個人信息保護影響評估,是指對擬實施的個人信息處理活動所造成的影響進行評價和估計的活動。
基本介紹
- 中文名:個人信息保護影響評估
- 適用領域:個人信息保護 法律
歷史演變,側重點,對GDPR借鑑,本質 ,制度功能,套用,評估情形,評估內容和期限,
歷史演變
個人信息保護影響評估制度由個人信息安全影響評估演變而來。我國早在2017年發布的國家標準《信息安全技術個人信息安全規範》中就提出“個人信息安全影響評估”,2020年修正時予以保留。2020年發布的《信息安全技術個人信息安全影響評估指南》全面規定了個人信息安全影響評估,涉及評估原理、評估實施流程等事項。2020年發布的《個人信息保護法(草案)》使用了“風險評估”,2021年最終通過的版本改為“個人信息保護影響評估”。
側重點
我國當前存在與個人信息保護影響評估類似但側重點不同的制度,如網路安全風險評估、數據安全風險評估。個人信息保護影響評估側重於保障個人信息安全,由個人信息處理者實施,評估對象是對個人權益有重大影響的個人信息處理活動。個人信息保護影響評估的內容範圍較廣,既包括評估確定性的實際影響,也涵蓋評估不確定性的潛在影響即風險。
對GDPR借鑑
我國的個人信息保護影響評估制度源於對歐盟數據保護影響評估制度的借鑑,體現了基於風險路徑的個人信息保護模式。《通用數據保護條例》(General Data Protection Regulation,簡稱GDPR)在隱私影響評估(Privacy Impact Assessment,簡稱PIA)的基礎上,確立了數據保護影響評估制度(Data Protection Impact Assessment,簡稱DPIA)。以知情同意為基本路徑的個人信息保護逐漸流於形式,歐盟數據保護影響評估制度拓展了傳統的數據保護模式,側重於事前的預防方法,通過對數據保護風險的評估和管理,轉向了以風險管理為路徑的新型數據保護模式。通過識別、分析和歸類風險,數據保護影響評估可以消除或減輕隱私和個人數據風險。數據保護影響評估的規範基礎在於,保護公民的基本權利與自由。數據保護影響評估迫使數據處理者“識別、評估並最終管理數據處理給權利和自由帶來的高風險”。數據保護影響評估旨在將風險評估的一般邏輯融入整個數據保護法之中,從而將系統化和闡明現有風險作為評估邏輯。我國個人信息保護影響評估促使個人信息保護模式,從事後監管向基於風險管理為主的模式轉變。
本質
首先,個人信息保護影響評估屬於受強制的自我規制。
傳統的風險評估屬於政府實施風險規制的重要環節,例如國務院衛生行政部門開展的食品安全風險評估。然而,數字時代的個人信息處理無處不在,而且具有高度複雜性,由具有個人信息保護職責的政府,對所有個人信息處理行為進行直接的風險評估已變得不太可能。傳統的政府規制存在“知識供給不足”、規制資源的有限性等問題,導致規制效能低下。由更具有信息、技術、效率等優勢的個人信息處理者,對自己的行為進行風險評估,更具有合理性和可行性。對於企業而言,個人信息保護影響評估是政府強化個人信息處理者進行自我規制的體現。
其次,個人信息保護影響評估是一種合規評估和風險評估程式。
雖然風險評估是重心,但個人信息保護影響評估首先是一種合規評估程式。個人信息處理者首先需要評估擬開展的個人信息處理活動的合規性,找出合規差距。在合規評估的基礎上,還需要開展有效的風險評估,因為即使屬於合規處理,也可能對個人帶來高風險。通過風險評估可以識別風險類型與大小,然後採取與風險程度相適應的保護措施。雖然存在一定的差別,但合規評估和風險評估是密不可分的。
再次,個人信息保護影響評估具有事前性。
不同於事後性監督制度,如個人信息保護合規審計,個人信息保護影響評估是個人信息處理者進行個人信息處理前所應實施的評估活動。通過對擬開展的個人信息處理活動進行事前評估,可以有效發現其造成的實際影響和潛在風險,從而有助於採取對個人權益影響最小的方式處理個人信息,並採取相應的安全保護措施。
最後,通過保障個人信息安全而保護個人權利,是個人信息保護影響評估的根本價值。
個人信息保護影響評估所要保護的不僅僅是個人信息本身。人類已進入數字時代,個人信息已同個人的人身權、財產權、平等權、政治權等幾乎所有權利緊密關聯,最終關涉個人的人格尊嚴。對個人信息的不當侵犯,極易產生“牽一髮而動全身”的效應。例如,人臉識別技術可能嚴重威脅個人隱私,造成人身、財產以及心理上的安全隱憂,侵犯肖像權,造成自由危機。個人信息保護影響評估通過直接保障個人信息安全,最終有利於有效保護同個人信息相關聯的幾乎所有權利。
