第六部分：數(shù)據(jù)影響評估或事前風(fēng)險(xiǎn)評估（DPIA/PIA）的要求

　　“數(shù)據(jù)保護(hù)影響評估”是引用自GDPR的規(guī)定，要求數(shù)據(jù)控制者需要對“可能會對自然人的權(quán)利和自由造成高風(fēng)險(xiǎn)”的操作進(jìn)行數(shù)據(jù)保護(hù)影響評估，英文為Data Protection Impact Assessment,簡稱DPIA，有些國家或地區(qū)也稱為“隱私影響評估”（Privacy Impact Assessment，簡稱PIA），主要是指在開始數(shù)據(jù)處理活動之前和在部分特定的情況下，數(shù)據(jù)控制者有義務(wù)對數(shù)據(jù)處理的行為進(jìn)行不同維度的影響評估，對個人信息主體合法權(quán)益是否可能會造成損害的不同風(fēng)險(xiǎn)進(jìn)行評估，以幫助企業(yè)對數(shù)據(jù)處理過程中可能涉及的風(fēng)險(xiǎn)進(jìn)行識別與系統(tǒng)分析。

　　鑒于篇幅有限，本文僅就需要進(jìn)行DPIA/PIA的情況進(jìn)行基礎(chǔ)對比，暫不就如何開展DPIA/PIA進(jìn)行論述，我們或會通過其他文章就怎樣進(jìn)行數(shù)據(jù)影響評估進(jìn)行分析。

　　（一）我國個人信息保護(hù)法解讀：

　　在我國個保法出臺前，我國已經(jīng)有相關(guān)的法律以及國家標(biāo)準(zhǔn)指南等文件對“個人信息安全影響評估”作出了規(guī)定，例如《網(wǎng)絡(luò)安全法》要求“關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者在中國境內(nèi)運(yùn)營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲。因業(yè)務(wù)需要，確需向境外提供的，應(yīng)當(dāng)按照國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定的辦法進(jìn)行安全評估”；又例如，《數(shù)據(jù)安全法》對“重要數(shù)據(jù)的處理者”作出了“應(yīng)當(dāng)按照規(guī)定對其數(shù)據(jù)處理活動定期開展風(fēng)險(xiǎn)評估，并向有關(guān)主管部門報(bào)送風(fēng)險(xiǎn)評估報(bào)告”的要求；以及國家市場監(jiān)督管理總局、國家標(biāo)準(zhǔn)化管理委員會也通過正式發(fā)布《信息安全技術(shù) 個人信息安全影響評估指南（GB/T39335-2020國家標(biāo)準(zhǔn)）》，來對如何進(jìn)行個人信息保護(hù)影響評估提出了具體的評估規(guī)則和參考內(nèi)容，以便為企業(yè)提供更有效的實(shí)務(wù)參考工具和標(biāo)準(zhǔn)。

　　雖然個保法出臺前已經(jīng)有前述關(guān)于“個人信息安全影響評估”的規(guī)定內(nèi)容，但對于大部分非CIIO亦非重要數(shù)據(jù)處理者的企業(yè)來說，由于進(jìn)行數(shù)據(jù)影響評估屬于非強(qiáng)制性要求，因此較多企業(yè)可能還沒將需要進(jìn)行數(shù)據(jù)影響評估作為內(nèi)部合規(guī)機(jī)制之一。而本次個保法則明確將數(shù)據(jù)影響評估的要求作為強(qiáng)制性法律要求列入，對企業(yè)內(nèi)部合規(guī)制度的建設(shè)提出了更為嚴(yán)格的要求。

　　本次個保法沒有就籠統(tǒng)性的場景對需要進(jìn)行數(shù)據(jù)影響評估作出規(guī)定，而是針對具體的處理活動作為判斷是否需要進(jìn)行DPIA/PIA的基準(zhǔn)點(diǎn)，個人信息處理者應(yīng)當(dāng)在數(shù)據(jù)處理活動之前進(jìn)行數(shù)據(jù)影響評估的情況（事前風(fēng)險(xiǎn)評估）包括：

　　01

　　處理敏感個人信息

　　02

　　利用個人信息進(jìn)行自動化決策

　　03

　　委托處理個人信息

　　04

　　向其他個人信息處理者提供個人信息

　　05

　　公開個人信息

　　06

　　向境外提供個人信息

　　07

　　以及其他對個人權(quán)益有重大影響的個人信息處理活動

　　不管是否是CIIO，還是重要的數(shù)據(jù)處理者，只要是落入我國個保法立法語境下“個人信息處理者”的范疇，就可以根據(jù)上述法定的情況來判斷是否需要執(zhí)行DPIA/PIA。

　　同時，個保法還對DPIA/PIA應(yīng)當(dāng)包括的內(nèi)容作出了明確的規(guī)定：

　　01

　　個人信息的處理目的、處理方式等是否合法、正當(dāng)、必要；

　　02

　　對個人權(quán)益的影響及安全風(fēng)險(xiǎn)；

　　03

　　所采取的保護(hù)措施是否合法、有效并與風(fēng)險(xiǎn)程度相適應(yīng)。

　　另外，在企業(yè)檔案保管制度要求方面，個保法亦通過明確的法律規(guī)定對企業(yè)提出了具體的保存期限要求，即，個人信息處理者應(yīng)當(dāng)對個人信息保護(hù)影響報(bào)告和處理情況的記錄至少保存三年。

　?。ǘ?海外主要個人信息保護(hù)法律對比：

　　總體來說

　　筆者認(rèn)為，當(dāng)企業(yè)涉及處理敏感的、重要的的數(shù)據(jù)時候，將進(jìn)行數(shù)據(jù)影響評估作為必備的內(nèi)部合規(guī)制度，還是非常必要的。即便通過DPIA/PIA并不能為企業(yè)消除所有的數(shù)據(jù)合規(guī)風(fēng)險(xiǎn)，但卻能在較大程度上幫助企業(yè)最小化與數(shù)據(jù)合規(guī)相關(guān)的風(fēng)險(xiǎn)，以及可以幫助企業(yè)判斷對應(yīng)的數(shù)據(jù)風(fēng)險(xiǎn)等級，并作出是否接受該等風(fēng)險(xiǎn)的判斷。從GDPR角度而言，DPIA是履行GDPR問責(zé)制義務(wù)的關(guān)鍵體現(xiàn)之一；從我國個保法來看，是企業(yè)在部分法定情形下應(yīng)當(dāng)進(jìn)行事前風(fēng)險(xiǎn)評估的強(qiáng)制性要求。

　　總體而言，企業(yè)通過實(shí)施并較好地完成數(shù)據(jù)影響評估，不僅能降低各類數(shù)據(jù)潛在風(fēng)險(xiǎn)的發(fā)生，而且能幫助企業(yè)自我證明其在業(yè)務(wù)運(yùn)營過程中遵守了屬地國/地區(qū)的數(shù)據(jù)保護(hù)法律的規(guī)定和要求，企業(yè)亦能根據(jù)數(shù)據(jù)影響評估的結(jié)果采取有效的合規(guī)策略與保障措施。