一、“個人信息保護(hù)影響評估”是風(fēng)險路徑的直接體現(xiàn)

　　規(guī)范個人信息處理者的信息處理行為，無非是兩個主要路徑。一是直接設(shè)定具體的行為規(guī)范。此方面主要體現(xiàn)在《個人信息保護(hù)法》第二章“個人信息處理規(guī)則”。這一章對個人信息處理的全生命周期的主要環(huán)節(jié)——“收集、存儲、使用、加工、傳輸、提供、公開、刪除”——逐一給出了規(guī)定動作。首先，開展個人信息處理之前，個人信息處理者需要根據(jù)處理個人信息的目的，確定適當(dāng)?shù)暮戏ㄐ曰A(chǔ)，即第十三條所規(guī)定的各種情形。其次，針對個人信息處理者選擇個人的同意作為合法性基礎(chǔ)時，第十四至十八條共同規(guī)定了告知的內(nèi)容和例外、個人的同意形式、同意的撤回、同意的自愿性質(zhì)等。再次，第十九條規(guī)定了個人信息存儲時間最小化的準(zhǔn)則。此外，第二十至二十三條規(guī)定了共同處理、委托處理、向其他個人信息處理者提供其處理的個人信息，以及“因合并、分立、解散、被宣告破產(chǎn)等原因需要轉(zhuǎn)移個人信息”等不同情形中的行為規(guī)范?！秱€人信息保護(hù)法》第二章的第二節(jié)還專門對“敏感個人信息”的處理規(guī)則做出了規(guī)定。以上種種，均是直接對個人信息行為做出了具體規(guī)范。

　　除了直接的行為規(guī)范之外，不少國家和地區(qū)的個人信息保護(hù)相關(guān)的法律、法規(guī)、標(biāo)準(zhǔn)的規(guī)定提出了一種“評估式合規(guī)”要求（assessment-based compliance）。這類規(guī)定并沒有針對特定的個人信息處理活動提出明晰、確定的安全控制措施，而是要求組織針對特定個人信息處理活動，開展具體的風(fēng)險分析并采取與風(fēng)險相稱的安全控制措施，將對個人信息主體合法權(quán)益不利影響的風(fēng)險降低到可接受的程度，才符合其規(guī)定。我國《個人信息保護(hù)法》提出的“個人信息保護(hù)影響評估”和歐盟《通用數(shù)據(jù)保護(hù)條例》（GDPR）提出的“數(shù)據(jù)保護(hù)影響評估”（data protection impact assessment）即為典型的例子。這樣的規(guī)范路徑并不事先設(shè)定，而是要求個人信息處理者完成一個完整的風(fēng)險評估流程，并根據(jù)評估得到的風(fēng)險自主提出合規(guī)措施。

　　簡單來說，針對某一信息處理環(huán)節(jié)直接設(shè)定具體的行為規(guī)范，即直接明確“規(guī)定動作”；而“評估式合規(guī)”要求，則需要個人信息處理者通過風(fēng)險評估這個“規(guī)定動作”得出合適的“自選動作”。因此，后者是基于“風(fēng)險路徑”，其核心目的是在一定場景中，超越“靜態(tài)底線式”的個人信息保護(hù)合規(guī)，實現(xiàn)有效、全面地掌握信息處理行為對個人合法權(quán)益影響的風(fēng)險變化，有針對性地提出安全保護(hù)措施，最終達(dá)到動態(tài)優(yōu)化式的權(quán)益保護(hù)效果。這樣的思路在個人信息處理行為日益復(fù)雜化、泛在化、鏈條化的今天，尤為重要。

　　二、“個人信息保護(hù)影響評估”符合國際先進(jìn)實踐

　　其實，風(fēng)險路徑對信息安全來說并不陌生，信息或網(wǎng)絡(luò)安全風(fēng)險評估已有成熟的實踐，其針對的是組織的IT和數(shù)據(jù)等資產(chǎn)不受來自外界和內(nèi)部的風(fēng)險源的破壞。但在個人信息保護(hù)的語境下，組織之外的個人是保護(hù)重點(diǎn)。因此風(fēng)險路徑完成了“由內(nèi)及外”的視角轉(zhuǎn)換。為了與過去的風(fēng)險評估相區(qū)別，國際上均采用了影響評估的概念（例如考慮對生態(tài)影響的環(huán)境影響評估），目的是控制組織的信息處理行為對外（即對個人）的影響。

