目的使用数据;
是否散播不准确的数据或不完整的误导性数据;
是否诱导或强迫个人提供过多个人信息;
是否过多地追踪或监视个人行为;
是否无根据地限制个人控制其个人信息的行为等;
其他个人信息处理流程的规范性。
对个人信息处理流程规范性的分析可重点参考GB/T 35273《个人信息安全规范》标准相应内容;
参与人员与第三方。评估时关注的要素包括:
是否任命个人信息保护负责人或个人信息保护工作机构,个人信息保护负责人是否由具有相关管理工作经历和个人信息保护专业知识的人员担任;
是否依据业务安全需求,制定并执行个人信息安全管理的方针和策略;
是否制定涉及个人信息处理各环节的安全管理制度,并提出具体的安全管理要求;
是否与从事个人信息处理岗位上的相关人员签署保密协议,并对大量接触个人敏感信息的人员进行背景审查;
是否明确内部涉及个人信息处理不同岗位的安全职责,并建立发生安全事件的处罚、问责机制;
是否对个人信息处理岗位上的相关人员开展个人信息安全专业化培训和考核,并确保相关人员熟练掌握隐私政策和相关规程;
是否明确可能访问个人信息的外部服务人员应遵守的个人信息安全要求,并进行监督;
是否与第三方签署有约束力的合同等文件,约定个人信息传输至第三方后的处理目的、方式、数据留存期限、超出期限后的处理方等式;
是否对第三方处理个人信息的行为进行定期检查、审计,确保其严格执行合同等约定;
其他方面的必要措施。
如果组织参照其他网络安全、数据安全相关国家标准建立成熟的安全管理体系,可基于其已有基础进行分析评估。
业务特点和规模及安全态势。评估时关注的要素包括:
业务对个人信息处理的依赖性;
业务处理或可能处理个人信息的数量、频率、用户规模、用户峰值等;
是否曾经发生过个人信息泄露、篡改、毁损、丢失等事件;
个人信息保护相关执法监管动态;
近期内遭受网络攻击或发生安全事件的情况;
近期收到过或公开发布的安全相关的警示信息。
组织应该对以上维度的相应内容进行充分了解,通过调研访谈、查阅支撑性文档、功能检查、技术测试等方式,识别已采取的措施与当前的状态。针对5.5中对个人权益影响分析的不同维度,从以上四方面导致安全事件发生的可能性进行综合评价,得到安全事件发生的可能性。
注:安全事件可能性等级评估可参考附录D.2。
5.5 个人权益影响分析
5.5.1 个人权益维度
个人权益影响分析一般指根据不同的个人信息处理活动,分析其是否存在对个人信息主体权益产生影响。个人权益影响概括可分为“影响个人自主决定权”、“引发差别性待遇”、“个人名誉受损或遭受精神压力”、“个人财产受损”四个维度:
影响个人自主决定权。例如被强迫执行不愿执行的操作、缺乏相关知识或缺少相关渠道更正个人信息、无法选择推送广告的种类、被蓄意推送影响个人价值观判断的资讯、个人人身自由受限、可能引发人身伤害等;
引发差别性待遇。例如因疾病、婚史、学籍等信息泄露造成的针对个人权利的歧视;因个人消费习惯等信息的滥用而对个人公平交易权造成损害等;
个人名誉受损或遭受精神压力。例如被他人冒用身份、公开不愿为人知的习惯、经历等,被频繁骚扰、监视追踪等;
个人财产受损。例如账户被盗、遭受诈骗、勒索等。
5.5.2 个人权益影响分析过程
组织应根据本标准5.3所述过程,识别的数据映射分析结果及梳理得到的个人信息处理活动,结合相关法律法规与政策标准的要求或组织自定义的个人信息安全目标,分析个人信息处理活动全生命周期或特定处理行为对个人权益可能产生的影响,以及个人信息泄露、毁损、丢失、滥用等对个人权益可能产生的影响,以审视是否存在侵害个人信息主体权益的风险。
个人权益影响分析过程一般包含对个人信息敏感程度分析、个人信息处理活动特点分析、个人信息处理活动问题分析以及影响程度分析四个阶段。
在个人信息敏感程度分析阶段,组织应参照国家有关法律法规和标准,依据数据映射分析结果,分析个人信息的敏感程度对个人权益可能产生的影响。例如健康生理信息的泄露、滥用等可能会对个人生理、心理产生较严重的影响;
在个人信息处理活动特点分析阶段,组织应参照与国家有关法律法规和标准,依据数据映射分析结果,分析个人信息处理活动是否涉及个人人身安全、财产安全、表达自由、公平待遇、声誉等,分析个人信息的敏感程度对个人权益可能产生的影响。例如公开披露个人经历的行为可能会对个人声誉产生影响;
