经过多年的酝酿，2021年8月20日，万众瞩目的《个人信息保护法》正式颁布，并将自2021年11月1日起正式施行。整体看来，《个人信息保护法》构建了完整的个人信息保护框架，为个人信息处理活动提供了明确的法律依据，为个人维护其信息权益提供了充分保障，为企业合规处理提供了操作指引。

本文将从《个人信息保护法》第五十五和五十六条所规定的“个人信息保护影响评估”入手，剖析该创新性制度在保护个人信息权益，规范个人信息处理活动，促进个人信息合理利用方面的重要作用。

“个人信息保护影响评估”是风险路径的直接体现

对于个人信息处理者的信息处理行为，主要有两种规制路径：

其一是对个人信息处理者信息处理行为进行具体的行为规制，如《个人信息保护法》第二章中对于包括“收集、存储、使用、加工、传输、提供、公开、删除”在内的个人信息处理的重要环节都进行了规制。具体而言，个人信息处理者在开展个人信息处理行为前，应当依照《个人信息保护法》第十三条规定的情形，根据处理个人信息的目的确定适当的合法性基础。再如，个人信息处理者在将个人的同意作为处理个人信息处理行为的合法性基础时，《个人信息保护法》规定，其应当依照第十四至十八条关于告知的内容和例外、个人的同意形式、同意的撤回、同意的自愿性质等进行确定。此外，第十九条规定，个人信息处理者在处理个人信息时，应当遵循确定的个人信息存储时间最小化的准则。另外，《个人信息保护法》第二十至二十三条也对共同处理、委托处理、向其他个人信息处理者提供其处理的个人信息，以及“因合并、分立、解散、被宣告破产等原因需要转移个人信息”等不同情形进行了相对应的规制。而对于“敏感个人信息”的处理规则，《个人信息保护法》也在第二章第二节中作出了具体规定。

其二是对个人信息处理者的信息处理行为提出一种“评估式合规”要求（assessment-based compliance）。在这方面，不少国家和地区都颁布了相关的法律法规及标准。我国《个人信息保护法》提出的“个人信息保护影响评估”和欧盟《通用数据保护条例》（GDPR）提出的“数据保护影响评估”（data protection impact assessment）即为典型的例子。“评估式合规”并没有针对特定的个人信息处理活动提出明晰、确定的安全控制措施，而是要求组织针对特定个人信息处理活动，开展具体的风险分析，并采取与风险相称的安全控制措施，将对个人信息主体合法权益不利影响的风险降低到可接受的程度。相比于直接设定具体行为规范的规制路径，这种“评估式合规”的规范路径并非事先设定的，而是要求个人信息处理者在完成一个完整的风险评估流程后再提出具体的合规措施。简单来说，针对某一信息处理环节直接设定具体的行为规范，即直接明确“规定动作”；而“评估式合规”要求，则需要个人信息处理者通过风险评估这个“规定动作”得出合适的“自选动作”。因此，后者是基于“风险路径”，其核心目的是在一定场景中，超越“静态底线式”的个人信息保护合规，有效、全面地掌握信息处理行为对个人合法权益影响的风险变化，有针对性地提出安全保护措施，最终达到动态优化式的权益保护效果。这样的思路在个人信息处理行为日益复杂化、泛在化、链条化的今天尤为重要。

“个人信息保护影响评估”符合国际先进实践

事实上，信息安全中的风险路径已经有了成熟的实践，主要表现为针对组织的IT和数据等资产不受来自外界和内部的风险源的破坏的信息或网络安全风险评估。具体到个人信息保护中，相比于组织，个人是其保护重点。而与此相结合，风险路径也进行了“由内及外”的转换。对于风险评估概念，国际上均采用了影响评估这一概念（例如考虑对生态影响的环境影响评估），而这主要是为了控制组织的信息处理行为对外（即对个人）的影响。

欧盟GDPR对风险路径的贯彻体现在许多方面，其中第二十四条尤为突出。GDPR第二十四条主要对数据控制者保护义务做了总体性规定，其第一款规定：“考虑到数据处理的性质、范围、情境、目的，以及对自然人权利和自由的不同程度和大小的风险，数据控制者应采取合适的技术和组织方面的措施，以保证数据处理符合GDPR的规定。这些措施应经常评估和更新。”第二款进一步规定，“措施应与数据处理的风险合乎比例，应包括在内部建立合适的数据保护政策”。通俗来说，就是行为人在做出某种行为之前，需要考虑该行为可能造成的风险，并提出相称的保护措施，同时为适应新形势的变化，应当经常评估和更新这些保护措施。

除了上述对于数据处理风险的一般性规定，GDPR中还对数据控制者开展高风险数据处理行为进行了规定，要求其应当开展数据保护影响评估。GDPR第二十四条第一款规定：“在考虑数据处理性质、范围、情境、目的后，数据控制者如认为数据处理，特别是采用新技术的处理，可能导致个人权益有较高的风险被侵害的，应在处理前，进行数据保护影响评估。”该条第三款还规定，“在以下场景中，数据保护影响评估被特别要求：a)基于自动化数据处理，包括数字画像，对数据主体个人方面开展系统和广泛的评估，且评估对个人能产生法律效力或类似重大的影响；b)对特定类别的数据进行大规模处理，或处理与刑事犯罪和刑事起诉相关的个人数据的；c)对公开区域进行大规模、系统性监控的。”此外，GDPR第三十六条也规定，“如前述的数据安全影响评估表明，数据控制者不采取额外措施的话，数据处理将带来较高的风险，则数据控制者应在数据处理开始前，征求监管机构的意见。”可以看出，开展数据保护影响评估的目的主要在于督促数据控制者主动考虑风险，并主动提出降低风险的方案。

