第六部分：數(shù)據(jù)影響評估或事前風險評估（DPIA/PIA）的要求

　　“數(shù)據(jù)保護影響評估”是引用自GDPR的規(guī)定，要求數(shù)據(jù)控制者需要對“可能會對自然人的權(quán)利和自由造成高風險”的操作進行數(shù)據(jù)保護影響評估，英文為Data Protection Impact Assessment,簡稱DPIA，有些國家或地區(qū)也稱為“隱私影響評估”（Privacy Impact Assessment，簡稱PIA），主要是指在開始數(shù)據(jù)處理活動之前和在部分特定的情況下，數(shù)據(jù)控制者有義務(wù)對數(shù)據(jù)處理的行為進行不同維度的影響評估，對個人信息主體合法權(quán)益是否可能會造成損害的不同風險進行評估，以幫助企業(yè)對數(shù)據(jù)處理過程中可能涉及的風險進行識別與系統(tǒng)分析。

　　鑒于篇幅有限，本文僅就需要進行DPIA/PIA的情況進行基礎(chǔ)對比，暫不就如何開展DPIA/PIA進行論述，我們或會通過其他文章就怎樣進行數(shù)據(jù)影響評估進行分析。

　　（一）我國個人信息保護法解讀：

　　在我國個保法出臺前，我國已經(jīng)有相關(guān)的法律以及國家標準指南等文件對“個人信息安全影響評估”作出了規(guī)定，例如《網(wǎng)絡(luò)安全法》要求“關(guān)鍵信息基礎(chǔ)設(shè)施的運營者在中國境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)應(yīng)當在境內(nèi)存儲。因業(yè)務(wù)需要，確需向境外提供的，應(yīng)當按照國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定的辦法進行安全評估”；又例如，《數(shù)據(jù)安全法》對“重要數(shù)據(jù)的處理者”作出了“應(yīng)當按照規(guī)定對其數(shù)據(jù)處理活動定期開展風險評估，并向有關(guān)主管部門報送風險評估報告”的要求；以及國家市場監(jiān)督管理總局、國家標準化管理委員會也通過正式發(fā)布《信息安全技術(shù) 個人信息安全影響評估指南（GB/T39335-2020國家標準）》，來對如何進行個人信息保護影響評估提出了具體的評估規(guī)則和參考內(nèi)容，以便為企業(yè)提供更有效的實務(wù)參考工具和標準。

　　雖然個保法出臺前已經(jīng)有前述關(guān)于“個人信息安全影響評估”的規(guī)定內(nèi)容，但對于大部分非CIIO亦非重要數(shù)據(jù)處理者的企業(yè)來說，由于進行數(shù)據(jù)影響評估屬于非強制性要求，因此較多企業(yè)可能還沒將需要進行數(shù)據(jù)影響評估作為內(nèi)部合規(guī)機制之一。而本次個保法則明確將數(shù)據(jù)影響評估的要求作為強制性法律要求列入，對企業(yè)內(nèi)部合規(guī)制度的建設(shè)提出了更為嚴格的要求。

　　本次個保法沒有就籠統(tǒng)性的場景對需要進行數(shù)據(jù)影響評估作出規(guī)定，而是針對具體的處理活動作為判斷是否需要進行DPIA/PIA的基準點，個人信息處理者應(yīng)當在數(shù)據(jù)處理活動之前進行數(shù)據(jù)影響評估的情況（事前風險評估）包括：

　　01

　　處理敏感個人信息

　　02

　　利用個人信息進行自動化決策

　　03

　　委托處理個人信息

　　04

　　向其他個人信息處理者提供個人信息

　　05

　　公開個人信息

　　06

　　向境外提供個人信息

　　07

　　以及其他對個人權(quán)益有重大影響的個人信息處理活動

　　不管是否是CIIO，還是重要的數(shù)據(jù)處理者，只要是落入我國個保法立法語境下“個人信息處理者”的范疇，就可以根據(jù)上述法定的情況來判斷是否需要執(zhí)行DPIA/PIA。

　　同時，個保法還對DPIA/PIA應(yīng)當包括的內(nèi)容作出了明確的規(guī)定：

　　01

　　個人信息的處理目的、處理方式等是否合法、正當、必要；

　　02

　　對個人權(quán)益的影響及安全風險；

　　03

　　所采取的保護措施是否合法、有效并與風險程度相適應(yīng)。

　　另外，在企業(yè)檔案保管制度要求方面，個保法亦通過明確的法律規(guī)定對企業(yè)提出了具體的保存期限要求，即，個人信息處理者應(yīng)當對個人信息保護影響報告和處理情況的記錄至少保存三年。

　?。ǘ?海外主要個人信息保護法律對比：

　　總體來說

　　筆者認為，當企業(yè)涉及處理敏感的、重要的的數(shù)據(jù)時候，將進行數(shù)據(jù)影響評估作為必備的內(nèi)部合規(guī)制度，還是非常必要的。即便通過DPIA/PIA并不能為企業(yè)消除所有的數(shù)據(jù)合規(guī)風險，但卻能在較大程度上幫助企業(yè)最小化與數(shù)據(jù)合規(guī)相關(guān)的風險，以及可以幫助企業(yè)判斷對應(yīng)的數(shù)據(jù)風險等級，并作出是否接受該等風險的判斷。從GDPR角度而言，DPIA是履行GDPR問責制義務(wù)的關(guān)鍵體現(xiàn)之一；從我國個保法來看，是企業(yè)在部分法定情形下應(yīng)當進行事前風險評估的強制性要求。

　　總體而言，企業(yè)通過實施并較好地完成數(shù)據(jù)影響評估，不僅能降低各類數(shù)據(jù)潛在風險的發(fā)生，而且能幫助企業(yè)自我證明其在業(yè)務(wù)運營過程中遵守了屬地國/地區(qū)的數(shù)據(jù)保護法律的規(guī)定和要求，企業(yè)亦能根據(jù)數(shù)據(jù)影響評估的結(jié)果采取有效的合規(guī)策略與保障措施。