在个人信息处理活动问题分析阶段,组织应参照与国家有关法律法规和标准,依据数据映射分析结果,分析个人信息处理活动可能存在的弱点、差距和问题,其中5.4b)中的对个人信息流程规范性的分析结果可以支撑该阶段的分析过程,对问题严重程度的分析有助于分析个人权益的影响程度;
在个人权益影响程度分析阶段,组织应结合前几个阶段的分析结果,综合分析个人信息处理活动对个人权益可能造成的影响,及其严重程度。
注:个人权益影响程度评估可参考本标准附录D.1。
5.6 风险分析
进行风险分析时,首先,应根据个人信息处理活动的目的、状态、相关个人信息的敏感程度,同时考虑个人信息主体数量、群体特征等要求,评价对个人权益影响的程度等级;其次,应根据个人信息处理活动涉及的特点、已实施的安全措施、相关方、处理规模等要素,同时考虑具备的事件处置经验、用户习惯、及预防性措施等,评价安全事件发生的可能性等级。最后,综合分析个人权益影响程度和安全事件可能性两个要素,得出风险等级。
注:风险分析的具体过程和风险等级的判定可参考附录D.3;风险分析的实施过程可参考附录C表D-5和D-6。
在完成针对特定个人信息处理活动影响评估之后,组织应综合针对所有相关个人信息处理活动的评估结果,形成对整个评估对象(如业务部门、具体项目、具体合作等)的风险等级。
注:风险分析的具体过程可参考附录C中表C-3和C-4。
5.7 评估报告
评估报告的内容通常包括:个人信息保护专员的审批页面、评估报告适用范围、实施评估及撰写报告的人员信息、参考的法律、法规和标准、个人信息影响评估对象(应明确涉及的个人敏感信息)、评估内容、涉及的相关方等,以及个人权益影响分析结果,安全保护措施分析结果、安全事件发生的可能性分析结果、风险判定的准则、合规性分析结果、风险分析过程及结果,风险处置建议等。
5.8 风险处置和持续改进
根据评估结果,选取并实施相应的安全控制措施进行风险处置。通常情况下,可根据风险的等级,采取立即处置、限期处置、权衡影响和成本后处置,接受等处置方式。
个人信息控制者应持续跟踪风险处置的落实情况,评估剩余风险,将风险控制在可接受的范围内。此外,应将评估结果用于下一次个人信息安全影响评估工作。
5.9 制定发布策略
为促进自合规、配合监管、增加客户信任,应制定个人信息安全影响评估报告发布策略。选择公开发布的个人信息安全影响评估报告可以在已有评估报告基础上予以简化,但其内容通常应不少于以下方面:收集和处理个人信息的必要性和给个人给来的益处、收集和处理的个人信息类型(个人敏感信息需单独强调)、个人信息处理的例外情况(法律法规规定)、合规性分析的概况、评估过程和结果概况、已实施和将要实施的风险处置措施概况、对个人信息主体的建议、实施评估责任部门和人员的联系方式和解答疑问的渠道等。
附录A(资料性附录)
高风险的个人信息处理活动示例
个人信息处理活动自身可能涉及对个人信息主体权益影响及相应风险较高的情况下,应开展个人信息安全影响评估,可能产生高风险的个人信息处理活动及场景示例见表A.1。
表A.1 高风险的个人信息处理活动及场景示例
| 个人信息处理活动 | 场景示例 |
|---|---|
| a)数据处理涉及对个人信息主体的评价或评分,特别是对个人信息主体的工作表现、经济状况、健康状况、偏好或兴趣的评估或预测; | 示例1:对个人信息主体使用社交网络和其他应用程序的行为进行分析,以便向其发送商业信息或垃圾邮件。示例2:银行或其他金融组织在提供贷款前使用人工智能算法对个人信息主体进行信用评估,并且数据处理涉及与信用评估没有直接关联的数据。示例3:保险公司通过分析香烟、酒精、极限运动、驾驶等偏好数据,评估个人信息主体的生活方式、健康状况等,据此作出是否提高保费的决策,即通常所称保费优化。 |
| b)使用个人信息进行自动分析给出司法裁定或其他对个人有重大影响的决定; | 示例1:在设置有分段测速或电子收费的道路,建设有用于流量、道路违规等行为的检测系统,特别是能够自动识别车辆的系统,对驾驶员及其驾驶行为进行详细的记录和监督。示例2:电商平台监控用户购物行为,进行用户画像,分析用户的购买偏好,从而自动设置促销价格,或设置针对用户特定偏好的营销计划。 |
