近日,教育部办公厅等六部门发布《关于做好现有线上学科类 培训机构由备案改为审批工作的通知》(教监管厅〔2021〕2号,以下简称“通知”),通知中对审批要求做了详细说明,其中,对于教育移动互联网应用程序(教育APP)管理,提出了以下要求:

教育移动互联网应用程序(教育APP)管理。教育移动应用提供者应当建立覆盖个人信息收集、储存、传输、使用等环节的数据保障机制,储存100万人以上个人信息的线上校外培训APP,应通过个人信息保护影响评估、认证或合规审计。

一、背景分析

个人信息保护影响评估是《个人信息保护法》第五十五条、第五十六条提出的要求,法律规定,以下场景需要在事前进行评估:

(一)处理敏感个人信息;

(二)利用个人信息进行自动化决策;

(三)委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;

(四)向境外提供个人信息;

(五)其他对个人权益有重大影响的个人信息处理活动。

对于教育APP来说,其服务的对象主要为在校学生,其中不乏有很多十四周岁以下未成年人群,其个人信息属于敏感个人信息的范畴;利用大数据分析、很多教育App提供了智能化推荐的服务,可能涉及自动化决策;由于提供线上服务的模式、内容等非常丰富,其中也不乏委托处理、对外提供的情形;由于线上学习可能涉及披露学习记录,公开也是需要考虑的场景;100万用户的App必然是在一定地域范围内被普遍使用,用户存在较大的依赖度,个人信息的处理可能会对个人的权益产生较大影响。

综上,教育APP所涉场景很多都包含在法律要求所必须要履行的义务之列。

二、关于如何开展评估的几点评论

开展个人信息保护影响评估,需要一套完整的工作方法,已发布的国家标准GB/T39335-2020《信息安全技术 个人信息安全影响评估指南》(以下简称“《评估指南》”)给出了详细的指导。

《评估指南》查阅和下载渠道:TC260主页(www.tc260.org.cn)/标准查询/已发国标查询/具体标准号或名称。

《评估指南》规定了个人信息保护影响评估的基本概念、框架、方法和流程,并提出了特定场景下进行评估的具体方法。适用于各类组织自行开展了个人信息保护影响评估工作。同时为国家主管部门、第三方测评机构等开展个人信息保护监管、检查、评估等工作提供的指导和依据。基本原理如下:

《评估指南》给出了个人权益影响的四个方面:限制个人自主决定权,引发差别性待遇,个人名誉受损或遭受精神压力,个人财产受损或遭受人身伤害,以供参考。对于教育App而言,建议关注App处理个人信息时,对自主决定权,也就是个人权利的影响,以及使用个人信息时对个人精神压力的影响;App涉及自动化决策功能的,还需要关注是否可能引起差别性待遇;App涉及充值消费等功能的,还需关注财产受损的影响。

还需要关注的是,对于涉及不满十四周岁未成年人的App,需要考虑修正因子,评估时将对个人权益影响的程度从重考虑,例如将低调至中,中调至高。

《评估指南》中提出了评估安全事件的四个角度:网络环境和技术措施、个人信息处理流程、参与人员与第三方、业务特点和规模及安全态势。对于教育App而言,建议关注个人信息储存、使用过程中的访问控制,安全审计等技术措施,个人信息处理流程方面,建议关注对于收集个人信息必要性的分析,尤其是作为收集目的的确定方(有时候是由学校、老师等角色确定)也应充分分析必要性并向用户明确告知;通知规定教育App用户数大于100万需要进行评估,其实隐含了对于规模的考虑,建议从业务特点和规模出发,安全事件可能性等级预判不低于“中”(见《评估指南》附录D,表D.2)。

三、结语

从通知发布的时机、目的等出发,不难看出,《个人信息保护法》中所提出个人信息保护影响评估、审计等有效举措,已经成为各行业、领域开展具体工作的重要方向,也成为主管、监管部门的重要抓手。而其中具体工作的开展,国家标准等的支撑作用不可忽视,在应用标准过程中,不断根据自身实际情况调整优化,形成企业标准、最佳实践。

(本文作者:中国电子技术标准化研究院网络安全研究中心 何延哲)

声明:本文来自CCIA数据安全工作委员会,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。