《个人信息保护法》作为中国首部个人信息保护的专门性法律,于2021年11月1日起施行,标志着中国全面依法保护个人信息的新时代正式开启。至今,中国个人信息保护的配套制度逐步完善,形成了基本的框架体系,其中,个人信息保护影响评估制度成为关键制度之一。
个人信息保护影响评估制度的内涵与价值。中国的个人信息保护影响评估制度基于风险预防的理念,要求个人信息处理者在开展高风险的个人信息处理活动前,对处理目的、处理方的正当性、合法性和必要性进行评估,识别可能对个人权益产生的重大影响,并检测监控所采取的保护措施是否合法、有效且与风险程度相适应。通过事前评估,处理者能提前发现风险并加以干预和化解,动态应对风险变化,并在评估报告的基础上,判断是否实施该处理活动,以及有针对性地及时采取控制措施,合规、安全地实施该活动。
合伙人
炜衡律师事务所
电话: +86 133 0111 0217
电子信箱:
baiyusi@weihenglaw.com
这种早期介入的评估机制将个人信息保护纳入项目设计阶段,融入个人信息处理者的制度、业务和技术方案中,既能全面有效地保护个人信息权益,又能帮助个人信息处理者将风险控制在其承受范围之内,从而降低事后损失,并提升成本效益。
除风险预防价值外,在发生争议时,个人信息处理者对于高风险的个人信息处理活动进行事前评估并加以记录,可作为其已依据法律法规采取相应控制措施、确保处理活动合规与安全的证明,有助于规范处理者行为并保护其合法权益。此外,若发生个人信息泄露等安全事件,相关评估记录能够协助处理者开展原因调查、分析和追踪等工作,并降低再次发生类似风险的可能性。
个人信息保护影响评估的义务履行。《个人信息保护法》明确规定了个人信息处理者应当开展个人信息保护影响评估的适用情形,包括处理敏感个人信息,利用个人信息进行自动化决策,委托处理个人信息、向其他个人信息处理者提供或公开个人信息,向境外提供个人信息,以及其他可能对个人权益产生重大影响的个人信息处理活动。因此,只要出现法律规定的评估情形,个人信息处理者就必须履行评估和记录义务,这是其法定义务。
在实践中,一些个人信息处理者已开展相关评估工作并取得积极成果,但仍有大量处理者因不了解个人信息保护影响评估的功能与价值,或不知道如何开展评估工作,而导致数据合规义务履行不到位。此外,随着个人信息处理者的业务不断发展,个人信息处理活动往往呈现持续和动态的变化。故个人信息保护影响评估义务的履行并非一蹴而就,需要建立长期、持续、灵活、动态的评估工作机制。
个人信息保护影响评估的要点。风险源识别是影响评估活动的核心内容。个人信息处理中的风险可能源自处理者自身的脆弱性,也可能来自外部威胁,如处理敏感个人信息时不具备特定目的和充分必要性、未充分履行告知同意原则、与第叁方共享数据时未取得个人信息主体的明示同意、超范围收集信息、信息存储超过必要期限、删除机制不健全、自动化决策缺乏透明度、信息滥用、泄露、篡改等。个人信息处理者应充分分析可能存在的风险,并设计和实施有效的控制措施以降低风险。同时,应在项目设计阶段将个人信息保护要求嵌入各项措施,确保处理活动符合法律和行政法规。
开展风险应对是个人影响评估活动的目标。个人信息处理者应根据评估结果及其风险承受水平,选择风险应对方案,如决定对某特定类型的信息不开展处理活动、在隐私政策或者用户协议中明确告知处理规则并取得用户同意、严格控制信息存储时间并保证安全销毁、健全用户删除机制、信息加密传输、对信息进行匿名化、去标识化处理、规范身份验证和访问控制等。
《个人信息保护法》规定了个人信息处理者的记录义务。评估报告应包含评估人员、评估适用范围、评估对象、评估规模、评估方法、涉及的相关方等基本事项,以及风险分析结果、风险应对方案和方案落实情况。
综上,个人信息保护影响评估在个人信息保护法治体系建设及执法框架中具有重要作用,其功能与价值对于处理者履行数据安全及合规义务意义重大。个人信息保护影响评估活动可以充分发挥预防功能,最大限度降低个人信息处理者的风险,全面有效地保护个人信息权益。
白宇思是炜衡律师事务所合伙人。她的联系方式是电话+86 133 0111 0217以及电邮baiyusi@weihenglaw.com