| c)系统性的监控分析个人或个人信息,如在公共区域监控、采集个人信息等,但仅在涉及违规事件分析时才使用的视频监测系统除外; | 示例1:大规模公共空间监测系统,用于人员追踪,并且能够收集超出提供服务所必须范围的个人信息。示例2:设置在工作场所的IT监测系统,监控员工的电子邮件、所使用的应用程序等,用于分析员工工作时间及使用工具(如电子邮件、互联网)的情况。示例3:机器与机器之间的通信系统,如能够与其他车辆及周围环境建立联系的车载监控系统,能够向汽车周边环境通知其行驶行为,并在出现威胁时,从周边环境(如道路基础设施、其他汽车)接收警告信息。 |
| d)收集的个人敏感信息数量、比重较多,收集频率要求高,与个人经历、思想观点、健康、财务状况等密切相关; | 示例1:通过智能手表、手环、制服、头盔或其它移动设备持续收集或监控个人信息主体的活动、健康相关数据。示例2:通过健身手环或智能手机中的传感器持续收集或监控用户运动、健康相关数据,通过数据分析和处理提供定制化的健身建议或改善训练流程的服务。 |
| e)数据处理的规模较大,如涉及50万人以上、持续时间久、在某个特定群体的占比超过40%、涵盖的地理区域广泛或较集中等; | 示例1:社交网络、在线浏览器、有线电视订阅服务大规模收集用户浏览网站、购买记录、观看记录、收听记录等数据。示例2:百货商店、购物中心或其他类似营业场所中,通过收集路人和顾客的GPS、蓝牙或移动通信信号,对客流情况进行监测,跟踪顾客的购物路线和购物习惯。 |
表A.1 (续)
| 个人信息处理活动 | 场景示例 |
|---|---|
| f)对不同处理活动的数据集进行匹配和合并,并应用于业务; | 示例1:基于防欺诈或风险管控目的,电商平台合并处理不同来源的数据集,以便根据分析或测试结果显示的风险值采取相应管控措施。示例2:电商平台、零售商店通过分析顾客的购物、优惠券使用等行为数据,结合顾客的信用数据、第三方和社交网络数据等,获得提高销售额的营销策略,针对特定顾客制定价格。 |
| g)数据处理涉及弱势群体的,如未成年人、病人、老年人、低收入人群、文化水平偏低人群等; | 示例1:能够连接网络的智能玩具收集儿童玩耍的音频、视频数据,或收集儿童的年龄、性别、位置等信息。示例2:在远程医疗场景中,医生通过网站或应用程序与患者进行视频通话,通过各类传感器收集分析患者的血糖、血氧等健康数据。 |
| h)创新型技术或解决方案的应用,如生物特征识别、IoT、人工智能等; | 示例1:通过人工智能提供客户服务或支持,呼叫中心利用人工智能技术处理呼叫者的音频数据,自动评估呼叫者的心情,并根据评估结果确定与呼叫者的沟通方式或向呼叫者提供的建议。示例2:健身俱乐部、酒店等入口控制系统,指纹支付或刷脸支付等支付程序,通过收集和处理个人信息主体的生物特征数据,判断是否拥有进入某些区域、使用某些功能的权限。 |
| i)处理个人信息可能导致个人信息主体无法行使权利、使用服务或得到合同保障等。 | 示例1:提供贷款、信贷、分期付款销售的实体通过收集、处理包含有债务人或类似个人信息主体的数据库信息,针对潜在客户制定信贷决策。 |
判断个人信息处理活动是否与上述场景相关,应贯穿数据映射分析、合规性差距分析等过程,一旦涉及上述情形,可针对以上场景评估影响和风险,同时应重视个人信息主体代表等相关方的咨询意见,保障评估的准确性。
附录B(资料性附录)
风险式合规要求示例及评估要点
常见的个人信息相关法律、法规、标准中风险式合规要求有个人信息出境安全评估、个人信息处理目的变更评估、个人信息匿名化和去标识化效果评估、个人信息委托处理、转让、共享或公开披露前的安全评估,以及确定个人信息安全事件处置方案的评估。
B.1 个人信息出境安全评估
个人信息出境情场景的评估可参照GB/T XXXX《信息安全技术 数据出境安全评估指南》中的相应内容。
B.2 个人信息处理目的变更前的影响评估
