个人信息隐私设计（PbD）

《个人信息安全工程指南》（GB/T 41817-2022）2018年4月立项，7月正式启动，2023年5月1日起正式实施。《个人信息安全工程指南》结合业界实践经验，借鉴国际和国外有关隐私工程、隐私技术框架的研究成果，试图以标准的形式，将数据合规的现有法规规定和风险控制工作贯穿至产品和服务的设计环节，对具体的系统和软件的设计开发程序提供工程化指引，筑造企业保护个人信息的第一道防火墙。

其中，“个人信息安全工程”也称“隐私工程”，强调嵌入设计（Privacy by Design）和默认保护（Privacy by Default），要求企业在产品设计阶段就要考虑个人信息保护，同时产品默认设置也要最大程度保护用户个人信息，而非事后的“亡羊补牢”，为此《个人信息安全工程指南》在附录B中，提供了常见个人信息安全默认配置参考要点。

参照《个人信息安全工程指南》，企业要在开展个人信息隐私设计前，要重视产品服务的设计阶段，宜做好工作团队、制度流程、技术工具等方面的准备工作。

1.服务设计阶段的准备工作

《个人信息安全工程指南》将个人信息安全影响评估贯穿于个人信息安全工程各阶段（而不局限在某一阶段），检查各个阶段是否存在违法违规情形，是否满足合规要求；评估各个阶段的安全风险，且风险是否可以接受。

在通过合规检查和安全评估后，结合设计的个人信息安全功能，输出个人信息安全设计，全国信息安全标准化技术委员会通过流程图形式展示了个人信息安全设计的主要步骤：

2.工作团队的准备工作

《个人信息安全工程指南》对网络服务和产品的开发活动的每一阶段，均倡导设立个人信息保护相关团队的工作方法和目标，力图将隐私保护工作紧密焊接至全部开发流程中。

实践中，通常由安全、法务、合规、隐私、风控等多个部门角色构成，根据企业运营模式和产品特点，或有产品经理、研发、测试、运营等多部门的加入。

3.制度流程的准备工作

企业通常为个人信息保护相关部门配备第三方专业人员，建立PbD工作指引，以及产品需求、设计、开发、测试、发布等环节的合规指引。

4.技术工具方面的准备工作

根据预先建立的PbD合规指引，结合企业实际需求，准备相关技术工具支撑个人信息安全工程实践，例如需求跟踪系统、隐私测评工具等。

个人信息保护影响评估（PIA）是一种事前的、强制的自我规制。是企业对个人信息的收集、存储、使用、加工、传输、提供、公开、删除等贯穿数据全生命周期活动的检验，判断活动合规程度、保护措施的有效程度以及对个人信息主体合法权益造成损害的风险。

《个人信息保护法》要求企业至少保存3年的个人信息保护影响评估报告和处理情况报告。

1.PIA发展进程

早在1995年美国《隐私法案》要求联邦机构在开发或改进信息系统时进行PIA，随后欧盟《通用数据保护条例》（GDPR）也要求对高风险数据处理活动进行DPIA评估。我国自2020年起发布了个人信息保护相关法律、国标、指南，对个人信息保护影响评估的监管要求不断加强完善。

我国在2017年《信息安全技术 个人信息安全规范》中就提出了“个人信息安全影响评估”，2020年修正时予以保留，要求建立个人信息安全影响评估制度；2020年发布的《信息安全技术 个人信息安全影响评估指南》明确了个人信息安全影响评估的基本原理和实施流程等事项；直至2021年《个人信息保护法》第55条明确了企业应当进行事前PIA的情形，自此PIA成为企业必须进行的合规项目，是不可忽视的法定义务，也是监管执法及合规审计的重点领域。

2.企业需要开展PIA的场景

所有合规的目标都是在可控范围内避免不可控事件的发生，而PIA拟通过“法律+技术”的评估方式，筛选出个人信息处理活动可能对自然人的个人信息权益带来“高风险”的情形，并进一步将合规风险和安全风险控制在企业可接受的范围内。