针对“个人信息保护影响评估”，除欧盟外，日本、澳大利亚、加拿大、巴西、印度、新加坡、英国等主要国家也进行了相关法律规制。美国虽然并未在联邦层面制定统一性的个人信息保护法律，但加利福尼亚、弗吉尼亚等州在隐私立法方面也确立了与欧盟类似的隐私影响评估制度。

“个人信息保护影响评估”具有科学的实施基础

我国对于个人信息影响评估的规定，主要体现在《个人信息保护法》第五十五条中，其中具体规定了应当开展“个人信息保护影响评估”的情形，包括：“（一）处理敏感个人信息；（二）利用个人信息进行自动化决策；（三）委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息；（四）向境外提供个人信息；（五）其他对个人权益有重大影响的个人信息处理活动。”第五十六条规定了评估的内容，即“（一）个人信息的处理目的、处理方式等是否合法、正当、必要；（二）对个人权益的影响及安全风险；（三）所采取的安全保护措施是否合法、有效并与风险程度相适应”，并进一步规定“个人信息保护影响评估报告和处理情况记录应当至少保存三年”。为了落实上述规定，个人信息处理者显然需要做出针对个人信息保护影响评估的操作指引，特别是开展相关方法论分析。

2020年11月发布、2021年6月1日生效的国家标准《信息安全技术 个人信息安全影响评估指南》（GB/T 39335-2020），为《个人信息保护法》第五十五和五十六条的实施提供了坚实、科学的基础。该标准归口于全国信息安全技术标准委员会（TC260），制定时间超过两年，并充分借鉴了美、欧等国家和地区最新的法律规定、制度设计、标准文本和实践做法，例如我国《个人信息保护法（草案）》、ISO/IEC 29134:2017《隐私影响评估指南》、欧盟数据保护委员会（EDPB）的数据保护影响评估指南（WP248）、法国国家信息自由委员会（CNIL）的隐私影响评估指南和工具、美国国家标准技术研究所（NIST）关于隐私影响评估的标准文件等。

就内容而言，《信息安全技术 个人信息安全影响评估指南》主要包括评估原理（第四章）、评估实施流程（第五章）、评估性合规的示例及评估要点（附录A）、高风险的个人信息处理活动示例（附录B）、个人信息安全影响评估常用工具表（附录C）等，其核心思路是从网络环境和技术措施、个人信息处理流程、参与人员与第三方、业务特点和规模及安全态势四个可能存在风险或发生安全事件的维度出发，评估可能对个人权益造成的影响以及风险。具体而言，《个人信息安全影响评估指南》进一步将个人权益影响细分四个方面：第一，影响个人自主决定权，比如被强迫执行不愿执行的操作、无法更正错误上传的个人信息、无法选择推送广告的种类、被蓄意推送影响个人价值观判断的资讯；第二，引发差别性待遇，比如隐私信息（疾病、婚史、种族等）泄露造成的歧视，故意设置个人福利、资格、权利的差别等；第三，个人名誉受损或遭受精神压力，比如公开不愿为人知的事实（生活习惯、以往经历等），被频繁骚扰、监视追踪等；第四，个人财产受损或遭受人身伤害，比如账户被盗、遭受诈骗、被勒索恐吓、限制自由等。

事实上，在该标准报批稿阶段，标准编制组还在2020年初选取了电子商务、金融、餐饮外卖、新闻资讯、车联网、SDK、智能家居等多种业态及场景，吸纳了十余家企业开展试点，对标准条款的合理性和可操作性进行验证，有力地保障了我国法定的个人信息保护影响评估的实施落地。

总结

我国在《个人信息保护法》第一条便开宗明义，揭示了开展个人信息保护工作的根本目的，即保护个人信息权益，规范个人信息处理活动，促进个人信息合理利用。在《个人信息保护法》中规定“个人信息保护影响评估”，将其作为一种事前预防机制，不仅有利于帮助个人信息处理者在业务开展之前，通过识别对个人信息主体权益的不利影响，采取有针对性的保护措施，同时有利于帮助个人信息处理者降低时间管理成本、法律风险，消除潜在的声誉或公众负面问题。另外，个人信息保护影响评估还有利于帮助个人信息处理者在政府、相关机构或商业伙伴的合规性审计或调查中，证明其遵守了个人信息与数据保护相关法律、法规和标准的要求。在发生个人信息安全风险或违规事件时，个人信息保护影响评估的制度及记录评估过程和结果的报告，有利于证明个人信息处理者已经采取适当措施试图防止负面情况发生，有助于减轻、甚至免除其相关责任和名誉损失。

综上所述，个人信息影响评估对于个人及个人信息处理者均有重要意义。

 

免责声明：凡本网注明"来源：XXX（非中国知识产权杂志出品）"的作品，均转载自其它媒体，转载目的在于传递更多信息，并不代表本网赞同其观点和对其真实性负责。本网转载其他媒体之稿件，意在为公众提供免费服务。如稿件版权单位或个人不想在本网发布，可与本网联系，本网视情况可立即将其撤除。新闻纠错：13621279650 13621252760，邮箱：chinaip@chinaipmagazine.com