十國(guó)/地區(qū)數(shù)據(jù)保護(hù)法十大合規(guī)要點(diǎn)對(duì)比 | #6 數(shù)據(jù)影響評(píng)估(DPIA/PIA)要求
2021-09-30
來(lái)源:出海互聯(lián)網(wǎng)法律觀察
第六部分:數(shù)據(jù)影響評(píng)估或事前風(fēng)險(xiǎn)評(píng)估(DPIA/PIA)的要求
“數(shù)據(jù)保護(hù)影響評(píng)估”是引用自GDPR的規(guī)定,要求數(shù)據(jù)控制者需要對(duì)“可能會(huì)對(duì)自然人的權(quán)利和自由造成高風(fēng)險(xiǎn)”的操作進(jìn)行數(shù)據(jù)保護(hù)影響評(píng)估,英文為Data Protection Impact Assessment,簡(jiǎn)稱DPIA,有些國(guó)家或地區(qū)也稱為“隱私影響評(píng)估”(Privacy Impact Assessment,簡(jiǎn)稱PIA),主要是指在開(kāi)始數(shù)據(jù)處理活動(dòng)之前和在部分特定的情況下,數(shù)據(jù)控制者有義務(wù)對(duì)數(shù)據(jù)處理的行為進(jìn)行不同維度的影響評(píng)估,對(duì)個(gè)人信息主體合法權(quán)益是否可能會(huì)造成損害的不同風(fēng)險(xiǎn)進(jìn)行評(píng)估,以幫助企業(yè)對(duì)數(shù)據(jù)處理過(guò)程中可能涉及的風(fēng)險(xiǎn)進(jìn)行識(shí)別與系統(tǒng)分析。
鑒于篇幅有限,本文僅就需要進(jìn)行DPIA/PIA的情況進(jìn)行基礎(chǔ)對(duì)比,暫不就如何開(kāi)展DPIA/PIA進(jìn)行論述,我們或會(huì)通過(guò)其他文章就怎樣進(jìn)行數(shù)據(jù)影響評(píng)估進(jìn)行分析。
?。ㄒ唬┪覈?guó)個(gè)人信息保護(hù)法解讀:
在我國(guó)個(gè)保法出臺(tái)前,我國(guó)已經(jīng)有相關(guān)的法律以及國(guó)家標(biāo)準(zhǔn)指南等文件對(duì)“個(gè)人信息安全影響評(píng)估”作出了規(guī)定,例如《網(wǎng)絡(luò)安全法》要求“關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者在中國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲(chǔ)。因業(yè)務(wù)需要,確需向境外提供的,應(yīng)當(dāng)按照國(guó)家網(wǎng)信部門會(huì)同國(guó)務(wù)院有關(guān)部門制定的辦法進(jìn)行安全評(píng)估”;又例如,《數(shù)據(jù)安全法》對(duì)“重要數(shù)據(jù)的處理者”作出了“應(yīng)當(dāng)按照規(guī)定對(duì)其數(shù)據(jù)處理活動(dòng)定期開(kāi)展風(fēng)險(xiǎn)評(píng)估,并向有關(guān)主管部門報(bào)送風(fēng)險(xiǎn)評(píng)估報(bào)告”的要求;以及國(guó)家市場(chǎng)監(jiān)督管理總局、國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)也通過(guò)正式發(fā)布《信息安全技術(shù) 個(gè)人信息安全影響評(píng)估指南(GB/T39335-2020國(guó)家標(biāo)準(zhǔn))》,來(lái)對(duì)如何進(jìn)行個(gè)人信息保護(hù)影響評(píng)估提出了具體的評(píng)估規(guī)則和參考內(nèi)容,以便為企業(yè)提供更有效的實(shí)務(wù)參考工具和標(biāo)準(zhǔn)。
