从合规技术的视角看：您的PIA真的有效吗？

编者按：

关于个人信息安全影响评估的文章如下：

今天和大家分享的是尚隐科技团队新的一篇关于PIA的文章。

为全球TOP研究和顾问公司，Gartner发布的Hype Cycle技术成熟度曲线（直译为炒作曲线）是众多公司技术投资非常重要的参考依据。2024年7月29日,Gartner刚刚发布了《2024年隐私技术成熟度曲线》，同样成为了我们了解世界隐私技术最新进展的重要参考。

本以为，过去几年数据合规备受关注，数据交易与数据合规平台层出不穷，数据资产入表如火如荼，产品与业务出海风风火火，不出意外似乎应该会有一波研究热点，完全可以偷懒并静等大神们对Gartner最新发布的分析。但一个多月过去了，各种合规论坛静悄悄，就像隐私保护技术被大家遗忘一样。无奈之下，只好自己学习并输出了此报告。

鉴于内容非常多，只能逐步解读！考虑到众多公司正在进行PIA工作，也就将PIA作为开篇之作，也试探一下大家是否关注隐私保护的相关技术！

需要特别说明:

1、根据Gartner报告中说明，其PIA采样供应商全部来自海外，我们可将其理解为海外关于相关技术的最新状态或者业界TOP供应商的最新技术状态；

2、后面文中各个章节斜体字为个人解读，并不代表Gartner的观点。

一、Gartner对PIA所处阶段等的描述

分析者：Bart Willemsen(向作者致敬)

阶段：泡沫破裂谷底期（Trough of Disillusionment）。解读直译：创新没有达到其新过高的期望，它迅速变得不再流行。媒体兴趣减退，只留下一些警示性的故事。幸存供应商改进产品，使早期采用者满意，采购或投资才会继续

效益评价：高。解读直译：将实现新的横向或纵向流程执行方式，并将帮助企业大幅提升收入或实现成本节约

当前市场渗透率：目标受众的5%至20%

成熟度：青少年（Adolescent，解读直译：技术能力、方法及相关基础设施和生态系统开始发展）

距离主流采用的时间：2-5年，即距离达到如下状态的时间：创新实际效益得到展示和认可，工具和方法在进入第二代、三代时越来越稳定，更多的组织对降低风险感到满意；进入采用的快速增长阶段。大约20%的目标客户已采用或正采用该技术

解读：Gartner非常认可PIA对企业的作用，并确认其在目标客户中落地并发挥作用。但同时也认为当前的PIA正在且必须进行重大变革，并将很快被越来越多的目标客户使用。对此，个人判断：伴随着PIA的落地，早期采购者与供应商对PIA有了更加清晰的理解与认知，目前PIA正在跳出单纯的法律遵从，业务需求发生了很大变化，也对PIA产品有了更高目标要求。

二、Gartner对PIA的定义

隐私影响评估(PIA)使组织能够识别和处理隐私风险，它通常在实施新的处理活动和/或重大变更之前进行。PIA考虑流程所有者和描述、为特定目的处理的数据类型以及每个目的的保留期限。进一步详细说明可能包括法律依据、对数据主体的潜在影响以及确保受控的个人数据处理环境的缓解措施。

解读：尽管描述略有差异，但Gartner对PIA定义基本符合GDPR/个人信息保护法。

三、Gartner对PIA重要性的说明

隐私监管环境的持续变化，要求组织机构对其处理的个人数据以及保护个人数据的原因和方式有基本的了解。很少有组织机构能够展示对各种存储库和孤岛类型中个人数据的了解和控制，更不用说了解这些数据的使用方式或预期用途了。然而，这种了解对于隐私和安全控制的适度和充分部署至关重要，这使得PIA成为有效隐私计划的基石之一。

解读：很显然，与大多数人对PIA的认识不同，Gartner正在重定义PIA的功能。这应该是PIA早期采购者和供应商的经验与共识，也是Gartner认为PIA处于泡沫破裂谷底期、认为其必须进行重大变革的原因。

现实中，很多合规人员依然简单的将PIA视为对业务的“体检”与“评审”，这是早期PIA认识的定位或目标。而Gartner认为当前PIA更重要的是展示对个人数据的了解（包括数据使用方式或预期用途），以确保基于隐私与安全的目的的适度、充分与正确的控制。更直白的说法，PIA必须基于法律遵从，但终究要服务于真实数据管理的各种隐私和安全控制。从这个角度看，PIA的定位已经发生了变化，当前很多PIA工作实际上是不足的，或者说并未足够有效！

