在萬眾矚目下，我國(guó)《個(gè)人信息保護(hù)法》歷經(jīng)多年的醞釀，終于和國(guó)人乃至世界見面。對(duì)這部我國(guó)“數(shù)字時(shí)代的基本法”進(jìn)行解讀，從不同的角度能看到不一樣的精妙之處。本篇文章從《個(gè)人信息保護(hù)法》第五十五和五十六條所規(guī)定的“個(gè)人信息保護(hù)影響評(píng)估”入手，剖析該創(chuàng)新性的制度在“保護(hù)個(gè)人信息權(quán)益，規(guī)范個(gè)人信息處理活動(dòng)，促進(jìn)個(gè)人信息合理利用”方面的重要作用。

一、”個(gè)人信息保護(hù)影響評(píng)估”? 是風(fēng)險(xiǎn)路徑的直接體現(xiàn)

規(guī)范個(gè)人信息處理者的信息處理行為，無非是兩個(gè)主要路徑。一是直接設(shè)定具體的行為規(guī)范。此方面主要體現(xiàn)在《個(gè)人信息保護(hù)法》第二章“個(gè)人信息處理規(guī)則”。這一章對(duì)個(gè)人信息處理的全生命周期的主要環(huán)節(jié)——“收集、存儲(chǔ)、使用、加工、傳輸、提供、公開、刪除”——逐一給出了規(guī)定動(dòng)作。首先，開展個(gè)人信息處理之前，個(gè)人信息處理者需要根據(jù)處理個(gè)人信息的目的，確定適當(dāng)?shù)暮戏ㄐ曰A(chǔ)，即第十三條所規(guī)定的各種情形。其次，針對(duì)個(gè)人信息處理者選擇個(gè)人的同意作為合法性基礎(chǔ)時(shí)，第十四至十八條共同規(guī)定了告知的內(nèi)容和例外、個(gè)人的同意形式、同意的撤回、同意的自愿性質(zhì)等。再次，第十九條規(guī)定了個(gè)人信息存儲(chǔ)時(shí)間最小化的準(zhǔn)則。此外，第二十至二十三條規(guī)定了共同處理、委托處理、向其他個(gè)人信息處理者提供其處理的個(gè)人信息，以及“因合并、分立、解散、被宣告破產(chǎn)等原因需要轉(zhuǎn)移個(gè)人信息”等不同情形中的行為規(guī)范。《個(gè)人信息保護(hù)法》第二章的第二節(jié)還專門對(duì)“敏感個(gè)人信息”的處理規(guī)則做出了規(guī)定。以上種種，均是直接對(duì)個(gè)人信息行為做出了具體規(guī)范。

除了直接的行為規(guī)范之外，不少國(guó)家和地區(qū)的個(gè)人信息保護(hù)相關(guān)的法律、法規(guī)、標(biāo)準(zhǔn)的規(guī)定提出了一種“評(píng)估式合規(guī)”要求（assessment-based compliance）。這類規(guī)定并沒有針對(duì)特定的個(gè)人信息處理活動(dòng)提出明晰、確定的安全控制措施，而是要求組織針對(duì)特定個(gè)人信息處理活動(dòng)，開展具體的風(fēng)險(xiǎn)分析并采取與風(fēng)險(xiǎn)相稱的安全控制措施，將對(duì)個(gè)人信息主體合法權(quán)益不利影響的風(fēng)險(xiǎn)降低到可接受的程度，才符合其規(guī)定。我國(guó)《個(gè)人信息保護(hù)法》提出的“個(gè)人信息保護(hù)影響評(píng)估”和歐盟《通用數(shù)據(jù)保護(hù)條例》（GDPR）提出的“數(shù)據(jù)保護(hù)影響評(píng)估”（data protection impact assessment）即為典型的例子。這樣的規(guī)范路徑并不事先設(shè)定，而是要求個(gè)人信息處理者完成一個(gè)完整的風(fēng)險(xiǎn)評(píng)估流程，并根據(jù)評(píng)估得到的風(fēng)險(xiǎn)自主提出合規(guī)措施。

