一、“個人信息保護影響評估”是風險路徑的直接體現(xiàn)

　　規(guī)范個人信息處理者的信息處理行為，無非是兩個主要路徑。一是直接設定具體的行為規(guī)范。此方面主要體現(xiàn)在《個人信息保護法》第二章“個人信息處理規(guī)則”。這一章對個人信息處理的全生命周期的主要環(huán)節(jié)——“收集、存儲、使用、加工、傳輸、提供、公開、刪除”——逐一給出了規(guī)定動作。首先，開展個人信息處理之前，個人信息處理者需要根據(jù)處理個人信息的目的，確定適當?shù)暮戏ㄐ曰A，即第十三條所規(guī)定的各種情形。其次，針對個人信息處理者選擇個人的同意作為合法性基礎時，第十四至十八條共同規(guī)定了告知的內容和例外、個人的同意形式、同意的撤回、同意的自愿性質等。再次，第十九條規(guī)定了個人信息存儲時間最小化的準則。此外，第二十至二十三條規(guī)定了共同處理、委托處理、向其他個人信息處理者提供其處理的個人信息，以及“因合并、分立、解散、被宣告破產(chǎn)等原因需要轉移個人信息”等不同情形中的行為規(guī)范。《個人信息保護法》第二章的第二節(jié)還專門對“敏感個人信息”的處理規(guī)則做出了規(guī)定。以上種種，均是直接對個人信息行為做出了具體規(guī)范。

　　除了直接的行為規(guī)范之外，不少國家和地區(qū)的個人信息保護相關的法律、法規(guī)、標準的規(guī)定提出了一種“評估式合規(guī)”要求（assessment-based compliance）。這類規(guī)定并沒有針對特定的個人信息處理活動提出明晰、確定的安全控制措施，而是要求組織針對特定個人信息處理活動，開展具體的風險分析并采取與風險相稱的安全控制措施，將對個人信息主體合法權益不利影響的風險降低到可接受的程度，才符合其規(guī)定。我國《個人信息保護法》提出的“個人信息保護影響評估”和歐盟《通用數(shù)據(jù)保護條例》（GDPR）提出的“數(shù)據(jù)保護影響評估”（data protection impact assessment）即為典型的例子。這樣的規(guī)范路徑并不事先設定，而是要求個人信息處理者完成一個完整的風險評估流程，并根據(jù)評估得到的風險自主提出合規(guī)措施。

　　簡單來說，針對某一信息處理環(huán)節(jié)直接設定具體的行為規(guī)范，即直接明確“規(guī)定動作”；而“評估式合規(guī)”要求，則需要個人信息處理者通過風險評估這個“規(guī)定動作”得出合適的“自選動作”。因此，后者是基于“風險路徑”，其核心目的是在一定場景中，超越“靜態(tài)底線式”的個人信息保護合規(guī)，實現(xiàn)有效、全面地掌握信息處理行為對個人合法權益影響的風險變化，有針對性地提出安全保護措施，最終達到動態(tài)優(yōu)化式的權益保護效果。這樣的思路在個人信息處理行為日益復雜化、泛在化、鏈條化的今天，尤為重要。

　　二、“個人信息保護影響評估”符合國際先進實踐

　　其實，風險路徑對信息安全來說并不陌生，信息或網(wǎng)絡安全風險評估已有成熟的實踐，其針對的是組織的IT和數(shù)據(jù)等資產(chǎn)不受來自外界和內部的風險源的破壞。但在個人信息保護的語境下，組織之外的個人是保護重點。因此風險路徑完成了“由內及外”的視角轉換。為了與過去的風險評估相區(qū)別，國際上均采用了影響評估的概念（例如考慮對生態(tài)影響的環(huán)境影響評估），目的是控制組織的信息處理行為對外（即對個人）的影響。