分析个人信息处理活动的影响时,需要考虑多种因素,以评估“与收集个人信息时所声称的目的具有直接或合理关联的范围”的影响为例,如果新设目的与原目的目的有直接或合理的关联,则不会为个人权益带来额外影响,无需再次告知用户并征得其明示同意。判断时是否有直接或合理的关联应至少需要考虑如下因素:
个人信息主体对原先目的、组织处理个人信息方式和方法的合理的理解程度;
个人信息收集时的场景,包括个人信息主体和个人信息控制者之间的关系、产品或服务的范围及使用的商标和名称、个人信息主体使用产品或服务的方式、产品或服务为个人信息主体提供的便利等;
特定场景中可合理预期的个人信息处理方式,如常规商业运营中,可预见到的将被使用的个人信息的类型,与个人信息主体之间直接互动的范围、频率、性质、历史,以及为提供产品或服务,或改进或推广产品或服务,可预见到的将被使用到的个人信息的类型。
如将所收集的个人信息用于学术研究或得出对自然、科学、社会、经济等现象总体状态的描述,属于与收集目的具有合理关联的范围之内。但对外提供学术研究或描述的结果时,应对结果中所包含的个人信息进行去标识化处理,否则在对目的变更后的影响评估中可能会得出存在高风险的判断。
B.3 个人信息匿名化和去标识化效果评估
匿名化和去标识化对个人信息进行了技术处理,使其在不借助额外信息的情况下,无法识别个人信息主体。但数据接收方可能会借助于额外的信息以及技术手段,进行重标识攻击,从而将去标识化的数据集归因到原始个人信息主体或一组个人信息主体。
常见的用于重标识的方法如下:
隔离:基于是否能唯一确定一个个人信息主体,将属于一个个人信息主体的记录隔离出来;
关联:将不同数据集中关于相同个人信息主体的信息关联;
推断:通过其它属性的值以一定概率推断出一个属性的值。
评估个人信息匿名化和去标识化效果时,应充分考虑以下要素:
个人信息匿名化和去标识化过程的规范性,所采用技术的通用性;
匿名化后的个人信息是否为统计型结果;
去标识化后的个人信息是否能够达到满足使用目的的最小元素集;
匿名化和去标识化后的个人信息使用场景;
数据处理者的安全保障能力;
能否在公开渠道或数据交易组织获得类似的个人信息;
未经处理保留的个人信息类型和内容的特殊性。
B.4 个人信息委托处理、转让、共享或公开披露前的影响评估
在对个人信息进行委托处理、转让、共享和公开披露前,应开展个人信息安全影响评估,评估的内容包括但不限于以下方面:
个人信息的类型、数量、敏感程度等;
是否向个人信息主体告知了转让、共享、公开披露的基本情况,并得到个人信息主体的明示授权同意;
数据发送方的安全管理保障和安全技术保障能力;
数据接收方的安全管理保障和安全技术保障能力(不包括公开披露);
数据接收方可能会开展的个人信息处理活动,或公开披露的个人信息可能会被使用的个人信息处理场景;
个人信息是否进行过去标识化处理;
发生个人信息安全事件后的补救措施;
数据接收方所能响应个人信息主体的请求的范围,如:访问、更正、删除等。
B.5确定个人信息安全事件处置方案的评估
发生个人信息安全事件后,组织应及时评估事件可能造成的影响,并采取必要措施控制事态,消除隐患。评估影响时,应充分考虑以下因素:
个人信息的类型、数量、敏感程度、涉及的个人信息主体数量等;
发生事件的信息系统状况,对其他互联系统的影响;
已采取或将要采取的处置措施及措施的有效性;
对个人信息主体权益造成的直接影响和长期影响;
向个人信息主体告知事件的方式和内容;
是否达到《国家网络安全事件应急预案》等有关规定的上报要求。
附录C(资料性附录)
个人信息安全影响评估常用工具表
以下工具表均为资料性工具,供组织进行风险评估时选取参考。工具表以个人信息处理活动/场景/特性或组件为维度,各表可基于此项进行整合或分开处理。鼓励组织采取IT化/自动化处理方式进行影响评估。
表 C-1 基于处理活动/场景/特性或组件的个人信息映射表
| 个人信息处理活动/场景/特性或组件 | 个人信息类型 | 个人信息主体 | 个人信息收集、处理的目的 | 个人信息处理的合法事由 | 个人信息控制者 | 个人信息处理者 | 是否涉及跨境转移 | 是否涉及第三方共享 |
|---|---|---|---|---|---|---|---|---|
