解析个人信息保护影响评估

一、个人信息保护影响评估的概念及范围（What）

什么是“个人信息保护影响评估”？如何理解？“个人信息保护影响评估”的概念未在我国高位阶的法律规定中明确，其历经从观念到实践的演变，逐渐形成业界普遍认可的系统性评估方法，被视为“个人数据及隐私保护”领域进行风险管理及政策制定的重要程序/方法。简单来说，“个人信息保护影响评估”就是企业、政府等个人数据控制者/处理者在特定类型的个人信息处理情形下针对相关操作处理是否符合法律规定进行系统评估的合规实践方法和风险评估程序。

从使用场景看：一般适用于拟进行的个人信息处理活动可能对自然人的个人信息权益带来“高风险”的情况。触发点通常包含如下“高风险”情形：（具体条款及要求清单，可参考文末checklist）

从评估的目标看：重点是基于对内部操作中“高风险”的评估及识别，帮助企业及利益相关方对“高风险”的操作处理作出调整、控制或转移高风险，尽可能的避免及减少因前述错误操作处理带来的不合规风险（例如在法律符合性、信息主体权益保护、个人信息安全上会否带来现实的/潜在的负面影响），甚至延伸至可能的业务连续性风险，企业声誉受损的重大不利后果。

“个人信息保护影响评估”是个人信息处理者在个保法项下的关键合规义务：

1. 我国《个人信息保护法》第55、56条明文规定了处理者对于各种“高风险”的个人信息处理活动负有进行“个人信息保护影响评估”并对处理情况进行“记录”的义务。【参考文末“个保法、GDPR条款对照”表】

2. 在其他国家/地区的个人数据保护立法或政策中也有类似要求，形式上或者是对“个人数据保护影响评估”观念进行吸收，或是直接以立法方式规定个人数据控制者/处理者在特定数据处理类型下应当事先开展个人信息影响评估。例如：

欧盟合规实践已将“个人数据保护影响评估”（Data Protection Impact Assessment, DPIA）作为实施项目管理及风险管理的方法及政策；

英国信息专员办公室（ICO）支持企业使用DPIAs作为“最佳实践”工具，并发布了与DPIA实施相关的指南；

德国联邦信息安全局（BSI）发布的关于无线射频识别数据安全与保护（RFID）中也采纳了DPIAs的观念等。

二、为什么做“个人信息保护影响评估”（Why）

1. 企业视角：

企业因业务发展需要，适应外部法律环境、新情况、新业态变化；

全球及主要经济区个人数据保护执法及政府监管态势趋严，加速“个人信息保护影响评估”（DPIA）、“自设计开始和默认的隐私保护”（PbD）等合规实践被立法及业界认可和接受，逐步转化、落地；

我国个保法框架下，企业可以考虑从以下“四个维度”理解为什么要做“个人信息影响评估”：

-合规义务层面，影响评估是个保法规定的个人信息处理者的关键合规义务，是满足法律合规要求所必需的评估工具。

-执法/司法层面，影响评估报告及处理记录是企业在面临数据安全及个人信息保护相关的监管、政府检查、内外部审计、信息安全应急事件、司法诉讼时，证明其履行合规义务的重要证据。

-风险管理层面，影响评估是企业内部进行个人信息保护/数据安全风险管理的重要方法及评估工具，为管理层进一步作出有效决策及采取适当措施降低风险创造了条件。

-信赖关系层面，仔细考虑并实施影响评估的企业有助于提升其与消费者、雇员的信任关系，维持并满足双方建立的信赖预期。

2. 政府等公共部门视角：

政府机关等公共部门在进行“高风险”处理活动前开展“个人信息影响评估”是正当性、合理的、经济的选择，有助于及时预判风险、确保处理行为合规，以便在潜在的或现实的损害发生时/之前能让高风险进入“缓冲带”，为采取保护措施从而转移/降低风险争取空间。

典型的场景如政府机构拟建设政务平台或者推广通用应用程序，引导多家信息处理者接入同一应用程序，或者使用新技术或者新应用以优化政务信息处理方式和效率，此类情形下，事前引入影响评估都将有效减缓或避免发生个人信息保护相关不合规风险和信用危机。

3. 不同语境中的“风险评估“”影响评估“”合规评估”有何不同？

从实务角度观察，主要经济区/司法管辖区在其法律文件中，对数据控制者提出了形式多样的风险评估合规要求。虽然这些评估要求在关注点及具体操作要求上有差异，但是观念和设计原理基本相同。因此，需要企业根据实际情况判断、选择合适的评估类型、要素，做好评估报告和记录。

