第六部分：數(shù)據(jù)影響評估或事前風險評估（DPIA/PIA）的要求

　　“數(shù)據(jù)保護影響評估”是引用自GDPR的規(guī)定，要求數(shù)據(jù)控制者需要對“可能會對自然人的權(quán)利和自由造成高風險”的操作進行數(shù)據(jù)保護影響評估，英文為Data Protection Impact Assessment,簡稱DPIA，有些國家或地區(qū)也稱為“隱私影響評估”（Privacy Impact Assessment，簡稱PIA），主要是指在開始數(shù)據(jù)處理活動之前和在部分特定的情況下，數(shù)據(jù)控制者有義務(wù)對數(shù)據(jù)處理的行為進行不同維度的影響評估，對個人信息主體合法權(quán)益是否可能會造成損害的不同風險進行評估，以幫助企業(yè)對數(shù)據(jù)處理過程中可能涉及的風險進行識別與系統(tǒng)分析。

　　鑒于篇幅有限，本文僅就需要進行DPIA/PIA的情況進行基礎(chǔ)對比，暫不就如何開展DPIA/PIA進行論述，我們或會通過其他文章就怎樣進行數(shù)據(jù)影響評估進行分析。

　?。ㄒ唬┪覈鴤€人信息保護法解讀：

　　在我國個保法出臺前，我國已經(jīng)有相關(guān)的法律以及國家標準指南等文件對“個人信息安全影響評估”作出了規(guī)定，例如《網(wǎng)絡(luò)安全法》要求“關(guān)鍵信息基礎(chǔ)設(shè)施的運營者在中國境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)應當在境內(nèi)存儲。因業(yè)務(wù)需要，確需向境外提供的，應當按照國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定的辦法進行安全評估”；又例如，《數(shù)據(jù)安全法》對“重要數(shù)據(jù)的處理者”作出了“應當按照規(guī)定對其數(shù)據(jù)處理活動定期開展風險評估，并向有關(guān)主管部門報送風險評估報告”的要求；以及國家市場監(jiān)督管理總局、國家標準化管理委員會也通過正式發(fā)布《信息安全技術(shù) 個人信息安全影響評估指南（GB/T39335-2020國家標準）》，來對如何進行個人信息保護影響評估提出了具體的評估規(guī)則和參考內(nèi)容，以便為企業(yè)提供更有效的實務(wù)參考工具和標準。

　　雖然個保法出臺前已經(jīng)有前述關(guān)于“個人信息安全影響評估”的規(guī)定內(nèi)容，但對于大部分非CIIO亦非重要數(shù)據(jù)處理者的企業(yè)來說，由于進行數(shù)據(jù)影響評估屬于非強制性要求，因此較多企業(yè)可能還沒將需要進行數(shù)據(jù)影響評估作為內(nèi)部合規(guī)機制之一。而本次個保法則明確將數(shù)據(jù)影響評估的要求作為強制性法律要求列入，對企業(yè)內(nèi)部合規(guī)制度的建設(shè)提出了更為嚴格的要求。

　　本次個保法沒有就籠統(tǒng)性的場景對需要進行數(shù)據(jù)影響評估作出規(guī)定，而是針對具體的處理活動作為判斷是否需要進行DPIA/PIA的基準點，個人信息處理者應當在數(shù)據(jù)處理活動之前進行數(shù)據(jù)影響評估的情況（事前風險評估）包括：

　　01

　　處理敏感個人信息

　　02

　　利用個人信息進行自動化決策

　　03

　　委托處理個人信息

　　04

　　向其他個人信息處理者提供個人信息

　　05

　　公開個人信息

　　06

　　向境外提供個人信息

　　07

　　以及其他對個人權(quán)益有重大影響的個人信息處理活動

　　不管是否是CIIO，還是重要的數(shù)據(jù)處理者，只要是落入我國個保法立法語境下“個人信息處理者”的范疇，就可以根據(jù)上述法定的情況來判斷是否需要執(zhí)行DPIA/PIA。

　　同時，個保法還對DPIA/PIA應當包括的內(nèi)容作出了明確的規(guī)定：

　　01

　　個人信息的處理目的、處理方式等是否合法、正當、必要；

　　02

　　對個人權(quán)益的影響及安全風險；

　　03

　　所采取的保護措施是否合法、有效并與風險程度相適應。

　　另外，在企業(yè)檔案保管制度要求方面，個保法亦通過明確的法律規(guī)定對企業(yè)提出了具體的保存期限要求，即，個人信息處理者應當對個人信息保護影響報告和處理情況的記錄至少保存三年。

　　（二） 海外主要個人信息保護法律對比：

　　總體來說

　　筆者認為，當企業(yè)涉及處理敏感的、重要的的數(shù)據(jù)時候，將進行數(shù)據(jù)影響評估作為必備的內(nèi)部合規(guī)制度，還是非常必要的。即便通過DPIA/PIA并不能為企業(yè)消除所有的數(shù)據(jù)合規(guī)風險，但卻能在較大程度上幫助企業(yè)最小化與數(shù)據(jù)合規(guī)相關(guān)的風險，以及可以幫助企業(yè)判斷對應的數(shù)據(jù)風險等級，并作出是否接受該等風險的判斷。從GDPR角度而言，DPIA是履行GDPR問責制義務(wù)的關(guān)鍵體現(xiàn)之一；從我國個保法來看，是企業(yè)在部分法定情形下應當進行事前風險評估的強制性要求。

　　總體而言，企業(yè)通過實施并較好地完成數(shù)據(jù)影響評估，不僅能降低各類數(shù)據(jù)潛在風險的發(fā)生，而且能幫助企業(yè)自我證明其在業(yè)務(wù)運營過程中遵守了屬地國/地區(qū)的數(shù)據(jù)保護法律的規(guī)定和要求，企業(yè)亦能根據(jù)數(shù)據(jù)影響評估的結(jié)果采取有效的合規(guī)策略與保障措施。