　　GDPR在許多方面貫徹了風(fēng)險路徑，特別是其第24條對數(shù)據(jù)控制者保護(hù)義務(wù)的總體性規(guī)定。第24條的第一款規(guī)定：“考慮到數(shù)據(jù)處理的性質(zhì)、范圍、情境、目的，以及對自然人權(quán)利和自由的不同程度和大小的風(fēng)險，數(shù)據(jù)控制者應(yīng)采取合適的技術(shù)和組織方面的措施，以保證數(shù)據(jù)處理符合GDPR的規(guī)定。這些措施應(yīng)經(jīng)常評估和更新”。第二款更規(guī)定上述“措施應(yīng)與數(shù)據(jù)處理的風(fēng)險合乎比例，應(yīng)包括在內(nèi)部建立合適的數(shù)據(jù)保護(hù)政策?！憋@然，該條文的寫法也突出風(fēng)險路徑。用大白話說就是，你要干什么事，就要考慮會對外界造成什么風(fēng)險；為了降低這些風(fēng)險，需要提出與面臨風(fēng)險相稱的保護(hù)措施；這些保護(hù)措施還必須經(jīng)常評估和更新，以適應(yīng)風(fēng)險態(tài)勢的變化。

　　以上是對數(shù)據(jù)處理風(fēng)險一般性的規(guī)定。對于高風(fēng)險的數(shù)據(jù)處理行為，GDPR還專門規(guī)定數(shù)據(jù)控制者應(yīng)當(dāng)開展數(shù)據(jù)保護(hù)影響評估。第35條第一款規(guī)定：“在考慮數(shù)據(jù)處理性質(zhì)、范圍、情境、目的后，數(shù)據(jù)控制者如認(rèn)為數(shù)據(jù)處理，特別是采用新技術(shù)的處理，可能導(dǎo)致個人權(quán)益有較高的風(fēng)險被侵害的，應(yīng)在處理前，進(jìn)行數(shù)據(jù)保護(hù)影響評估”。該條第三款還規(guī)定了“在以下場景中，數(shù)據(jù)保護(hù)影響評估被特別要求：a）基于自動化數(shù)據(jù)處理，包括數(shù)字畫像，對數(shù)據(jù)主體個人方面開展系統(tǒng)和廣泛的評估，且評估對個人能產(chǎn)生法律效力，或類似重大的影響；b）對特定類別的數(shù)據(jù)進(jìn)行大規(guī)模處理，或處理與刑事犯罪和刑事起訴相關(guān)的個人數(shù)據(jù)的；c）對公開區(qū)域進(jìn)行大規(guī)模、系統(tǒng)性監(jiān)控的”。開展數(shù)據(jù)保護(hù)影響評估的目的，在于督促數(shù)據(jù)控制者主動考慮風(fēng)險，主動提出降低風(fēng)險的方案。GDPR還在第36條規(guī)定，“如前述的數(shù)據(jù)安全影響評估表明，數(shù)據(jù)控制者不采取額外措施的話，數(shù)據(jù)處理將帶來較高的風(fēng)險，則數(shù)據(jù)控制者應(yīng)在數(shù)據(jù)處理開始前，征求監(jiān)管機(jī)構(gòu)的意見?！?/p>

　　除了歐盟之外，日本、澳大利亞、加拿大、巴西、印度、新加坡、英國等主要國家的個人信息保護(hù)法律中，都有“個人信息保護(hù)影響評估”的類似規(guī)定。即便是尚未在聯(lián)邦層面制定統(tǒng)一性的個人信息保護(hù)法律的美國，也在加州、弗吉尼亞州等州隱私立法方面，確立了類似隱私影響評估的制度。

　　三、“個人信息保護(hù)影響評估”具有科學(xué)的實施基礎(chǔ)

　　我國《個人信息保護(hù)法》第五十五條規(guī)定了應(yīng)當(dāng)開展“個人信息保護(hù)影響評估”的情形，具體包括：（一）處理敏感個人信息；（二）利用個人信息進(jìn)行自動化決策；（三）委托處理個人信息、向其他個人信息處理者提供個人信息、公開個人信息；（四）向境外提供個人信息；（五）其他對個人權(quán)益有重大影響的個人信息處理活動。第五十六條規(guī)定了評估的內(nèi)容：（一）個人信息的處理目的、處理方式等是否合法、正當(dāng)、必要；（二）對個人權(quán)益的影響及安全風(fēng)險；（三）所采取的安全保護(hù)措施是否合法、有效并與風(fēng)險程度相適應(yīng)。并進(jìn)一步規(guī)定了個人信息保護(hù)影響評估報告和處理情況記錄應(yīng)當(dāng)至少保存三年。為了落實上述規(guī)定，個人信息處理者顯然需要開展“個人信息保護(hù)影響評估”的操作指引，特別是開展評估的方法論。