个人数据涉及的评估类型简要梳理如下：

值得注意的是，风险评估、影响评估与合规评估属于中间性质的管理过程，目的是服务背后的组织目标，几种评估类型既可以分开使用，也可以在设计之初被更高层级的框架所规定，放入某个/些模块使用。“自下而上”的分开使用比较常用，“自上而下”由统一的框架进行规定也开始出现，从近年来国内外大型科技企业（主要是跨国公司和头部企业）公开发布的隐私保护治理报告中可以看到这种发展趋势，即因服务于公司的整体战略而将不同类型评估及管理工具结合到统一的治理框架中，例如华为公司的隐私保护治理框架，以及亚马逊公司将治理、风险与合规（GRC）整合的结构化方法等等。

我国网络安全法、数据安全法、个保法等法律文件中，也包含诸多“风险评估”“影响评估”“合规评估”相关名词，在实务中往往需仔细区分不同组织目标、法律语境和上下文来理解和辨别适用条件，都为律师服务提出了较高的要求和挑战。

三、个人信息保护影响评估的适用情形——如何判断“高风险”（When）

我国的个人信息保护影响评估采取了基于风险路径的个人信息保护模式，体现了个人信息保护模式从事后监管向基于风险管理为主的模式转变。

理解个保法第55条的适用情形——哪些情形“必须做”“不必做”“可以做/不做”——关键在于清晰判断待处理活动是否对个人权益构成“高风险/类似的高风险”，以及何时、何种情形会触发“高风险”。

如果企业在个保法框架内判断是否“高风险”及是否必要适用影响评估时，我们建议可参考如下思路作初筛和判断：

（1）该处理操作是否属于个保法55条规定的法定适用情形，如果属于，则适用影响评估；

（2）如果不属于，可参考行业通用判断为“高风险”的典型情形（例如GB/T35273第11.4，GB/T39335附录B），或者监管机构发出的需要影响评估的相关指引，判断评估必要性。

（3）如果不属于上述1）～2）两种情形，可不进行影响评估。

（4）如遇复杂的处理活动难以判断是否为“高风险”，建议咨询外部顾问或者数据保护专业人士及监管机构的意见。

此外，在判断影响评估必要性时追问以下问题，也可帮助形成对适用条件及场景的清晰判断：

（1）拟执行的操作处理是否会带来“高风险”，以及如何界定风险等级？

（2）是否存在高风险就必须要做影响评估？

（3）是否有可采取的技术或组织措施可以及时消除/避免高风险发生？

（4）当条件发生变化时，该操作处理是否仍然处于“高风险”？

（5）谁来做？何时做？如何做？

四、个人信息保护影响评估的内容、流程及方法（How）

1. 评估内容

根据个保法第56条第1款规定，评估内容包括：

（一）个人信息的处理目的、处理方式等是否合法、正当、必要；

（二）对个人权益的影响及安全风险；

（三）所采取的保护措施是否合法、有效并与风险程度相适应。

对 “个人权益的影响及安全风险”的分析，还可进一步参照《信息安全技术 个人信息安全影响评估指南》（GB/T39335-2020）第5.5“个人权益影响分析”及5.6“安全风险综合分析”，并围绕“限制个人自主决定权”“引发差别性待遇”“个人名誉受损或遭受精神压力”“人身财产受损”四个维度展开。

2. 评估方法

评估方法无统一规定，实践中相对开放灵活。由于不同企业的组织架构、决策习惯、文化理念、业务内容、客户群体、数字化程度、特色等等不尽相同，大企业和小企业都可以在个保法框架内找到适合自己的“最优解”，确保既满足基本的评估内容，同时又能匹配企业特色促成实效。

评估原理及方法简要梳理如下（仅部分举例），供大家参考：

如《信息安全技术 个人信息安全影响评估指南》GB/T 39335-2020中个人信息安全影响评估“基本原理”，如图所示：

（图片来源：《信息安全技术 个人信息安全影响评估指南》GB/T 39335-2020）

如《信息安全技术 个人信息安全影响评估指南》GB/T 39335-2020中个人信息安全影响评估“一般流程”如下：

五、总结建议：如何实施“个人保护影响评估”

最后，为帮助企业适应新的合规及监管要求提供参考建议，为大家总结了如何实施个人信息保护影响评估的通用步骤，以及梳理了我国PIPL、欧盟GDPR相关条款对照表，供各位参考。

实施个人信息保护影响评估的通用步骤及参考要素图文总结如下：

我国个保法与欧盟GDPR中“个人信息保护影响评估”条款对照总结如下：