簡(jiǎn)單來說，針對(duì)某一信息處理環(huán)節(jié)直接設(shè)定具體的行為規(guī)范，即直接明確“規(guī)定動(dòng)作”；而“評(píng)估式合規(guī)”要求，則需要個(gè)人信息處理者通過風(fēng)險(xiǎn)評(píng)估這個(gè)“規(guī)定動(dòng)作”得出合適的“自選動(dòng)作”。因此，后者是基于“風(fēng)險(xiǎn)路徑”，其核心目的是在一定場(chǎng)景中，超越“靜態(tài)底線式”的個(gè)人信息保護(hù)合規(guī)，實(shí)現(xiàn)有效、全面地掌握信息處理行為對(duì)個(gè)人合法權(quán)益影響的風(fēng)險(xiǎn)變化，有針對(duì)性地提出安全保護(hù)措施，最終達(dá)到動(dòng)態(tài)優(yōu)化式的權(quán)益保護(hù)效果。這樣的思路在個(gè)人信息處理行為日益復(fù)雜化、泛在化、鏈條化的今天，尤為重要。

二、“個(gè)人信息保護(hù)影響評(píng)估”符合國(guó)際先進(jìn)實(shí)踐

其實(shí)，風(fēng)險(xiǎn)路徑對(duì)信息安全來說并不陌生，信息或網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估已有成熟的實(shí)踐，其針對(duì)的是組織的IT和數(shù)據(jù)等資產(chǎn)不受來自外界和內(nèi)部的風(fēng)險(xiǎn)源的破壞。但在個(gè)人信息保護(hù)的語境下，組織之外的個(gè)人是保護(hù)重點(diǎn)。因此風(fēng)險(xiǎn)路徑完成了“由內(nèi)及外”的視角轉(zhuǎn)換。為了與過去的風(fēng)險(xiǎn)評(píng)估相區(qū)別，國(guó)際上均采用了影響評(píng)估的概念（例如考慮對(duì)生態(tài)影響的環(huán)境影響評(píng)估），目的是控制組織的信息處理行為對(duì)外（即對(duì)個(gè)人）的影響。

GDPR在許多方面貫徹了風(fēng)險(xiǎn)路徑，特別是其第24條對(duì)數(shù)據(jù)控制者保護(hù)義務(wù)的總體性規(guī)定。第24條的第一款規(guī)定：“考慮到數(shù)據(jù)處理的性質(zhì)、范圍、情境、目的，以及對(duì)自然人權(quán)利和自由的不同程度和大小的風(fēng)險(xiǎn)，數(shù)據(jù)控制者應(yīng)采取合適的技術(shù)和組織方面的措施，以保證數(shù)據(jù)處理符合GDPR的規(guī)定。這些措施應(yīng)經(jīng)常評(píng)估和更新”。第二款更規(guī)定上述“措施應(yīng)與數(shù)據(jù)處理的風(fēng)險(xiǎn)合乎比例，應(yīng)包括在內(nèi)部建立合適的數(shù)據(jù)保護(hù)政策?！憋@然，該條文的寫法也突出風(fēng)險(xiǎn)路徑。用大白話說就是，你要干什么事，就要考慮會(huì)對(duì)外界造成什么風(fēng)險(xiǎn)；為了降低這些風(fēng)險(xiǎn)，需要提出與面臨風(fēng)險(xiǎn)相稱的保護(hù)措施；這些保護(hù)措施還必須經(jīng)常評(píng)估和更新，以適應(yīng)風(fēng)險(xiǎn)態(tài)勢(shì)的變化。

以上是對(duì)數(shù)據(jù)處理風(fēng)險(xiǎn)一般性的規(guī)定。對(duì)于高風(fēng)險(xiǎn)的數(shù)據(jù)處理行為，GDPR還專門規(guī)定數(shù)據(jù)控制者應(yīng)當(dāng)開展數(shù)據(jù)保護(hù)影響評(píng)估。第35條第一款規(guī)定：“在考慮數(shù)據(jù)處理性質(zhì)、范圍、情境、目的后，數(shù)據(jù)控制者如認(rèn)為數(shù)據(jù)處理，特別是采用新技術(shù)的處理，可能導(dǎo)致個(gè)人權(quán)益有較高的風(fēng)險(xiǎn)被侵害的，應(yīng)在處理前，進(jìn)行數(shù)據(jù)保護(hù)影響評(píng)估”。該條第三款還規(guī)定了“在以下場(chǎng)景中，數(shù)據(jù)保護(hù)影響評(píng)估被特別要求：a)基于自動(dòng)化數(shù)據(jù)處理，包括數(shù)字畫像，對(duì)數(shù)據(jù)主體個(gè)人方面開展系統(tǒng)和廣泛的評(píng)估，且評(píng)估對(duì)個(gè)人能產(chǎn)生法律效力，或類似重大的影響；b)對(duì)特定類別的數(shù)據(jù)進(jìn)行大規(guī)模處理，或處理與刑事犯罪和刑事起訴相關(guān)的個(gè)人數(shù)據(jù)的；c)對(duì)公開區(qū)域進(jìn)行大規(guī)模、系統(tǒng)性監(jiān)控的”。開展數(shù)據(jù)保護(hù)影響評(píng)估的目的，在于督促數(shù)據(jù)控制者主動(dòng)考慮風(fēng)險(xiǎn)，主動(dòng)提出降低風(fēng)險(xiǎn)的方案。GDPR還在第36條規(guī)定，“如前述的數(shù)據(jù)安全影響評(píng)估表明，數(shù)據(jù)控制者不采取額外措施的話，數(shù)據(jù)處理將帶來較高的風(fēng)險(xiǎn)，則數(shù)據(jù)控制者應(yīng)在數(shù)據(jù)處理開始前，征求監(jiān)管機(jī)構(gòu)的意見。”