对此，在《个人信息保护法》第五十五条对需要进行事前PIA的情形进行列举，也是为企业梳理了部分“高风险”触发点，比如：处理敏感个人信息；进行自动化决策；委托他人处理个人信息、向其他个人信息处理者提供信息、对外公开个人信息；向境外提供个人信息等其他对个人权益有重大影响的个人信息处理活动。

其中，对于“个人权益”的判断，可以从个人信息处理活动是否会限制个人自主决定权、是否会引发差别性待遇、是否会造成个人名誉受损、是否会遭受精神压力，以及是否会使人身财产受损等维度展开。

例如，无法选择拒绝个性化广告操作、因个人消费习惯或浏览频次进行“杀熟”、被他人冒用身份、资金账户被盗等行为都是影响个人权益的行为。

3.企业开展PIA的主要任务

PIA是企业在《个人信息保护法》项下的关键合规义务，第55条规定了需要进行事前PIA的情形，第56条规定了企业需要对个人信息保护影响评估进行“留痕”，制作影响评估报告及处理记录。并要求包含个人信息的处理目的、处理方式等是否合法、正当、必要；对个人权益的影响及安全风险，以及所采取的保护措施是否合法、有效并与风险程度相适应。

（2）划定评估范围，确定评估方式；

（3）开展风险源识别；

（4）开展风险影响分析；

（5）风险处置与改进措施。

伴随2017年6月1日《网络安全法》实施，2021年9月1日《数据安全法》实施，以及2021年11月1日《个人信息保护法》实施，我国目前已经基本形成较为全面的网络安全与数据保护监管体系，数据合规审计就是前述法律规定基础之上的法定义务。

1.触发PIPCA的两种情形

依据《个人信息保护法》第五十四条和六十四条之规定，PIPCA个人信息保护合规审计分为自主的“定期审计”和强制的“监管审计”两种情形。

自主的定期审计规定个人信息处理者可以根据自身业务实际情况，由企业内部或者委托第三方专业机构，定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。

另外，《个人信息保护合规审计管理办法（征求意见稿）》明确提出，处理超过100万人个人信息的个人信息处理者，应当每年至少开展一次个人信息保护合规审计；其他个人信息处理者应当每两年至少开展一次个人信息保护合规审计。

强制的监管审计是指监管部门发现，企业在处理个人信息的过程中存在较大风险或者发生个人信息安全事件的，可以按照规定的权限和程序对企业法定代表人或主要负责人进行约谈，或者要求企业委托外部专业机构对其个人信息处理活动进行合规审计。

2.企业开展内部审计的合规要点

国家网信办在出台《个人信息保护合规审计管理办法（征求意见稿）》的同时，依据《个人信息保护法》等法律法规、行政法规和国家标准的强制性要求，在其附件中制定了《个人信息保护合规审计参考要点》，为企业开展PIPCA提供了重要参考。

《个人信息保护合规审计参考要点》对处理者与他人共同处理、委托处理、转移处理、自动化决策处理、处理公开个人信息、处理敏感个人信息、个人信息跨境等情形均提供了审计重点，并且对个人信息处理规则、个人信息主体权利、个人信息处理者责任及大型互联网平台等方面给予了相应规定。

除此之外，履行个人信息保护职责的部门在履行职责中，如果发现企业处理个人信息活动存在较大风险或者发生个人信息安全事件之时，就会触发“监管审计”。

对于已经发生的“信息安全事件”企业有较为明确的认知，那么“较大合规风险”如何判断呢？

②法定机构向企业提起个人信息保护的公益诉讼；

③发生个人信息安全事件或合规事件，如信息泄露、违法收集、违法交易等；

④在履行其他法定义务时，监管部门发现或企业主动披露，个人信息合规风险；

⑤媒体披露企业存在个人信息合规风险；

⑥处理大量个人信息的新型网络产品或服务上线；

⑦大平台企业或行业头部企业，监管部门发现个人信息合规风险；

⑧监管执法机构在安全检测结果揭示个人信息合规风险。

3.企业委托外部审计的协助重点

企业在定期审计工作中有选择权，可以选择自行审计或者委托外部审计，但是在监管审计工作中则必须委托外部审计，且需在90日内完成。

监管审计的本质是为企业提供了缓冲期，给了企业一个修正的机会。企业根据第三方专业机构提供的审计结果，进行有针对性的整改，可以降低或消除企业因个人信息违法活动遭受行政处罚的可能。因此，企业需要认真对待并积极配合外部审计工作。