简单的法律遵从性判断，即评审的“GO”与“NO GO”，已不再是PIA最关键目标。而是在此基础上，实现评估与真实数据的联动：一方面可实现PIA评审结果转化为控制措施，并真正有效的落地数据管理；另一方面，也可为合规评审提供真实的个人信息等数据，提升评审质量和有效性。这些才是当前PIA的主要目标！

所以，PIA评审的完成只是合规管理的一个阶段过程性结果，并不一定是结束，而有可能是新阶段的开始。总之，PIA的合规评审还要落地到真实的数据管理去才算闭环。

四、Gartner认为PIA对业务的影响

PIA可在整个数据生命周期内提高对个人数据的监管合规性和控制力，并有助于确定访问管理以及数据生命周期的终止，从而有目的地处理人们的数据。它有助于防止（内部）数据泄露和个人数据滥用，帮助安全和风险管理(SRM)领导者量化主体面临的风险并在适当的时间应用适当的缓解控制措施。经常和持续地进行PIA为负责任和透明的数据管理奠定了基础。

解读：与PIA的重要性相呼应，Gartner更加详细的阐述了PIA对业务，尤其是数据管理业务的影响。PIA提高了个人信息的合规性管理，但更是要落实到真正的数据管理。从这个角度看，PIA最终必落地并服务于数据管理。

五、Gartner对PIA驱动力的说明

许多组织使用电子表格和问卷手动进行PIA，随着PIA数量增加和重复性需求增加，手动方法变得难以管理
过度标准化将进行PIA所需的技能限制在少数人身上，而不是使他们成为组织数据处理框架的一部分
PIA自动化工具可通过（API驱动的）触发器启动评估过程，在每个步骤收集所需信息并通过预定义的工作流程对其进行跟踪，直到案例关闭或标记为需要补救
如果执行得当，PIA将成为法律要求和业务流程再造的核心，实现隐私设计和适当安全控制实践的有效联系
PIA的结果将有助于评估处理活动记录（RoPA）。通过数据和分析领导者的数据智能，SRM领导者可进一步自动化预期的个人数据生命周期，包括它应该和不应该在哪些地方可用。换句话说，基于目的的处理活动决定了基于目的的访问控制（PBAC）。此外，它还便于自动化确定的数据生命周期终点
整个PIA流程使数据治理计划变得更加可控，但目前主要驱动力仍然主要来自监管要求

解读：当前，PIA的主要驱动力显然还是监管要求，但管理的便利与高效、与主流程的融合、自动化等同样是PIA产品的基本要求，尤其是PIA的真正落地，将使数据合规管理变得更加可控！

六、Gartner认为PIA落地的主要障碍

由于设计不当的手动工作流程和一刀切的心态，PIA通常被认为是一项繁琐的任务，在长期强制执行此项活动的组织中，PIA会产生一定的疲劳
合作伙伴认为的“复选框心态”（checkbox mentality，意为死搬硬套，墨守成规）无助于提高PIA的质量
低估PIA的相关性和地位、PIA不完整和准确，或者未能经常更新PIA，都会导致最初的尝试最终徒劳无功
如果没有知识渊博且训练有素的员工，PIA自动化工具很难根据组织的需求进行定制。因此，即使是自动化方法也无法实现与PIA理想关联的个人数据生命周期治理或管理活动的后续自动化和协调

解读：如果您参与过PIA项目实践，是否对如上描述似曾相识？在现实中，PIA被认为是机械的死搬硬套法律法规条文的工作，繁琐的让人厌烦；常常沦为“Just do it”，视为合规管理“程序正确”的一部分而已；缺少匹配业务变化的灵活性，常常被当成是一次性的；只关注数据的采集与跨境合规，而忽略数据处理与数据存留的合规；只关注产品开发阶段的合规，而忽略数据运营阶段的合规；缺乏闭环管理，尤其是缺位闭环应用，缺少与真实数据的打通，PIA变成了不得不做但又无用的“纸面合规”，并拉低了PIA对业务的实际价值。

如此低效、低质且高成本、高投入的PIA，将直接影响其落地与业务认可。尤其是PIA等合规评审与真实的数据管理两张皮，使得PIA等在许多情形下并未产生有效，至少是充分有效的作用，反而打击或降低业务那脆弱的合规积极性，对合规管理落地造成极其负面的影响！