| 处理活动A | ||||||||
| 处理活动B | ||||||||
| 处理活动C |
表 C-2 个人信息生命周期安全管理
| 个人信息处理活动/场景/特性或组件 | 相关个人信息项 | 收集来源 | 收集方式 | 存储方式/加密措施 | 传输方式/加密措施 | 存储期限 | 删除/匿名化方式 |
|---|---|---|---|---|---|---|---|
| 处理活动A | |||||||
| 处理活动B | |||||||
| 处理活动C |
表 C-3 个人权益影响分析表
| 个人信息处理活动/场景/特性或组件 | 涉及的个人敏感信息 | 风险源维度* | 个人信息处理活动存在的问题 | 发现证据 | 影响方面 | 对个人权益产生的影响 | 影响程度 |
|---|---|---|---|---|---|---|---|
| 处理活动A | 影响个人自主决定权 | ||||||
| 引发差别性待遇 | |||||||
| 个人名誉受损或遭受精神压力 | |||||||
| 个人财产受损 | |||||||
| 处理活动B | 影响个人自主决定权 | ||||||
| 引发差别性待遇 | |||||||
| 个人名誉受损或遭受精神压力 | |||||||
| 个人财产受损 |
注:风险源维度从四个维度描述,分别为网络环境和技术措施、个人信息处理流程、参与人员与第三方、业务特点和规模及安全态势。
表C-4 风险评估及整改措施表
| 个人信息处理活动/场景/特性或组件 | 影响方面 | 对个人权益产生的影响 | 影响程度 | 可能安全事件发生的原因 | 安全事件可能性等级 | 风险描述及等级 | 相关责任方与风险处置建议 | 整改效果验证及归档情况 |
|---|---|---|---|---|---|---|---|---|
| 处理活动A | 影响个人自主决定权 | |||||||
| 引发差别性待遇 | ||||||||
| 个人名誉受损或遭受精神压力 | ||||||||
| 个人财产受损 | ||||||||
| 处理活动B | 影响个人自主决定权 | |||||||
| 引发差别性待遇 | ||||||||
| 个人名誉受损或遭受精神压力 | ||||||||
| 个人财产受损 |
附录D(资料性附录)
个人信息安全影响评估参考方法
D.1 评估个人信息主体权益影响程度
个人权益影响程度评价可采用定性、半定量和定量的方式。个人权益影响程度判定原则见表D.1。
表D.1 个人权益影响程度判定原则
| 影响描述 | 影响程度 |
|---|---|
| 个人信息主体可能会遭受重大的、不可消除的、可能无法克服的影响。如遭受无法承担的债务、失去工作能力、导致长期的心理或生理疾病、导致死亡等。 | 严重 |
| 个人信息主体可能遭受重大影响,个人信息主体克服难度高,消除影响代价大。如遭受诈骗、资金被盗用、被银行列入黑名单、信用评分受损、名誉受损、造成歧视、被解雇、被法院传唤、健康状况恶化等。 | 高 |
| 个人信息主体可能会遭受较严重的困扰,且克服困扰存在一定的难度。如付出额外成本、无法使用应提供的服务、造成误解、产生害怕和紧张的情绪、导致较小的生理疾病等。 | 中 |
| 个人信息主体可能会遭受一定程度的困扰,但尚可以克服。如被占用额外的时间、被打扰、产生厌烦和恼怒情绪等。 | 低 |
以定性方式为例,可从“影响个人自主决定权”、“引发差别性待遇”、“个人名誉受损和遭受精神压力”、“个人财产受损”四个维度,依据本标准表D.1的判定原则,对个人信息主体的权益进行影响程度评价。影响程度分为“严重”、“高”、“中”、“低”四个等级,影响程度判定可参考表D.2。
表 D.2 影响程度判定表
| 影响类别 | 影响程度判定原则 | 影响描述 | 影响程度 |
|---|---|---|---|
| 影响个人自主决定权 | 个人信息主体可能会遭受重大的、不可消除的、可能无法克服的影响。 | 例如个人人身自由受限、遭受人身伤害。 | 严重 |