除了歐盟之外，日本、澳大利亞、加拿大、巴西、印度、新加坡、英國(guó)等主要國(guó)家的個(gè)人信息保護(hù)法律中，都有“個(gè)人信息保護(hù)影響評(píng)估”的類似規(guī)定。即便是尚未在聯(lián)邦層面制定統(tǒng)一性的個(gè)人信息保護(hù)法律的美國(guó)，也在加州、弗吉尼亞州等州隱私立法方面，確立了類似隱私影響評(píng)估的制度。

三、“個(gè)人信息保護(hù)影響評(píng)估”具有科學(xué)的實(shí)施基礎(chǔ)

我國(guó)《個(gè)人信息保護(hù)法》第五十五條規(guī)定了應(yīng)當(dāng)開展“個(gè)人信息保護(hù)影響評(píng)估”的情形，具體包括：（一）處理敏感個(gè)人信息；（二）利用個(gè)人信息進(jìn)行自動(dòng)化決策；（三）委托處理個(gè)人信息、向其他個(gè)人信息處理者提供個(gè)人信息、公開個(gè)人信息；（四）向境外提供個(gè)人信息；（五）其他對(duì)個(gè)人權(quán)益有重大影響的個(gè)人信息處理活動(dòng)。第五十六條規(guī)定了評(píng)估的內(nèi)容：（一）個(gè)人信息的處理目的、處理方式等是否合法、正當(dāng)、必要；（二）對(duì)個(gè)人權(quán)益的影響及安全風(fēng)險(xiǎn)；（三）所采取的安全保護(hù)措施是否合法、有效并與風(fēng)險(xiǎn)程度相適應(yīng)。并進(jìn)一步規(guī)定了個(gè)人信息保護(hù)影響評(píng)估報(bào)告和處理情況記錄應(yīng)當(dāng)至少保存三年。為了落實(shí)上述規(guī)定，個(gè)人信息處理者顯然需要開展“個(gè)人信息保護(hù)影響評(píng)估”的操作指引，特別是開展評(píng)估的方法論。

2020年11月發(fā)布并于2021年6月1日生效的國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù) 個(gè)人信息安全影響評(píng)估指南》（GB/T 39335-2020）恰好為《個(gè)人信息保護(hù)法》第五十五和五十六條的實(shí)施提供了堅(jiān)實(shí)且科學(xué)的基礎(chǔ)。該標(biāo)準(zhǔn)歸口于全國(guó)信息安全技術(shù)標(biāo)準(zhǔn)委員會(huì)（TC260），制定時(shí)間超過兩年，并充分借鑒了美、歐等國(guó)家和地區(qū)最新的法律規(guī)定、制度設(shè)計(jì)、標(biāo)準(zhǔn)文本和實(shí)踐做法，例如我國(guó)《個(gè)人信息保護(hù)法（草案）》、ISO/IEC 29134:2017《隱私影響評(píng)估指南》、歐盟數(shù)據(jù)保護(hù)委員會(huì)（EDPB）的數(shù)據(jù)保護(hù)影響評(píng)估指南（WP248）、法國(guó)國(guó)家信息自由委員會(huì)（CNIL）的隱私影響評(píng)估指南和工具、美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究所（NIST）關(guān)于隱私影響評(píng)估的標(biāo)準(zhǔn)文件等。