　　GDPR在許多方面貫徹了風險路徑，特別是其第24條對數(shù)據(jù)控制者保護義務的總體性規(guī)定。第24條的第一款規(guī)定：“考慮到數(shù)據(jù)處理的性質、范圍、情境、目的，以及對自然人權利和自由的不同程度和大小的風險，數(shù)據(jù)控制者應采取合適的技術和組織方面的措施，以保證數(shù)據(jù)處理符合GDPR的規(guī)定。這些措施應經(jīng)常評估和更新”。第二款更規(guī)定上述“措施應與數(shù)據(jù)處理的風險合乎比例，應包括在內部建立合適的數(shù)據(jù)保護政策?！憋@然，該條文的寫法也突出風險路徑。用大白話說就是，你要干什么事，就要考慮會對外界造成什么風險；為了降低這些風險，需要提出與面臨風險相稱的保護措施；這些保護措施還必須經(jīng)常評估和更新，以適應風險態(tài)勢的變化。

　　以上是對數(shù)據(jù)處理風險一般性的規(guī)定。對于高風險的數(shù)據(jù)處理行為，GDPR還專門規(guī)定數(shù)據(jù)控制者應當開展數(shù)據(jù)保護影響評估。第35條第一款規(guī)定：“在考慮數(shù)據(jù)處理性質、范圍、情境、目的后，數(shù)據(jù)控制者如認為數(shù)據(jù)處理，特別是采用新技術的處理，可能導致個人權益有較高的風險被侵害的，應在處理前，進行數(shù)據(jù)保護影響評估”。該條第三款還規(guī)定了“在以下場景中，數(shù)據(jù)保護影響評估被特別要求：a）基于自動化數(shù)據(jù)處理，包括數(shù)字畫像，對數(shù)據(jù)主體個人方面開展系統(tǒng)和廣泛的評估，且評估對個人能產(chǎn)生法律效力，或類似重大的影響；b）對特定類別的數(shù)據(jù)進行大規(guī)模處理，或處理與刑事犯罪和刑事起訴相關的個人數(shù)據(jù)的；c）對公開區(qū)域進行大規(guī)模、系統(tǒng)性監(jiān)控的”。開展數(shù)據(jù)保護影響評估的目的，在于督促數(shù)據(jù)控制者主動考慮風險，主動提出降低風險的方案。GDPR還在第36條規(guī)定，“如前述的數(shù)據(jù)安全影響評估表明，數(shù)據(jù)控制者不采取額外措施的話，數(shù)據(jù)處理將帶來較高的風險，則數(shù)據(jù)控制者應在數(shù)據(jù)處理開始前，征求監(jiān)管機構的意見?！?/p>

　　除了歐盟之外，日本、澳大利亞、加拿大、巴西、印度、新加坡、英國等主要國家的個人信息保護法律中，都有“個人信息保護影響評估”的類似規(guī)定。即便是尚未在聯(lián)邦層面制定統(tǒng)一性的個人信息保護法律的美國，也在加州、弗吉尼亞州等州隱私立法方面，確立了類似隱私影響評估的制度。

　　三、“個人信息保護影響評估”具有科學的實施基礎

　　我國《個人信息保護法》第五十五條規(guī)定了應當開展“個人信息保護影響評估”的情形，具體包括：（一）處理敏感個人信息；（二）利用個人信息進行自動化決策；（三）委托處理個人信息、向其他個人信息處理者提供個人信息、公開個人信息；（四）向境外提供個人信息；（五）其他對個人權益有重大影響的個人信息處理活動。第五十六條規(guī)定了評估的內容：（一）個人信息的處理目的、處理方式等是否合法、正當、必要；（二）對個人權益的影響及安全風險；（三）所采取的安全保護措施是否合法、有效并與風險程度相適應。并進一步規(guī)定了個人信息保護影響評估報告和處理情況記錄應當至少保存三年。為了落實上述規(guī)定，個人信息處理者顯然需要開展“個人信息保護影響評估”的操作指引，特別是開展評估的方法論。