制度功能
一是檢驗個人信息處理是否合規。
個人信息保護影響評估的首要功能在於合規檢驗。違規處理個人信息,即使風險可控,也是令人無法接受的。雖然合規處理也可能導致高風險,但個人信息處理首先必須合規。通過對擬開展的個人信息處理活動進行事前合規評估,及時發現違規之處,個人信息保護影響評估有利於提升個人信息處理合規水平,可以減少聲譽受損、高額罰款等相關成本。譬如,評估是否過度收集個人信息、對敏感個人信息的處理是否具有特定的目的和充分的必要性、是否進行了有效的去標誌化和匿名化等內容,可以使個人信息處理者事前發現違規問題,從而達到未雨綢繆的風險預防作用。歐盟第29條數據保護工作組在其制定的《數據保護影響評估和確定處理是否“可能導致高風險”的指南》中指出,數據保護影響評估不僅有助於數據控制者遵守《通用數據保護條例》的要求,而且還能夠證明其採取了適當的措施滿足合規要求。數據保護影響評估是建立和證明合規的過程。《個人信息保護法》第56條規定的首要評估內容是評估個人信息處理是否符合合法、正當、必要原則,屬於合規評估。合法、正當、必要原則是《個人信息保護法》《民法典》《網路安全法》等確立的個人信息處理基本原則,是個人信息保護規則體系的靈魂。
二是識別並降低個人信息安全風險。
個人信息處理難免會導致或高或低的安全風險,但不能由此阻止個人信息處理,關鍵在於將風險控制到可接受的低水平。嚴格限制個人信息的流通利用不符合時代要求,數據已成為數字時代的關鍵生產要素,而個人信息屬於重要的數據類型,不僅具有重要的個人價值,而且具有重要的社會價值。數字經濟的基本模式是通過平台這樣的生產組織增加各類要素的流動性,並採取有效措施降低流動性風險。個人信息保護影響評估是有效的風險評估工具,通過將保護關口前移,有利於及早發現個人信息處理行為可能存在的風險和可能造成的不利影響,從而可以有針對性地設計業務流程並採取防範措施。《個人信息保護法》第56條規定的第2項評估內容即評估“對個人權益的影響及安全風險”,屬於風險評估,有利於發現風險的類型與大小;第3項評估內容即評估“所採取的保護措施是否合法、有效並與風險程度相適應”,有利於降低風險。基於風險路徑的個人信息保護影響評估並不是要消除所有風險,但可以使個人信息處理者盡到更大的責任。總而言之,個人信息保護影響評估有助於識別並降低個人信息處理風險,實現風險可控,從而有利於最大程度高效利用個人信息。
三是減輕或免除個人信息處理責任。
通過有效實施個人信息保護影響評估,不僅可以增強個人信息處理者的風險管理能力,對外展示保護個人信息的努力,有利於提升企業聲譽,而且還有助於減輕或免除個人信息處理責任。對於民事責任,《個人信息保護法》第69條確立了個人信息侵權的過錯推定責任,即個人信息處理者不能證明自己沒有過錯的,應當承擔損害賠償等侵權責任。對於行政責任,《個人信息保護法》沒有確立歸責原則,一般應適用《行政處罰法》確立的過錯推定原則,即當事人有證據足以證明沒有主觀過錯的就不予處罰。如果個人信息處理者能證明自己過錯較小或沒有過錯,相應的民事責任或行政責任就應當減輕或免除。個人信息保護影響評估報告和處理記錄,是證明個人信息處理者合規處理個人信息的重要證據。在發生糾紛或損害時,如果通過調取記錄,發現個人信息處理者進行了有效的個人信息保護影響評估,對識別的風險採取了相應的保護措施,就可以減輕或免除個人信息處理者的責任。
套用
評估情形
根據《中華人民共和國個人信息保護法》第五十五條:
有下列情形之一的,個人信息處理者應當事前進行個人信息保護影響評估,並對處理情況進行記錄:
(一)處理敏感個人信息;
(二)利用個人信息進行自動化決策;
(三)委託處理個人信息、向其他個人信息處理者提供個人信息、公開個人信息;
(四)向境外提供個人信息;
(五)其他對個人權益有重大影響的個人信息處理活動。
評估內容和期限
根據《中華人民共和國個人信息保護法》第五十六條:
個人信息保護影響評估應當包括下列內容:
(一)個人信息的處理目的、處理方式等是否合法、正當、必要;
(二)對個人權益的影響及安全風險;
(三)所採取的保護措施是否合法、有效並與風險程度相適應。
個人信息保護影響評估報告和處理情況記錄應當至少保存三年。
