本文为作者向无讼阅读独家供稿，转载请联系无讼阅读小秘书（wusongyueduxms）

一、个人信息评估的方法论与路线图

个人信息已经成为网络空间中最重要的资源之一。从2012年12月的《全国人大常委会关于加强网络信息保护的决定》开始，越来越多的法规开始涉及个人信息保护问题：2017年生效《网络安全法》与《民法总则》也都对个人信息保护有所规范，到2018年《个人信息安全规范》的实施进一步对个人信息保护的推荐规则进行了细化。

尽管规范日益完善，但个人信息保护的局面依然不容乐观，各种个人信息泄漏事件频繁将各个公司送上头条。虽然安全事件防不胜防，但公司总要证明自己为保护个人信息安全做了些什么，个人信息保护的能力如何，法律要求是否履行，长期以来并没有统一的路线图或者方法论。虽然可以拿出等级保护或者ISO的认证，但说服力上总还是有所不足，缺少专门的个人信息安全影响评估报告。

在《个人信息安全规范》中，提出了"个人信息安全影响评估"的概念：个人信息安全影响评估是指针对个人信息处理活动，检验其合法合规程度，判断其对个人信息主体合法权益造成损害的各种风险，以及评估用于保护个人信息主体的各项措施有效性的过程（3.8）。但《个人信息安全规范》并没有明确如何进行评估。直到《个人信息安全影响评估指南（征求意见稿）》的公布，让中国首次有了较为权威评估个人信息的方法论与路线图。

二、场景与业务

在评估指南中，列明了可以实施评估的若干场景：

"产品服务年度整体评估；

"新产品、新服务、新功能设计、上线

"法律法规、政策、标准、外部环境等出现变化时；

"业务模式、信息系统、运行环境等发生变更时；

"发生重大个人信息安全事件后；

"发生收购、兼并、重组等情形时；

"个人信息出境前；

"个人信息处理目的变更前；

"个人信息委托处理、转让、共享或公开披露前或范围发生变化时估；

"个人信息匿名化和去标识化效果；

"需要对去标识化后的数据重标识使用时；

"通过购买、从合作伙伴获得方式收集、使用个人信息时；

"使用"征得同意例外"条款收集、使用个人信息时；

"使用"默许同意"方式收集个人信息时；

"对政府、监管部门、司法部门提供个人信息前；

"出现用户申诉且纠纷未解决时；

"及对个人信息主体评价、打分等直接画像行为，如进行负面标识、预测健康状态等；

"使用个人信息进行自动分析给出司法裁定或其他对个人有重大影响的决定；

"系统性的监控分析个人或个人信息，如在公共区域监控、采集个人信息等；

"收集的个人敏感信息数量、比重较多，收集频率要求高，与个人经历、思想观点、健康、财务状况等密切相关；

"数据处理的规模较大，如涉及50万人以上、持续时间久、在某个特定群体的占比高、涵盖的地理区域广泛或较集中等；

"对不同处理活动的数据集进行匹配和合并，并应用于业务；

"数据处理涉及弱势群体的，如未成年人、病人、老年人、低收入人群、文化水平偏低人群、寻求庇护人群等；

"创新型技术或解决方案的应用，如生物特征识别、IoT、人工智能等；

"处理个人信息可能导致个人信息主体无法行使权利、使用服务或得到合同保障等。

这些场景已经非常全面，企业的经营活动难易完全绕开以上场景，即使是不面向消费者的企业也需要解决员工个人信息保护的问题，而最近火热的物联网、人工智能的技术方案更是有必要经过评估以提供更多的安全保障。

安全影响评估虽然不是强制性的，但却是企业合规经营的重要保障，而且会是监管部门执法的重要参考。但根据中国互联网监管的特点，在未来恐怕会有越来越多的监管部门将手中的"牌照"或经营许可会与个人信息安全影响评估挂钩，以显示本部门对个人信息保护的重视。