Gartner列举的海外早期客户经历的问题，在国内却依然被普遍性漠视，并又在各个对国内合规先行公司重复上演！结果是，做得越多，未来整改成本越大，浪费也越严重！

七、Gartner对PIA落地的用户建议

任命并授权业务流程所有者负责各自的个人数据处理活动，并积极让他们参与优化流程的流畅性和细节性
要求将PIA作为一项强制性、经常重复的活动进行。在变更流程和引入新处理活动时，对PIA的必要性进行分类
将PIA结果（尤其是大型项目的结果）纳入企业风险登记册，以便进行监测和跟进。根据范围和重点，将高风险PIA活动整合到总体业务影响评估中也可能有所帮助
将评估的有效性扩展到服务提供商执行的个人数据处理，要求他们完成并定期修改完整的PIA
使用集中配置的工具来持续进行PIA（例如，作为内部自动化工作流程），或者当不太成熟的程序就足够时要求将PIA作为手动练习进行

解读：很显然，Gartner的这些建议，有点“虎头蛇尾”。它提出了让业务参与PIA流程优化，并细化PIA的分类等非常正确的建议，但与其PIA的重定位相比，这些措施建议远远不够。

如何与真实的数据管理打通，如何有效的将PIA转化为各种隐私与安全控制措施，在此几乎并未涉及。Gartner发现了PIA的问题，提出了新的发展方向，但与之匹配的优秀实践却几乎没有提及，好像Sample Vendor将相关技术处于保密状态一样。这似乎在进一步印证了PIA还在处于转型初期的判断（处于技术成熟度曲线的谷底）。

但无论PIA的变革以何种技术形态出现，新PIA一定包含如下功能：1）PIA数字化，这个数字化很显然绝不是简单的将PIA评审IT化，而是将PIA转为机器可以识别、结构化，可执行、可校验的数据；譬如可以根据PIA评审结果，自动生成各种数据控制策略等；2）PIA将与数据管理“强耦合”，与更多的与真实数据打通；譬如通过API接口直接读取，提升评审效率，降低PIA参与时间，并确保PIA的高质量等。

八、写在最后

当我在某TOP ICT厂工作时，Gartner技术成熟度曲线常常被认为业界技术发展的风向标，并视为技术投资最有价值的参考之一，而且几乎从不被质疑。

尽管并不100%完美，但在此报告中，我们可认为Gartner正在重新定义PIA的功能，即正将PIA从简单的法律遵从，提升为还能展示对个人数据的了解（包括数据使用方式或预期用途），以确保基于隐私与安全的目的的适度、充分与正确的控制。实际上，Gartner在反复强调PIA到真实数据合规管理的落地。

海外头部供应商早就开始了相关转变：譬如隐私合规管理厂商OneTrust与数据治理厂商Collibra的合作，可直接在PIA评审前，从系统中读取真实的个人信息类型等；又如隐私合规管理厂商TrustArc与BigID(提供数据发现等功能)的合作，再如隐私合规管理厂商Securiti“先数据后合规”的产品设计理念等，无一不在印证着Gartner的相关观点。当然，国内头部厂商也有领先者意识到此问题，譬如蚂蚁集团的i-ABC隐私合规解决方案，也在强调PIA可生成系统链路可执行的策略，并在隐私风险监控阶段检测此策略的执行情况。

尽管如此，当前国内很多厂商并未正确定位PIA，而是正重走海外PIA先行者的老路，这就导致PIA系统的顶层设计就出现问题，做得越多，未来重复得越多，从而导致大量的投资浪费。

他山之石，可以攻玉！我们其实完全可以站在海外头部厂商的肩膀上，以一个新视角审视PIA，重新定位PIA功能，并确定新的PIA框架，从而实现弯道超车。在这个新PIA框架下，解决合规评审与数据管理两张皮的问题，将PIA与数据管理联动起来。这样，你不仅将发现PIA实现了真正有效的合规管理，从“纸面合规”转向了“实质合规”，即使被迫在放大镜下审视，依然底气十足；而且，你也将发现合规管理对业务的支持更加高效、更加有效！

注：以上分析来自北京尚隐科技，时间及能力所限，难免存在疏漏谬误之处，敬请批判指正！内容或图片等如有侵权，请联系指出立删！联系邮箱：[email protected]

数据保护官（DPO）社群主要成员是个人信息保护和数据安全一线工作者。他们主要来自于国内头部的互联网公司、安全公司、律所、会计师事务所、高校、研究机构等。在从事本职工作的同时，DPO社群成员还放眼全球思考数据安全和隐私保护的最新动态、进展、趋势。2018年5月，DPO社群举行了第一次线下沙龙。沙龙每月一期，集中讨论不同的议题。目前DPO社群已超过400人。关于DPO社群和沙龙更多的情况如下：

DPO线下沙龙的实录见：