PIA仅是一个合规评审吗?——工程思维与法律思维的碰撞
理想总裁李想曾经重新阐述过“盲人摸象”:如果你只摸到了象的耳朵,那么你的解决方案就是拿一个筐,把耳朵拎走;如果你摸到的是整头大象,你的解决方案就会是集装箱,用卡车把它运走;但是如果你摸到了整个象群,你的解决方案可能是修桥、修路。很不幸,问题又在重演,这次是“PIA到底是什么”。
从工程实践角度来看,国内正在经历从App合规检测到PIA(个人信息保护影响评估)落地的过渡(大家可以猜猜,海外合规落地是从那个功能开始的?)。相比于App合规检测的标准化及聚焦于采集侧的局限性,PIA的落地更具协作性、对整个合规管理工作更具牵引性,也更加贴近业务。实际上,从“实质合规”与实现合规管理闭环的角度来看,PIA的落地将是一场“法律思维”与“工程思维”的激烈碰撞!我相信,很多人其实并未意识到有这个问题,更不清楚这意味着什么!
《个人信息保护法》清晰定义了需要进行PIA的5种情形及相关内容。PIA通常被视为一种隐私风险评估过程,它根据其对个人隐私的影响来评估涉及个人信息的实施或操作,目的是避免或尽量减少不利影响。目前,PIA已成为大部分处理个人信息的企业的强制性义务,譬如跨境安全评估的必备要件等,也是企业自证清白的有利武器,譬如应对监管机构执法或商业伙伴的调查与审计等。从这个角度看,PIA将是一个对某个具体数据处理活动的“体检”。
但从工程能力以及未来支撑“全掌控、真合规”的合规管理全系统的角度来看,PIA的定义和内容有更多的定义。
PIA是对个人信息处理活动的清晰“重绘”
它将描述收集到的个人信息清单、共享交换的第三方、个人信息收集方式、个人信息收集的合法性基础、数据存留期限、数据处理方式(自动化决策等)、数据流动(第三方共享交换、数据跨境、业务间传递等)等。有了PIA,我们可清晰掌握个人信息的采集、处理、共享交换等详细信息,解决某次个人信息处理活动具体“是什么”的问题。实际上,只要做过的人都知道,PIA这个“体检”的质量,强依赖于对个人信息处理活动的详细描述。
PIA是对个人信息处理活动的合规“设计”
评审,只是PIA的结果;相比结果,工程实践更关注过程的落地。通过PIA,可引导业务活动的设计,以期主动规避或纠正问题。更主要的是,通过评审的PIA,是最了解业务功能实现逻辑及详情的业务人员、最懂法律法规的合规人员、最懂数据保护的安全人员等联合协作下,对某个基于特定业务目的的处理活动的“联合设计”,并最终各方达成一致意见。这个设计过程,涉及到数据的采集、存储、处理、使用、共享、存留等全生命周期的所有合规管理活动,定义了“什么是正确”的个人信息处理活动。
PIA是对个人信息处理活动的合规“基线”
常规认为,PIA的核心输入是一套问卷和一套流程,输出是一个结论、对应的报告以及风险与应对措施,这其实是在对PIA的严重浪费!基于PIA的“设计作用”,已事实上构建了一个数据全生命周期合规管理的隐私合规管理基线。在这个基线中,清晰定义了数据采集、存储、传输、处理、使用、共享、存留等过程中合规管理活动的所有要求,超越或违犯这个“基线”要求的数据处理都是存在风险的。
PIA的“基线”作用,将大大提升后续合规管理活动落地的自动化能力,譬如根据PIA自动生成隐私政策或权利列表;也为PIA摆脱“纸面合规”提供了可能——与数据管理相关功能联动,可以实现真实数据与PIA设计的校验。
除了法律法规要求,工程能力构建还要考虑PIA的质量保障、协作效率、有效落地、管理闭环,以及以上带来的风险管控。此外,为匹配后续落地隐私合规管理功能的自动化,PIA也许会承担更多的功能,譬如主体权利响应的定义与接口。更难的是,还要在此基础上保护团队尤其是业务人员脆弱的积极性,你还认为PIA是一次简单的评审吗?
或许许多人喜欢孤立地看待PIA,只把PIA当成一次合规的“体检”,或者只把PIA系统落地当成一个流程的IT化或工具化。但是,基于评审角度的PIA仅能够证明你做过、管过,却无法证明你管得好不好,PIA究竟有没有用。而如果把PIA当成合规管理系统的一部分,那么,经过重新定位,PIA就变成了一个数据处理项目的隐私合规系统的良好开端;如果认为未来合规管理系统应该是智能、自动与高效的,那么PIA的准确定位与有效管理,将直接决定未来隐私合规运营的自动化程度!
总而言之,PIA到底是一个筐、一个集装箱还是一条路?这取决于你如何定位它!
👇🏻往期文章回顾
组织隐私保护的核心控制点——被低估的PIA | 从隐私合规管理系统构建及落地角度看PIA
👇🏻关注我们,获取更多独家行业洞见
公司介绍
北京尚隐科技有限公司聚焦数据合规与个人信息保护领域,是国际隐私保护行业组织IAPP的首家中国供应商。核心技术团队有9年以上的个人信息保护技术经验。公司致力于构建全生命周期的数据合规管理平台系统,并以此为基础为企业打造完善的数据合规与个人信息保护解决方案。
地址:北京市顺义区南法信镇焦各庄9号院,城建道桥大厦2号楼10层1006室
电话:010-6946-3202
邮箱:public@privacycn.com