作者:
深圳数据交易所合规部 王森鹏
专栏简介
DEXC+是深圳数据交易所在全国首创的动态合规(Data Exchange Compliance +,点击查看详情)服务体系的简称,旗下有DEXC+智库、DEXCO(数据交易合规师,即Data Exchange Compliance Officer,点击查看详情)、DEXCA (数据交易合规评估法律服务机构库,即Data Exchange Compliance Association,点击查看详情)等子品牌。其中,DEXC+智库将紧密围绕国家数字经济高质量发展战略需求,组织实务界、学术界与产业界的专家力量,深入研究、广泛对话,为国家制定相关法律法规和政策提供科学、可行的参考意见,积极引领行业创新方向,推动数据要素市场发展。
“数据二十条”提出,构建数据基本制度要以维护国家数据安全、保护个人信息和商业秘密为前提,以促进数据合规高效流通使用、赋能实体经济为主线。
依据《个人信息保护法》等法律法规,在某些情况下,数据交易前应当进行个人信息保护影响评估(Personal Information Protection Impact Assessment,业界通称PIA)。本文将结合最新发布的《网络数据安全管理条例》《网络安全标准实践指南——敏感个人信息识别指南》,探讨个人信息数据产品交易中PIA的意义、适用范围及评估内容,为数据交易主体(包括数据商、数据卖方和数据买方)[1]和个人提供指导。
PIA是什么?
个人信息保护影响评估是指针对个人信息处理活动,检验其合法合规程度,判断其对个人信息主体合法权益造成损害的各种风险,以及评估用于保护个人信息主体的各项措施有效性的过程。[2]
为什么个人信息数据产品交易需要PIA?
(一)数据交易主体的PIA是法定义务吗?
个人信息数据产品交易有可能会触发需要PIA的法定情形。本文将从主体、标的、流通三个层面,[3]分析应当对数据产品进行PIA的情形。
1. 主体合规
在主体合规部分,目前法律法规对PIA的要求主要是集中在某些特殊领域,比如近年来因新冠疫情等原因发展迅猛的线上教育行业。《中国互联网络发展状况统计报告》显示,截至2019年6月,我国在线教育用户规模达2.32亿,较2018年底增长3122万,占网民整体的27.20%。[4]由于线上教育平台收集了海量的用户个人信息。为了维护个人信息安全,2021年教育部办公厅等六部门发布了《关于做好现有线上学科类培训机构由备案改为审批工作的通知》,根据其中第二条规定,数据卖方若经营的线上校外培训移动应用存储的个人信息规模达100万人次,则应当完成PIA。经营线上校外培训APP的数据买方,若因购买了个人信息数据产品而存储了100万人次以上的个人信息,则也需要PIA。
2. 标的合规
在标的合规环节,交易以下几类涉及个人信息的数据标的需要在交易前完成PIA:
(1)涉及敏感个人信息的数据产品交易。依据《个人信息保护法》第55条第1款规定,涉及敏感个人信息的数据产品(例如包含银行账户信息的金融数据产品)交易中,交易主体由于都处理了敏感个人信息,因此应当在交易前完成PIA。[5]
敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,具体可以参照《敏感个人信息识别指南》第3条和附录A进行识别。特别地,敏感个人信息的判断不是一个孤立、静态的过程。如果购入数据产品后,数据买方拥有的多项一般个人信息汇聚或融合后风险程度显著提升,一旦泄露或非法使用可能导致个人信息主体的人格尊严、人身或财产安全受损,则依旧需要参照敏感个人信息进行保护,即数据买方需要完成PIA。
(2)数据卖方利用个人信息进行自动化决策形成的数据产品。此类数据产品是指数据卖方将所收集个人信息通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,并进行决策,形成的数据产品。根据《个人信息保护法》第55条第2款规定,利用个人信息进行自动化决策前需要进行PIA。此类情况常见于营销数据产品,例如电商平台通过后台收集用户的购物行为信息,形成用户画像,分析用户购物偏好,加工形成了可用于市场营销场景的用户购物行为分析数据产品。这类加工处理行为正是GB/T 39335-2020《信息安全技术 个人信息安全影响评估》附录B所举例的“高风险的个人信息处理活动”,也同时成为重点监管对象。例如上海市市监局发布的《上海市网络交易平台网络营销活动算法应用指引(试行)》第五条便特别强调:“利用个人信息开展网络营销活动算法应用的,应当依法在事前进行个人信息保护影响评估,根据评估情况采取相应处理措施并进行记录。”