| 个人信息主体可能遭受重大影响,个人信息主体克服难度高,消除影响代价大。 | 例如被强迫执行违反个人意愿的操作、被蓄意推送消息影响个人价值观判断、可能引发个人人身自由受限或遭受人身伤害。 | 高 | |
| 个人信息主体可能会遭受较严重的困扰,且克服困扰存在一定的难度。 | 例如缺乏相关知识或缺少相关渠道更正个人信息、为使用应提供的产品或服务而付出额外的成本等。 | 中 | |
| 个人信息主体可能会遭受一定程度的困扰,但尚可以克服。 | 例如被占用额外的时间。 | 低 | |
| 引发差别性待遇 | 个人信息主体可能会遭受重大的、不可消除的、可能无法克服的影响。 | 例如因信息泄露造成歧视性对待以致被用人单位解除劳动关系。 | 严重 |
| 个人信息主体可能遭受重大影响,个人信息主体克服难度高,消除影响代价大。 | 例如造成对个人合法权利的歧视性待遇、造成对个人公平交易权的损害(无法全部或部分使用应提供的产品或服务)。 | 高 | |
| 个人信息主体可能会遭受较严重的困扰,且克服困扰存在一定的难度。 | 例如造成误解、为使用应提供的产品或服务而需付出额外的成本(包含资金成本、时间成本等)。 | 中 | |
| 个人信息主体可能会遭受一定程度的困扰,但尚可以克服。 | 例如耗费额外的时间获取公平的服务或取得相应的资格等。 | 低 | |
| 个人名誉受损和遭受精神压力 | 个人信息主体可能会遭受重大的、不可消除的、可能无法克服的影响。 | 例如名誉受损以致长期无法获得财务收入、导致长期的心理或生理疾病以至于失去工作能力、导致死亡等。 | 严重 |
| 个人信息主体可能遭受重大影响,个人信息主体克服难度高,消除影响代价大。 | 例如名誉受损以致被用人单位解除劳务关系、导致心理或生理疾病以致健康遭受不可逆的损害等。 | 高 | |
| 个人信息主体可能会遭受较严重的困扰,且克服困扰存在一定的难度。 | 例如造成误解、名誉受损(通过澄清可全部或部分恢复)、产生害怕和紧张的情绪、导致心理或生理疾病(通过治疗或纠正措施,短期可痊愈)等。 | 中 | |
| 个人信息主体可能会遭受一定程度的困扰,但尚可以克服。 | 例如被频繁打扰、产生厌烦和恼怒情绪等。 | 低 | |
| 个人财产受损 | 个人信息主体可能会遭受重大的、不可消除的、可能无法克服的影响。 | 例如遭受无法承担的债务等。 | 严重 |
| 个人信息主体可能遭受重大影响,个人信息主体克服难度高,消除影响代价大。 | 例如遭受金融诈骗、资金被盗用、征信信息受损等。 | 高 | |
| 个人信息主体可能会遭受较严重的困扰,且克服困扰存在一定的难度。 | 例如社会信用受损,为获取金融产品或服务需付出额外的成本等,因挽回损失。 | 中 | |
| 个人信息主体可能会遭受一定程度的困扰,但尚可以克服。 | 例如因个人信息更正而需执行额外的流程(或提供额外的证明性材料)等。 | 低 |
评估过程中,可先分析个人信息处理活动对某一个个人信息主体造成的影响程度,再根据处理活动的规模、特点、外部环境、个人信息去标识化、群体性特征等要素修正影响等级。比如,个人信息处理活动涉及典型的个人敏感信息,如健康状况等,且达到一定的数量(如50万人),则影响程度可上升一个级别;如果受影响个人信息主体群体抗财务风险能力差、心理承受能力差等情形。如未成年人、学生、老年人等,则影响程度可上升一个级别;如果个人信息经去标识化后已确认降低敏感程度的,影响程度可降低一个级别。在进行修正时需要具体说明修正的理由,必要时可咨询外部专业组织保证修正过程的合理性。
此外,从组织实践角度出发,可以进一步将个人信息主体权益的影响映射到对组织的影响,以促进组织进一步认识到其中的风险。比如,可根据个人权益受损对个人信息控制者付出的成本进行评价。成本一般包括:违规成本(如监管处罚、诉讼费用、整改费用等)、直接的业务损失(如流失客户减少了业务收入等)、名誉损失(如品牌形象受损、客户信任受损等)、内部企业文化损失(如企业执行力受损、价值观冲突引起员工积极性下降等)等,以上方面还可以进行初步的半定量或定量分析(比如处罚的案例与罚金等),以促进组织充分重视个人信息保护工作,积极改进,降低个人信息处理过程对个人权益的影响。