三、评估流程

个人信息安全影响评估主要分为以下流程：

个人信息安全影响评估流程

其中最为关键的环境可能是数据映射分析（DataMapping）。所谓数据映射分析，是针对不同功能所涉及的个人信息进行全面的摸排，从收集、处理、使用、分享、删除全流程对数据进行记录，并分析不同流程所面临的法律风险。虽然说起来简单，但实施起来却是相当困难，尤其是直接面向消费者的企业或者是跨国企业，所涉及的个人信息千头万绪，难以在短时间内厘清数据的准确状况。

基于系统组建的数据映射表

基于数据生命周期的数据映射表

数据映射表填写的准确性直接会影响到评估的可靠性与说服力。至少需要企业的IT部门、业务部门、法务部门共同来进行填写，会非常考验企业内部的沟通能力。直接考验企业的组织能力与文档的完整性。

评估的报告并非最终的成果，更重要的是在评估报告完成以后的整改与实施。从数据合规的角度来说也是如此，无论是法律文件的撰写、修订，或是硬件设备的采购都不是什么困难的事情，困难的是让个人信息保护措施在产品/服务中落实，让个人信息保护嵌入到产品/服务的设计中去。

四、红海与蓝海

个人信息安全影响评估并不是一件随意的事情，《个人信息安全规范》中推荐"妥善留存个人信息安全影响评估报告，确保可供相关方查阅，并以适宜的形式对外公开。"（10.2）即评估结果可能需要公开，尤其是在安全事件发生以后，企业需要证明自己已经履行个人信息保护义务，此时报告的每一行都将会被放在"放大镜"下进行审视。

对于评估主体，除了机构内部组织评估以外，还可以由外部专家进行评估。在这样的情况下，律师作为常年战斗在第一线的法律工作者，习惯于出具各种法律意见书，个人信息保护又涉及大量的文书工作，所以律师们早已对这一市场跃跃欲试了。而《个人信息安全影响评估指南（征求意见稿）》的公布，无疑是为律师从事个人信息合规业务提供了"指南针"。

虽然在2018年5月底生效的欧盟《一般数据保护条例》（GDPR）掀起了一波数据合规业务的高潮。但目前，中国法律服务市场上能够提供网络安全与隐私保护业务的律师事务所两只手都数得过来，至少在各种排行榜还没有开始对隐私保护专门设计排名，看似是一片蓝海。但实际上，这一海域的航道早已布满了来自不同行业的竞争对手。

个人信息的保护与网络安全息息相关，网络安全传统上都是安全公司的领域，网络安全培训、认证、产品销售早已形成了完整的产业链。像BAT这样的互联网巨头也早已占据安全服务的赛道，算得上是"头号玩家"，腾讯安全管理部总经理朱劲松早在2016年就荣获CCTV"最具年度网络影响力的法治人物"。除此以外，咨询公司、会计事务所、保险公司也都对这一领域虎视眈眈，公司治理、审计、保险都可以成为业务的切入领域。律师与律师事务所在这一领域只不过是初出茅庐罢了。

但是，律师与律师事务所的优势在于，《网络安全法》与GDPR将网络安全与个人信息保护提升到了法律义务的层面。尽管之前也有各种规范，但都相对零碎，而现在网络安全与个人信息保护成为法律义务，并且公众个人信息保护意识也前所未有地强大，数据合规由"选修课"升级为"必修课"。数据合规除了可以应对攻击，还增加了应对政府检查的目的，而这也是法律行业所能有所贡献的领域。

通常上律师所提供的法律服务无外乎起草、修改文本，如果止步于此，那么法律行业竞争力难以得到保障，更重要的是与赛道上其他选手的"合纵连横"、整合资源的能力，以及与产品、IT部门沟通的能力。所以，数据合规是一片红蓝交织的海域，需要高明的船长与水手才能找到航道。

编辑/杜倩如