慎独自律，修己安人——个人信息保护影响评估的作用.docxVIP

引言

个人信息保护影响评估（PrivacyImpactAssessment，以下称PIA）是《个人信息保护法》的一项法定义务，既是个人信息保护主要的合规内容之一，也是个人信息保护中非常有效的合规工具之一。自2021年11月，《个人信息保护法》实施以来，一些个人信息处理者已经开展了相关PIA评估实践，取得了积极效果，帮助企业防范和化解了相关风险，妥善处理个人信息保护纠纷和应对个人信息保护监督检查。而目前尚未开展PIA的个人信息处理者，主要是对PIA不了解、不熟悉，或者知其重要性，但不知如何开展，以及不清楚个人信息保护影响评估的功能与价值，导致个人信息合规工作陷入困局，无法产生预期价值，过度投入成本而没有获得应有的收益。

然而，PIA在个人信息保护整体法治体系及执法框架中，实际上具有非常重要的作用，并且在当下及未来的《个人信息保护法》实施中，可能会变得越来越重要。为进一步厘清个人信息保护影响评估的作用和功能，本文将全面分析PIA的背景知识、政策趋势及PIA的效用增值，为相关企业开展PIA提供参考。

一、哪些场景需要PIA

（一）法定要求

一般而言，并非所有的个人信息处理活动都需要开展PIA。理论上，PIA是针对高风险个人信息处理活动的一项预防及应对措施，主要针对个人信息权益等可能受到较大影响的场景，这些场景也由法律规定所确定。《个人信息保护法》第五十五条规定了需要开展PIA的五种情形，符合其中之一的，个人信息处理者应当事前进行个人信息保护影响评估，并对处理情况进行记录。该五种情形为：（1）处理敏感个人信息；（2）利用个人信息进行自动化决策；（3）委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息；（4）向境外提供个人信息；（5）其他对个人权益有重大影响的个人信息处理活动。

（二）配套规定

《个人信息保护法》首设了PIA制度以后，国家网信办通过配套规定在跨境、合规审计、人脸识别等方面重申、强调了PIA的法定性、前置性要求，或者进一步对PIA作出了相关细化规定，从体系性层面强化了PIA的重要性。

1.跨境方面

按照《个人信息保护法》的要求，“向境外提供个人信息”本身就是触发PIA的法定场景之一。对此，《个人信息出境标准合同办法》第五条要求，个人信息处理者向境外提供个人信息前，应当开展个人信息保护影响评

估……。《个人信息跨境处理活动安全认证规范》5.4中明确，个人信息处理者应对拟向境外接收方提供个人信息的活动开展个人信息保护影响评估，并形成个人信息保护影响评估报告，评估报告至少保存三年。《粤港澳

大湾区（内地、香港）个人信息跨境流动标准合同实施指引》第五条规定，个人信息处理者按照本实施指引，

通过订立标准合同跨境提供个人信息前，应当开展个人信息保护影响评估；第七条规定，跨境提供个人信息的目的、范围、种类、方式，或者接收方处理个人信息的用途、方式发生变化，延长保存期限，以及发生影响或者可能影响个人信息权益其他情况的，个人信息处理者应当重新开展个人信息保护影响评估，……。值得注意的是，《促进和规范数据跨境流动规定》对跨境数据流动作出了很多创新安排，针对特定场景明确了豁免规定，

但并未放宽其他有关个人信息出境安全保护措施的要求，其第十条明确规定，数据处理者向境外提供个人信息的，应当按照法律、行政法规的规定履行告知、取得个人单独同意、进行个人信息保护影响评估等义务。

2.合规审计方面

个人信息保护合规审计与PIA之间相互联系，是否开展PIA以及PIA开展是否充分，都应当是个人信息保护合规审计的内容之一。2023年8月，国家网信办向社会公开征求意见的《个人信息保护合规审计管理办法（征求意见稿）》中在委托处理个人信息（第六条）、提供个人信息（第八条）、自动化决策（第九条）、公开个人信息（第十条）、处理敏感个人信息（第十三条）、合规审计（第二十一条）等环节中都将个人信息保护影响评估作为重点审计事项，同时也专门对个人信息保护影响评估审计作出了规定（第二十五条）。虽然该征求意见稿尚未出台，但PIA作为审计的一项重要内容，已经是立法释放的明确信号。

3.人脸识别

2023年8月，国家网信办向社会公开征求意见的《人脸识别技术应用安全管理规定（试行）（征求意见稿）》第十五条中明确，人脸识别技术使用者处理人脸信息，应当事前进行个人信息保护影响评估，并对处理情况进行

记录。……个人信息保护影响评估报告应当至少保存三年。处理人脸信息的目的、方式发生变化，或者发生重大安全事件的，人脸识别技术使用者应当重新进行个人信息保护影响评估。

（三）行业规定

在《个人信息保护法》规定的基础之上，行业监管中逐步引用PIA工具作为个人信息保护