D.2 评估安全事件发生的可能性
安全事件可能性等级评价可采用定性、半定量和定量的方式。安全事件可能性等级判定原则见表D.3。
表D.3 安全事件可能性等级判定原则
| 可能性描述 | 可能性等级 |
|---|---|
| 采取的措施严重不足,个人信息处理行为极不规范,安全事件的发生几乎不可避免。 | 很高 |
| 采取的措施存在不足,个人信息处理行为不规范,安全事件曾经发生过或已经在类似场景下被证实发生过。 | 高 |
| 采取了一定的措施,个人信息处理行为遵循了基本的规范性原则,安全事件在同行业、领域被证实发生过。 | 中 |
| 采取了较有效的措施,个人信息处理行为遵循了规范性最佳实践,安全事件还未被证实发生过。 | 低 |
以定性方式为例,可从“网络环境和技术措施”、“处理流程规范性”、“参与人员与第三方”、“安全态势及业务特点”等方面,依据本标准表D.3的判定原则,对安全事件可能性等级进行评价。可能性等级分为“很高”、“高”、“中”、“低”四个等级,安全事件可能性判定可参考表D.4。
表 D.4 可能性判定表
| 可能性描述 | 可能性等级 |
|---|---|
| 网络环境与互联网及大量信息系统有交互现象,基本上未采取安全措施保护个人信息安全。 | 很高 |
| 该个人信息处理行为为常态、不间断的业务行为,该行为已经对个人主体的权益造成了影响,或收到了大量相关的投诉,并引起了社会关注。 | |
| 任意人员可接触到个人信息,对第三方处理个人信息的范围无任何限制,或已出现第三方滥用个人信息的情形。 | |
| 威胁引发的相关安全事件已经被本组织发现,或已收到监管部门发出的相关风险警报。 | |
| 网络环境与互联网及其他信息系统有较多交互现象,采取的安全措施不够全面。 | 高 |
| 该个人信息处理行为为常态、不间断的业务行为,个人信息处理行为不规范,且收到了相关的投诉。 | |
| 对处理个人信息相关人员的管理松散,管理制度无落实的记录,未对第三方处理个人信息的范围提出相关要求。 | |
| 威胁引发的相关安全事件曾经在组织内部发生过,或已在合作方已经发生,或收到过权威组织发出的相关风险预警信息,或处理个人信息的规模超过1000万人。 | |
| 网络环境与互联网及其他信息系统有交互现象,采取了一定的安全措施。 | 中 |
| 该个人信息处理行为为常态业务行为,个人信息处理行为规范性欠缺,且合作伙伴或同领域其他组织收到过相关的投诉。 | |
| 有相关的管理制度,对人员提出了管理要求,对第三方处理个人信息的范围提出限制条件,但相应的管理和监督效果不明。 | |
| 威胁引发的相关安全事件已经同领域其他组织发现,或在专业组织相关报告中被证实已出现,或处理个人信息的规模超过100万人。 | |
| 网络环境比较独立,交互少,或采取了有效的措施的保护个人信息安全。 | 低 |
| 该个人信息处理行为非常态业务行为,个人信息处理行为符合规范,几乎没有出现关于该行为的投诉。 | |
| 有完善的管理机制,对人员的管理和审核比较严格,与第三方合作时提出有效的约束条件并进行监督。 | |
| 威胁引发的安全事件仅被专业组织所预测。 |
评估过程中,可根据事件自身的性质估计和经验数据评估其可能性,再根据个人信息控制者所实施的针对性安全控制措施、相关事件处置经验对可能性进行修正。比如,个人信息处理的规模超过1000万人,但有完备的、针对性的个人信息保护措施和应急机制,或者已具备类似事件处置的经验,并得到了个人信息主体的认同,则安全可能性等级可降低一个级别。在进行修正时需要具体说明修正的理由,必要时可咨询外部专业组织保证修正过程的合理性。
D.3 个人信息安全风险综合评估
综合分析个人权益影响程度和安全事件可能性两个要素,得出风险等级,并给出相应的改进建议,最终形成评估报告。风险等级可分为:严重、高、中、低四个等级。以定性分析为例,可参考表D.5。
组织可以根据自身业务特点和内部风险管理策略,设计科学、合理的风险等级判定表,并设定何种等级风险为不可接受的风险,但注意保证风险等级判定表不得随意变更或修订,必要时可咨询外部专业组织保证风险等级判定表的合理性。