　　2020年11月發(fā)布并于2021年6月1日生效的國家標準《信息安全技術 個人信息安全影響評估指南》（GB/T 39335-2020）恰好為《個人信息保護法》第五十五和五十六條的實施提供了堅實且科學的基礎。【《個人信息安全影響評估指南》（GB/T 39335-2020）正式發(fā)布】該標準歸口于全國信息安全技術標準委員會（TC260），制定時間超過兩年，并充分借鑒了美、歐等國家和地區(qū)最新的法律規(guī)定、制度設計、標準文本和實踐做法，例如我國《個人信息保護法（草案）》、ISO/IEC 29134:2017《隱私影響評估指南》、歐盟數(shù)據(jù)保護委員會（EDPB）的數(shù)據(jù)保護影響評估指南（WP248）、法國國家信息自由委員會（CNIL）的隱私影響評估指南和工具、美國國家標準技術研究所（NIST）關于隱私影響評估的標準文件等。

　　就內容而言，《個人信息安全影響評估指南》主要包括評估原理（第四章）、評估實施流程（第五章）、評估性合規(guī)的示例及評估要點（附錄A）、高風險的個人信息處理活動示例（附錄B）、個人信息安全影響評估常用工具表（附錄C）等。其核心思路是從網(wǎng)絡環(huán)境和技術措施、個人信息處理流程、參與人員與第三方、業(yè)務特點和規(guī)模及安全態(tài)勢等四個可能存在風險或發(fā)生安全事件的維度出發(fā)，評估可能對個人權益造成的影響以及風險。具體而言，《個人信息安全影響評估指南》進一步將個人權益影響細分四個方面：一是，限制個人自主決定權，比如被強迫執(zhí)行不愿執(zhí)行的操作、無法更正錯誤上傳的個人信息、無法選擇推送廣告的種類、被蓄意推送影響個人價值觀判斷的資訊；二是，引發(fā)差別性待遇，比如隱私信息（疾病、婚史、種族等）泄露造成的歧視、故意設置個人福利、資格、權利的差別等；三是，個人名譽受損或遭受精神壓力，比如公開不愿為人知的事實（生活習慣、以往經(jīng)歷等），被頻繁騷擾、監(jiān)視追蹤等；四是，個人財產(chǎn)受損或遭受人身傷害，比如賬戶被盜、遭受詐騙、被勒索恐嚇、限制自由等。

　　事實上，在標準報批稿階段，標準編制組還在2019年底選取了電子商務、金融、餐飲外賣、新聞資訊、車聯(lián)網(wǎng)、SDK、智能家居等多種業(yè)態(tài)及場景，吸納了10余家企業(yè)開展試點，對標準條款合理性和可操作性等進行驗證，進一步保障我國法定的“個人信息保護影響評估”的實施落地。

　　四、總結

　　開展個人信息保護工作的根本目的，在于避免個人信息收集、使用等處理行為對個人信息主體的合法權益造成損害。我國《個人信息保護法》將“個人信息保護影響評估”作為一種特定場景下的事前預防機制，幫助個人信息處理者在業(yè)務開展之前，通過盡早考慮、分析和處理個人信息保護問題，識別對個人信息主體權益的不利影響，實施有針對性的保護措施。除了對個人的保護之外，“個人信息保護影響評估”能夠降低個人信息處理者的管理成本、法律風險以及潛在的聲譽或公眾信任問題。此外，個人信息保護影響評估也能夠幫助個人信息處理者在政府、相關機構或商業(yè)伙伴的合規(guī)性審計或調查中證明其遵守了個人信息與數(shù)據(jù)保護法律、法規(guī)和標準的要求。在發(fā)生個人信息安全風險或違規(guī)事件時，個人信息保護影響評估的制度及記錄評估過程和結果的報告有利于證明處理者已經(jīng)采取適當措施試圖防止上述情況發(fā)生，有助于減輕、甚至免除相關責任和名譽損失。因此，無論是對個人，還是處理者本身，“個人信息保護影響評估”均有重要的意義。善用我國《個人信息保護法》中這個創(chuàng)新性的靈活保護工具，能夠有效地實現(xiàn)業(yè)務發(fā)展和個人保護之間的平衡。（完）