外部审计流程主要包括四步：第一步，企业内部组建团队成立PIPCA工作小组并指定负责人，先行开展初步的内部合规审计；第二步，在引入第三方专业机构后，配合外部审计机构在90日内完成审计工作，如遇特殊疑难情况，申请延长审计期限；第三步，审计工作完成，形成合规审计报告，负责人签字并加盖外部审计机构印章，提交至监管部门；第四步，企业依据审计结果进行全面整改，整改后由外部审计机构验收，形成验收报告报错监管部门。

在整个过程中，企业积极配合外部审计工作，为外部审计机构提供高效的、充分的支持与保障，以保证在规定时间内完成全面审计。

比如，按要求提供或协助查阅相关文件资料，确保审计机构可以查阅个人信息处理活动相关的数据或信息；给予访问个人信息处理活动的相关场所的权限，确保审计机构可以检查测试个人信息处理活动相关的设备和设施；主动消除企业员工抵触情绪，确保审计机构与个人信息处理活动相关人员，进行询问、调查或取证。

综上，本文分别对个人信息隐私设计（PbD）、个人信息保护影响评估（PIA），以及个人信息保护合规审计（PIPCA）的相关主要内容进行介绍，希望对于企业开展个人信息保护的合规工作具有参考价值。

王译萱律师系文康网络安全与数据合规专业委员会副主任，主要业务领域为民商事诉讼/仲裁，房地产，公司与并购，科技与互联网。可围绕基础电信设施的建设和开发，大数据、个人信息及隐私保护、数据收集与跨境传输及数字娱乐等方面提供相关法律服务。

王译萱律师具有数字法务官资格，同时是国内首批获得国际 EXIN DPO数据保护官＆ISO信息安全官双认证资质的法律从业者，并已通过PDPP、PDPF、ISO/IEC 27001职业资质认证，工作语言为中文、德文与英文。

扫码添加王律师微信

马清泉

律师

maqingquan@wincon.cn

0532-68972937

马清泉律师系文康律所网络安全与数据合规专委会主任，青岛市律师协会企业合规专委会副主任，青岛市企业合规研究会副会长。业务领域主要为网络安全与数据合规、投资并购与公司治理、争议解决与诉讼，曾为诸多企业（涵盖数据安全、金融科技、智能制造、虚拟现实、交通物流、文化传媒等领域）提供法律顾问与合规支持。

马清泉律师是我国首批国际 EXIN DPO（数据保护官）& ISO（信息安全官）双认证律师，《中小企业合规管理体系有效性评价》及《数据合规管理体系 要求》等标准起草人，青岛市大数据发展促进会专家成员，荣膺2021年度ACE中国法律科技律师10强，法律研究在《法治日报》等媒体刊载。

扫码添加马律师微信

文康网络安全与数据合规专业委员会

文康网络安全与数据合规专业委员会深度参与数字经济法治化过程，具有丰富的数字经济业务经验和深厚的理论功底，并对新科技具有跨专业的认知和理解，致力于协助客户有效应对复杂的法律和政策监管，为各行业客户提供多样化的隐私保护、数据安全与流通等方面的解决方案，切实解决客户的法律合规问题。

文康作为数字经济领域新型法律服务的践行者，可以在数据要素、数据资源、智能制造、车联网、数字化转型、元宇宙、区块链、数据跨境、互联网金融、人工智能、医疗健康、电子商务、云计算等多个领域提供专业支持，始终保持对新科技以及所涉法律问题的研究，为客户提供当前监管环境下具有实践性的建议与服务，并与技术公司建立合作，具有为客户提供“法律+技术”一站式解决方案的能力。