“个人信息保护影响评估”的合规与实践.pdf

“个人信息保护影响评估”的合规与实践

2021年11月1日正式生效的《个人信息保护法》是我

国第一部在个人信息保护领域的综合性立法,它明确提出

了个人信息处理者开展个人信息保护影响评估的要求。据此,

企业如何开展个人信息保护影响评估,成为继APP合规之后

的另一个人信息保护合规要点。

一

个人信息保护影响评估概况

开展个人信息保护影响评估不仅是个人信息处理者的

法定义务,也是其控制个人信息安全风险的重要保障。制定

相应的制度开展个人信息影响评估,既能够帮助企业更好

的落实个人信息保护合规义务,又能规范企业的个人信息

处理活动。

(一)个人信息保护影响评估及其法律框架体系

个人信息保护影响评估是针对个人信息处理活动,检查其

合法合规性,判断其对个人合法权益造成的影响,以及评

估个人信息保护措施有效性的过程。

在法律法规层面,《个人信息保护法》第55条(“《个保法》”)

1

明确规定了个人信息处理者在处理敏感个人信息,进行自

动化决策,委托处理、对外提供、公开个人信息以及向境外

提供个人信息时,需要事前进行个人信息保护影响评估并

对处理情况进行记录的法定要求;《数据安全法》中规定了

重要数据的处理者对其数据处理活动定期开展风险评估,

并向有关主管部门报送风险评估报告的义务;《个人信息出

境安全评估办法(征求意见稿)》规定了网络运营者在向境外

提供在中国境内运营中收集的个人信息时,应当进行安全

评估,并进一步规定了评估的方式和内容等。

在国家标准层面,《信息安全技术个人信息安全规范》以及

《信息安全技术个人信息安全影响评估指南》对个人信息

安全影响评估的定义、原理、场景和框架、评估流程、评估

的具体实施方式进行了详细的说明;《信息安全技术数据

出境安全评估指南(征求意见稿)》则对个人信息及数据出境

的安全评估流程、要点和方法进行说明。

(二)企业开展个人信息保护影响评估的意义

开展个人信息保护影响评估,对企业而言具有以下意义:

(1)如前文所述,开展个人信息保护影响评估是《个保法》

下的法定义务;(2)开展个人信息保护影响评估可以通过识

别个人信息处理行为与法律、法规、标准或良好的行业实践

之间的差距,并据此采取适当的安全控制措施;(3)开展个

人信息保护影响评估形成的记录文档在发生个人信息安全

2

事件时,可以在监管机构调查、执法、合规审计等法律程序

中,作为企业证明其遵守了个人信息保护与数据安全等方

面的法律、法规和标准的证据;(4)个人信息保护影响评估

有利于持续关注法律监管环境的动态并不断发现、处置和监

控个人信息处理过程对个人信息主体合法权益的影响和潜

在风险,建立企业个人信息保护的公信力,以进一步改进

和提升自身的安全风险管理能力,实现“动态合规”。

二

个人信息保护影响评估的适用场景

(一)法定评估场景

《个保法》和其他法律规范规定了必须开展个人信息保

护影响评估的场景。

从行为角度,《个保法》第55条规定:处理敏感个人

信息,进行自动化决策,委托处理、对外提供、公开个人信

息以及向境外提供个人信息时,开展个人信息影响评估是

个人信息处理者的法定义务,否则未履行法定义务将可能

面临严厉的法律责任及相关监管机关的处罚。

3

从时间节点看,《信息安全技术个人信息安全规范》第

11.4节中规定了必须要进行个人信息安全影响评估的情形,

比如当产品或服务发布前或业务功能发生重大变化时,发

生重大个人信息安全事件,在法律法规有新要求或业务模

式、信息系统、运行环境发生重大变更时等情形时,均需要

开展个人信息安全影响评估。

结合以上两个角度,当企业涉及处理敏感个人信息,进

行自动化决策,委托处理、对外提供、公开个人信息或向境

外提供个人信息时,以及产品、服务或业务开展前、发生重

大变化时或者其技术、法律环境发生重大变化时,需要开展

个人信息保护影响评估。

(二)尽责性评估场景