(3)企业购买数据服务且构成个人信息委托处理的,应当依据《个人信息保护法》第55条第3款规定,在交易前完成PIA。以快递业为例,2023年我国日均快递业务量已超3.3亿件[6],面对庞大的市场需求,部分快递企业会将代收代投、清关等业务委托给其他企业开展,这使得其他企业会收集和存储海量的寄件人的个人信息,也导致快递业的个人信息泄露案件层出不穷。交通运输部在2023年发布了《快递市场管理办法》。依据其中第37条规定,快递企业需要购买数据服务,委托其他企业处理用户个人信息的,应当事先完成PIA并监督受托企业个人信息处理活动。
3. 流通合规
(1)若数据产品的字段包含已识别或者可识别的自然人有关的各种信息,则交易该数据产品可能涉及对外提供个人信息。依据《个人信息保护法》第55条第3款,无论该数据产品中所涉的个人信息是否为公开信息,数据卖方都应当在交易前完成PIA。
(2)若个人信息数据产品需要向境外流通交易的,则根据《个人信息保护法》第55条第4款和《促进和规范数据跨境流动规定》第10条规定,数据卖方应当在进行跨境交易前完成PIA。
当前,企业在进行PIA的积极性显得较为不足。很多时候,只有在面临个人信息跨境传输等受到严格监管的情形时,企业才会启动PIA流程。然而,作为一种被全球个人信息保护领域的领先国家和地区广泛采纳的机制,PIA的实际效益不容小觑,尤其是在数据交易领域中PIA承担着不同角色:
1. 明鉴宝镜:PIA有助于数据卖方通过分析其数据产品的个人信息处理活动和法律法规的合规差距,识别和评估数据交易活动中可能存在的隐私风险和安全风险,推动产品的合规性整改,防止不合规的产品广泛流通导致的法律责任;
2. 上市引擎:PIA可以成为数据产品在数据交易所上市合规审查的重要参考。PIA所评估的内容与数据交易所上市合规审查内容具有较高重叠性。因此数据卖方在交易前先进行PIA有助于提供个人信息数据产品在交易所上市的效率;
3. 自证书:PIA报告展示了数据交易主体的数据合规情况和风控措施,因此可以成为数据交易主体在面对监管机构时的合规“自证书”;
4. 合规名片:PIA有助于数据卖方向数据买方、数据主体展示组织其个人信息数据产品的合规性,从而提高数据产品的合规竞争力。
数据交易领域PIA需要重点评估什么?
尽管《网数条例》规制对象是网络数据处理活动及其安全监督管理,看似限缩了数据范围,但业界普遍认为此处的“网络”应当采用广义理解,即包含公有和私有网络。实际上,《网数条例》在适用范围上基本能涵盖实践中绝大多数数据产品。
《网数条例》对个人信息保护要求的细化完善,使得数据交易主体在PIA时评估维度和颗粒度上有所变化。本文将根据《个人信息保护法》、《网数条例》和深圳市地方标准《数据交易合规评估规范(征求意见稿)》等规定和标准,分析数据交易前PIA的重点评估内容,包括但不限于:
(一)合法维度
数据交易主体应当先审查数据产品中的个人信息的授权链路,并从数据全生命周期的视角评估个人信息处理情况,PIA的内容包括但不限于:
1. 在个人信息收集环节,数据交易主体可以评估:
(1)是否遵循目的明确、选择同意、最小必要等原则;
(2)是否具备《个人信息保护法》第13条规定的合法性基础;
(3)实践中,众多个人信息数据产品会依赖于《隐私政策》等用户协议来收集用户同意。在《工业和信息化部关于开展信息通信服务感知提升行动的通知》等文件的基础上,《网数条例》第一次从行政法规层面规定了隐私政策的“双清单”制度。此外,《网数条例》还规定了明确保存期限确定方法的要求,这些都成为了PIA中需要关注的新事项;
(4)《网数条例》第18、24条还对爬虫这种常见的数据收集方式进行了规制,因此对于通过爬虫收集个人信息的数据产品,在PIA中,数据交易主体应当评估爬虫对网络服务带来的影响(例如是否非法侵入他人网络或干扰网络服务正常运行);在无法避免采集到非必要个人信息或者未依法取得个人同意的个人信息时,是否删除个人信息,或者进行匿名化处理;如果法律、行政法规规定的保存期限未届满,或者删除、匿名化处理个人信息从技术上难以实现的,数据交易主体还应当评估是否有停止除存储和采取必要的安全保护措施之外的处理;
