灵活用工平台数据合规路径与解法一——关键环节：开展个人信息安全评估

摘要: 建立数据合规系统的关键是进行个人信息安全评估。GDPR规定，当某些类型的数据处理(理(特别是适用于新技术的处理)可能对自然人的权利和自由构成高风险时，在考虑了处理的性质、范围、内容和目的后，数据控制处理前评 ...

建立数据合规系统的关键是进行个人信息安全评估。GDPR规定，当某些类型的数据处理(理(特别是适用于新技术的处理)可能对自然人的权利和自由构成高风险时，在考虑了处理的性质、范围、内容和目的后，数据控制处理前评估过程对个人数据保护的影响，即数据保护影响评估(DPIA:DataProtectionImpactAssessment)；《数据安全法》还规定，重要数据的处理者应根据规定定期对其数据处理活动进行风险评估，并向相关主管部门提交风险评估。现在重要数据的范围还不清楚，相信未来会发布配套文件，进一步说明重要数据，灵活就业平台的数据评估路径会更清晰。

《个人信息保护法(草案)》规定，个人信息处理者对下列个人信息的处理活动应事先进行风险评估，并记录处理情况:(1)处理敏感个人信息；(2)利用个人信息自动决策；(3)委托处理个人信息，向第三方提供个人信息，发布个人信息；(4)向国外提供个人信息；以及(5)处理个人信息的其他活动。

从上述国内外规定可以看出，对灵活就业平台而言，定期进行个人信息安全影响评估是非常必要和重要的。

一方面，进行个人信息安全评估，可以规范灵活就业平台的日常业务活动，及时识别风险，及时发现预防措施中的漏洞，降低管理和合规成本；另一方面，个人信息安全评估报告可以帮助灵工了解如何处理和保护个人信息，确保个人数据的知情权，避免可能的高风险数据处理。

但另一方面，个人信息安全评估在灵活就业平台被相关主管部门事后监管调查过程中也起到了重要的参考作用，甚至可以作为决定其处罚范围的裁量因素。

虽然目前市场上有很多昂贵的个人信息安全评估产品，但实际内容比较粗糙，流于形式。有些评估产品提供的检测清单，忽略了在为平台收集数据时，是否根据所提供的业务场景采取了最小必要的原则；对儿童用户等特殊用户也没有特殊的检测路径。使用这种评估产品，对灵活就业平台来说并不算多。

为此，建议灵活就业平台委托专业第三方机构(如律师事务所、安全技术机构、咨询公司等。)进行独立和专业的评估。)，并在购买评估产品和服务时，重点检查评估过程中是否包括评估平台功能描述与收集的最小必要数据是否匹配和隐私政策与系统功能是否一致。

(部分内容源于网络，侵删）

灵工之家、灵活用工、灵活用工平台