　　2020年11月發(fā)布并于2021年6月1日生效的國家標(biāo)準(zhǔn)《信息安全技術(shù) 個人信息安全影響評估指南》（GB/T 39335-2020）恰好為《個人信息保護(hù)法》第五十五和五十六條的實施提供了堅實且科學(xué)的基礎(chǔ)。【《個人信息安全影響評估指南》（GB/T 39335-2020）正式發(fā)布】該標(biāo)準(zhǔn)歸口于全國信息安全技術(shù)標(biāo)準(zhǔn)委員會（TC260），制定時間超過兩年，并充分借鑒了美、歐等國家和地區(qū)最新的法律規(guī)定、制度設(shè)計、標(biāo)準(zhǔn)文本和實踐做法，例如我國《個人信息保護(hù)法（草案）》、ISO/IEC 29134:2017《隱私影響評估指南》、歐盟數(shù)據(jù)保護(hù)委員會（EDPB）的數(shù)據(jù)保護(hù)影響評估指南（WP248）、法國國家信息自由委員會（CNIL）的隱私影響評估指南和工具、美國國家標(biāo)準(zhǔn)技術(shù)研究所（NIST）關(guān)于隱私影響評估的標(biāo)準(zhǔn)文件等。

　　就內(nèi)容而言，《個人信息安全影響評估指南》主要包括評估原理（第四章）、評估實施流程（第五章）、評估性合規(guī)的示例及評估要點(diǎn)（附錄A）、高風(fēng)險的個人信息處理活動示例（附錄B）、個人信息安全影響評估常用工具表（附錄C）等。其核心思路是從網(wǎng)絡(luò)環(huán)境和技術(shù)措施、個人信息處理流程、參與人員與第三方、業(yè)務(wù)特點(diǎn)和規(guī)模及安全態(tài)勢等四個可能存在風(fēng)險或發(fā)生安全事件的維度出發(fā)，評估可能對個人權(quán)益造成的影響以及風(fēng)險。具體而言，《個人信息安全影響評估指南》進(jìn)一步將個人權(quán)益影響細(xì)分四個方面：一是，限制個人自主決定權(quán)，比如被強(qiáng)迫執(zhí)行不愿執(zhí)行的操作、無法更正錯誤上傳的個人信息、無法選擇推送廣告的種類、被蓄意推送影響個人價值觀判斷的資訊；二是，引發(fā)差別性待遇，比如隱私信息（疾病、婚史、種族等）泄露造成的歧視、故意設(shè)置個人福利、資格、權(quán)利的差別等；三是，個人名譽(yù)受損或遭受精神壓力，比如公開不愿為人知的事實（生活習(xí)慣、以往經(jīng)歷等），被頻繁騷擾、監(jiān)視追蹤等；四是，個人財產(chǎn)受損或遭受人身傷害，比如賬戶被盜、遭受詐騙、被勒索恐嚇、限制自由等。

　　事實上，在標(biāo)準(zhǔn)報批稿階段，標(biāo)準(zhǔn)編制組還在2019年底選取了電子商務(wù)、金融、餐飲外賣、新聞資訊、車聯(lián)網(wǎng)、SDK、智能家居等多種業(yè)態(tài)及場景，吸納了10余家企業(yè)開展試點(diǎn)，對標(biāo)準(zhǔn)條款合理性和可操作性等進(jìn)行驗證，進(jìn)一步保障我國法定的“個人信息保護(hù)影響評估”的實施落地。

　　四、總結(jié)

　　開展個人信息保護(hù)工作的根本目的，在于避免個人信息收集、使用等處理行為對個人信息主體的合法權(quán)益造成損害。我國《個人信息保護(hù)法》將“個人信息保護(hù)影響評估”作為一種特定場景下的事前預(yù)防機(jī)制，幫助個人信息處理者在業(yè)務(wù)開展之前，通過盡早考慮、分析和處理個人信息保護(hù)問題，識別對個人信息主體權(quán)益的不利影響，實施有針對性的保護(hù)措施。除了對個人的保護(hù)之外，“個人信息保護(hù)影響評估”能夠降低個人信息處理者的管理成本、法律風(fēng)險以及潛在的聲譽(yù)或公眾信任問題。此外，個人信息保護(hù)影響評估也能夠幫助個人信息處理者在政府、相關(guān)機(jī)構(gòu)或商業(yè)伙伴的合規(guī)性審計或調(diào)查中證明其遵守了個人信息與數(shù)據(jù)保護(hù)法律、法規(guī)和標(biāo)準(zhǔn)的要求。在發(fā)生個人信息安全風(fēng)險或違規(guī)事件時，個人信息保護(hù)影響評估的制度及記錄評估過程和結(jié)果的報告有利于證明處理者已經(jīng)采取適當(dāng)措施試圖防止上述情況發(fā)生，有助于減輕、甚至免除相關(guān)責(zé)任和名譽(yù)損失。因此，無論是對個人，還是處理者本身，“個人信息保護(hù)影響評估”均有重要的意義。善用我國《個人信息保護(hù)法》中這個創(chuàng)新性的靈活保護(hù)工具，能夠有效地實現(xiàn)業(yè)務(wù)發(fā)展和個人保護(hù)之間的平衡。（完）