2. 若数据产品涉及将个人信息进行委托处理,根据《网数条例》第12条,数据交易主体可以评估是否签订了数据处理协议,协议内容是否满足法定要求,处理情况记录是否保存至少3年等;
3. 若数据产品涉及个人信息跨境,则还应当评估出境个人信息的规模、范围、种类、敏感程度、境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性。
(二)安全维度
安全维度主要聚焦于个人信息保护措施的有效性、合法性和适当性,包括但不限于:
1. 根据《网数条例》第9、11条,数据交易主体需要评估是否建立健全网络数据安全管理制度,是否采取加密、备份、访问控制、安全认证等技术措施和其他必要措施,是否建立健全网络数据安全事件应急预案;
2. 数据产品加工处理的过程中若采用了去标识化方式,则可以评估重识别的风险;
3. 评估当交易关闭或者数据产品交易合同到期后,是否设置数据传输关闭通道等;
4. 若数据产品涉及个人信息跨境,则应当评估境外数据买方的安全保障能力,包括管理和技术设施等;
5. 若数据产品处理过程中涉及将个人信息进行委托处理、共享,则可以评估接收方安全管理和技术保障等情况;
6. 评估数据产品存储区域与其他区域之间是否采取可靠的技术隔离手段。
在权益保障维度,需要重点评估对个人权益的影响(包括限制个人自主决定权、引发差别性待遇、个人名誉受损或遭受精神压力、人身财产受损)及安全风险。可以重点关注以下内容:
1. 评估数据交易主体或相关责任方是否设置了便捷的数据安全投诉、举报渠道,有无公布投诉、举报方式等信息,是否有以清晰显著方式告知相关主体,维权渠道是否通畅,处理是否及时等;
2. 评估个人信息数据产品加工处理的过程,是否可能对个人信息主体合法权益造成不利影响;
3. 若个人信息数据产品涉及跨境交易,则应当重点评估个人信息出境可能对个人信息权益带来的风险,如篡改、破坏、泄露、丢失、非法利用等。同时还应当评估境外买方所在国家或者地区的个人信息保护政策和法规对出境后个人信息保护影响,例如是否有低于我国个人信息保护水平。
随着个人信息数据产品交易的日益频繁和复杂,PIA已成为提升交易合规性、提高产品竞争力和保护个人隐私的关键环节。PIA不仅是一个法律要求,也是企业数据合规的自证书,彰显出企业对个人信息保护的高度责任感。通过构建数据交易前的高效合规的PIA机制,我们可以共同推动构建一个更加安全合规的数据交易环境。
[1]《深圳市数据交易管理暂行办法》第6条规定:“数据交易主体包括数据卖方、数据买方和数据商。”
[2] GB/T 39335-2020《信息安全技术 个人信息安全影响评估》第3.4条
[3] 深圳市地方标准《数据交易合规评估规范(征求意见稿)》第5条提出了数据交易合规评估的三大环节,即主体合规、标的合规和流通合规
[4] 中央网络安全和信息化委员会办公室、中华人民共和国国家互联网信息办公室,“在线教育市场热火朝天 背后不少问题亟待完善”(https://www.cac.gov.cn/2019-11/20/c_1575785413023958.htm),2019年11月20日。
[5]《网络安全标准实践指南——敏感个人信息识别指南》第3条
[6]央广网,“隐私运单日均使用量突破2.5亿单 让快递个人信息更安全”(https://news.cnr.cn/native/gd/20231109/t20231109_526480221.shtml),2023年11月9日。
作者介绍:
王森鹏
深圳数据交易所合规部主管,英国曼彻斯特大学法学硕士,拥有CIPP/E(欧盟信息隐私专家认证),擅长国企数据合规、个人信息保护相关理论与实务。
以上内容仅为DEXC+专栏 学术观点分享,不代表深数所观点,且不构成正式法律意见或建议
· 欢迎转载,但请务必:
(1)注明出处和作者,并转载全文内容(含DEXC+智库专栏介绍等);
(2)未经作者同意,必须保留此段声明;
(3)必须在文章中给出原文链接。
· 如认为本文/本公众号中存在侵犯相关知识产权的内容,请与我们联系【alarm@szdex.com】。