表 D.5 风险等级判定表
| 风险等级 | 可能性级别 | ||||
|---|---|---|---|---|---|
| 低 | 中 | 高 | 很高 | ||
| 影响级别 | 严重 | 中 | 高 | 严重 | 严重 |
| 高 | 中 | 中 | 高 | 严重 | |
| 中 | 低 | 中 | 中 | 高 | |
| 低 | 低 | 低 | 中 | 中 |
组织针对特定个人信息处理活动开展具体的风险分析时,可参考表D.6,从识别出的风险源维度出发,按照影响程度类型,逐个分析对个人信息主体权益的影响程度,并分别说明采取该等处理及相应安全控制措施的理由。
表 D.6 特定个人信息处理活动综合风险等级
| 影响个人自主决定权 | 引发差别性待遇 | 名誉受损或精神压力 | 个人财产受损 | |||||
|---|---|---|---|---|---|---|---|---|
| 可能性等级 | 原因说明 | 可能性等级 | 原因说明 | 可能性等级 | 原因说明 | 可能性等级 | 原因说明 | |
| 网络环境和技术措施 | ||||||||
| 个人信息处理流程 | ||||||||
| 参与人员与第三方 | ||||||||
| 业务特点和规模及安全态势 |
参 考 文 献
GB/T 20984—2007 信息安全技术 信息安全风险评估规范
《中华人民共和国网络安全法》 2016年11月7日第十二届全国人民代表大会常务委员会第二十四次会议通过
《全国人大常委会关于维护互联网安全的决定》 2000年12月28日第九届全国人民代表大会常务委员会第十九次会议通过
《全国人大常委会关于加强网络信息保护的决定》 2012年12月28日第十一届全国人民代表大会常务委员会第三十次会议通过
《电信和互联网用户个人信息保护规定》 2013年7月16日中华人民共和国工业和信息化部令第24号公布,自2013年9月1日起施行
《中华人民共和国刑法修正案(七)》 2009年2月28日第十一届全国人民代表大会常务委员会第七次会议通过
《中华人民共和国刑法修正案(九)》 2015年8月29日第十二届全国人民代表大会常务委员会第十六次会议通过
ISO/IEC 29100-2011 Information technology Security techniques Privacy framework
EU General Data Protection Regulation 2015-05-24
NIST SP 800-53 Rev. 4 Security and Privacy Controls for Federal Information Systems and Organizations 2013-04
NIST SP800-122 Guide to Protecting the Confidentiality of Personally Identifiable Information (PII) 2010-04
ISO/IEC FDIS 29134 Information technology Security techniques Privacy impact assessment 2017-02-20
NISTIR 8062 An Introduction to Privacy Engineering and Risk Management for Federal Systems 2017-01
Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679 2017-04
ENISA Handbook on Security of Personal Data Processing 2017-12
ICO Conducting privacy impact assessments code of practice 2014-02
OAIC Guide to undertaking privacy impact assessments 2014-05
EU-U.S Privacy Shield 2016-02-02