雖然個(gè)保法出臺(tái)前已經(jīng)有前述關(guān)于“個(gè)人信息安全影響評(píng)估”的規(guī)定內(nèi)容,但對(duì)于大部分非CIIO亦非重要數(shù)據(jù)處理者的企業(yè)來(lái)說(shuō),由于進(jìn)行數(shù)據(jù)影響評(píng)估屬于非強(qiáng)制性要求,因此較多企業(yè)可能還沒(méi)將需要進(jìn)行數(shù)據(jù)影響評(píng)估作為內(nèi)部合規(guī)機(jī)制之一。而本次個(gè)保法則明確將數(shù)據(jù)影響評(píng)估的要求作為強(qiáng)制性法律要求列入,對(duì)企業(yè)內(nèi)部合規(guī)制度的建設(shè)提出了更為嚴(yán)格的要求。
本次個(gè)保法沒(méi)有就籠統(tǒng)性的場(chǎng)景對(duì)需要進(jìn)行數(shù)據(jù)影響評(píng)估作出規(guī)定,而是針對(duì)具體的處理活動(dòng)作為判斷是否需要進(jìn)行DPIA/PIA的基準(zhǔn)點(diǎn),個(gè)人信息處理者應(yīng)當(dāng)在數(shù)據(jù)處理活動(dòng)之前進(jìn)行數(shù)據(jù)影響評(píng)估的情況(事前風(fēng)險(xiǎn)評(píng)估)包括:
01
處理敏感個(gè)人信息
02
利用個(gè)人信息進(jìn)行自動(dòng)化決策
03
委托處理個(gè)人信息
04
向其他個(gè)人信息處理者提供個(gè)人信息
05
公開(kāi)個(gè)人信息
06
向境外提供個(gè)人信息
07
以及其他對(duì)個(gè)人權(quán)益有重大影響的個(gè)人信息處理活動(dòng)
不管是否是CIIO,還是重要的數(shù)據(jù)處理者,只要是落入我國(guó)個(gè)保法立法語(yǔ)境下“個(gè)人信息處理者”的范疇,就可以根據(jù)上述法定的情況來(lái)判斷是否需要執(zhí)行DPIA/PIA。
同時(shí),個(gè)保法還對(duì)DPIA/PIA應(yīng)當(dāng)包括的內(nèi)容作出了明確的規(guī)定:
01
個(gè)人信息的處理目的、處理方式等是否合法、正當(dāng)、必要;
02
對(duì)個(gè)人權(quán)益的影響及安全風(fēng)險(xiǎn);
03
所采取的保護(hù)措施是否合法、有效并與風(fēng)險(xiǎn)程度相適應(yīng)。
另外,在企業(yè)檔案保管制度要求方面,個(gè)保法亦通過(guò)明確的法律規(guī)定對(duì)企業(yè)提出了具體的保存期限要求,即,個(gè)人信息處理者應(yīng)當(dāng)對(duì)個(gè)人信息保護(hù)影響報(bào)告和處理情況的記錄至少保存三年。
(二) 海外主要個(gè)人信息保護(hù)法律對(duì)比:
總體來(lái)說(shuō)
筆者認(rèn)為,當(dāng)企業(yè)涉及處理敏感的、重要的的數(shù)據(jù)時(shí)候,將進(jìn)行數(shù)據(jù)影響評(píng)估作為必備的內(nèi)部合規(guī)制度,還是非常必要的。即便通過(guò)DPIA/PIA并不能為企業(yè)消除所有的數(shù)據(jù)合規(guī)風(fēng)險(xiǎn),但卻能在較大程度上幫助企業(yè)最小化與數(shù)據(jù)合規(guī)相關(guān)的風(fēng)險(xiǎn),以及可以幫助企業(yè)判斷對(duì)應(yīng)的數(shù)據(jù)風(fēng)險(xiǎn)等級(jí),并作出是否接受該等風(fēng)險(xiǎn)的判斷。從GDPR角度而言,DPIA是履行GDPR問(wèn)責(zé)制義務(wù)的關(guān)鍵體現(xiàn)之一;從我國(guó)個(gè)保法來(lái)看,是企業(yè)在部分法定情形下應(yīng)當(dāng)進(jìn)行事前風(fēng)險(xiǎn)評(píng)估的強(qiáng)制性要求。
總體而言,企業(yè)通過(guò)實(shí)施并較好地完成數(shù)據(jù)影響評(píng)估,不僅能降低各類數(shù)據(jù)潛在風(fēng)險(xiǎn)的發(fā)生,而且能幫助企業(yè)自我證明其在業(yè)務(wù)運(yùn)營(yíng)過(guò)程中遵守了屬地國(guó)/地區(qū)的數(shù)據(jù)保護(hù)法律的規(guī)定和要求,企業(yè)亦能根據(jù)數(shù)據(jù)影響評(píng)估的結(jié)果采取有效的合規(guī)策略與保障措施。