就內(nèi)容而言，《個(gè)人信息安全影響評(píng)估指南》主要包括評(píng)估原理（第四章）、評(píng)估實(shí)施流程（第五章）、評(píng)估性合規(guī)的示例及評(píng)估要點(diǎn)（附錄A）、高風(fēng)險(xiǎn)的個(gè)人信息處理活動(dòng)示例（附錄B）、個(gè)人信息安全影響評(píng)估常用工具表（附錄C）等。其核心思路是從網(wǎng)絡(luò)環(huán)境和技術(shù)措施、個(gè)人信息處理流程、參與人員與第三方、業(yè)務(wù)特點(diǎn)和規(guī)模及安全態(tài)勢(shì)等四個(gè)可能存在風(fēng)險(xiǎn)或發(fā)生安全事件的維度出發(fā)，評(píng)估可能對(duì)個(gè)人權(quán)益造成的影響以及風(fēng)險(xiǎn)。具體而言，《個(gè)人信息安全影響評(píng)估指南》進(jìn)一步將個(gè)人權(quán)益影響細(xì)分四個(gè)方面：一是，限制個(gè)人自主決定權(quán)，比如被強(qiáng)迫執(zhí)行不愿執(zhí)行的操作、無法更正錯(cuò)誤上傳的個(gè)人信息、無法選擇推送廣告的種類、被蓄意推送影響個(gè)人價(jià)值觀判斷的資訊；二是，引發(fā)差別性待遇，比如隱私信息（疾病、婚史、種族等）泄露造成的歧視、故意設(shè)置個(gè)人福利、資格、權(quán)利的差別等；三是，個(gè)人名譽(yù)受損或遭受精神壓力，比如公開不愿為人知的事實(shí)（生活習(xí)慣、以往經(jīng)歷等），被頻繁騷擾、監(jiān)視追蹤等；四是，個(gè)人財(cái)產(chǎn)受損或遭受人身傷害，比如賬戶被盜、遭受詐騙、被勒索恐嚇、限制自由等。

事實(shí)上，在標(biāo)準(zhǔn)報(bào)批稿階段，標(biāo)準(zhǔn)編制組還在2019年底選取了電子商務(wù)、金融、餐飲外賣、新聞資訊、車聯(lián)網(wǎng)、SDK、智能家居等多種業(yè)態(tài)及場(chǎng)景，吸納了10余家企業(yè)開展試點(diǎn)，對(duì)標(biāo)準(zhǔn)條款合理性和可操作性等進(jìn)行驗(yàn)證，進(jìn)一步保障我國(guó)法定的“個(gè)人信息保護(hù)影響評(píng)估”的實(shí)施落地。

四、總結(jié)

開展個(gè)人信息保護(hù)工作的根本目的，在于避免個(gè)人信息收集、使用等處理行為對(duì)個(gè)人信息主體的合法權(quán)益造成損害。我國(guó)《個(gè)人信息保護(hù)法》將“個(gè)人信息保護(hù)影響評(píng)估”作為一種特定場(chǎng)景下的事前預(yù)防機(jī)制，幫助個(gè)人信息處理者在業(yè)務(wù)開展之前，通過盡早考慮、分析和處理個(gè)人信息保護(hù)問題，識(shí)別對(duì)個(gè)人信息主體權(quán)益的不利影響，實(shí)施有針對(duì)性的保護(hù)措施。除了對(duì)個(gè)人的保護(hù)之外，“個(gè)人信息保護(hù)影響評(píng)估”能夠降低個(gè)人信息處理者的管理成本、法律風(fēng)險(xiǎn)以及潛在的聲譽(yù)或公眾信任問題。此外，個(gè)人信息保護(hù)影響評(píng)估也能夠幫助個(gè)人信息處理者在政府、相關(guān)機(jī)構(gòu)或商業(yè)伙伴的合規(guī)性審計(jì)或調(diào)查中證明其遵守了個(gè)人信息與數(shù)據(jù)保護(hù)法律、法規(guī)和標(biāo)準(zhǔn)的要求。在發(fā)生個(gè)人信息安全風(fēng)險(xiǎn)或違規(guī)事件時(shí)，個(gè)人信息保護(hù)影響評(píng)估的制度及記錄評(píng)估過程和結(jié)果的報(bào)告有利于證明處理者已經(jīng)采取適當(dāng)措施試圖防止上述情況發(fā)生，有助于減輕、甚至免除相關(guān)責(zé)任和名譽(yù)損失。因此，無論是對(duì)個(gè)人，還是處理者本身，“個(gè)人信息保護(hù)影響評(píng)估”均有重要的意義。善用我國(guó)《個(gè)人信息保護(hù)法》中這個(gè)創(chuàng)新性的靈活保護(hù)工具，能夠有效地實(shí)現(xiàn)業(yè)務(wù)發(fā)展和個(gè)人保護(hù)之間的平衡。（完）

（ 本文作者：北京理工大學(xué)? 洪延青）