前沿 | 实施个人信息保护影响评估，推动个人信息保护关口前移 - 新鲜讯息

扫码订阅《中国信息安全》

邮发代号 2-786

征订热线：010-82341063

文│中国电子技术标准化研究院网络安全研究中心主任姚相振

2021 年 11 月 1 日，《个人信息保护法》（以下简称《个保法》）的正式施行，可以说在我国个人信息保护法治建设具有里程碑意义。《个保法》内容具备系统性、针对性和可操作性特点，规范了个人信息处理活动，明确了组织的法律责任和义务，为个人信息保护提供了强有力的法律保障。

与此同时，《个保法》创新性地提出了众多有助于个人信息保护的新举措，其中，《个保法》第五十五、五十六条所提出的“个人信息保护影响评估”便是一项有助于推动个人信息保护“关口前移”的重点工作。

一、个人信息保护影响评估的效用和意义

《个保法》第五十五条明确指出了需要事前开展个人信息保护影响评估的五种情形，包括处理敏感个人信息、利用个人信息进行自动化决策、委托处理、向其他处理者提供、公开个人信息、向境外提供个人信息等。上述情形的共同点是，其均可能对个人权益产生重大影响。以当下处理个人信息最为常见的互联网领域为例，定向推送、自动评分、辅助决策等自动化决策、大数据分析的机制已被广泛应用；互联网生态庞杂、活跃，数据的流动极为频繁，涉及数据的委托处理、共同处理、向第三方提供等情形非常普遍；伴随着基于位置的服务（LBS）形式、网络支付和互联网金融迅速普及，人脸识别等生物识别技术的应用面扩大，对敏感个人信息的处理也屡见不鲜。可以说，上述情形对个人权益的影响面、影响程度也在不断增加。《个保法》中个人信息保护影响评估要求的提出，明确了组织需对个人权益影响进行事前评估的机制，其核心理念是通过提前介入，来预防对个人权益的影响及安全风险。同时，第五十五条给出了具体的需事前评估的场景，而非对所有的个人信息处理活动均需评估，该条款以“对症下药”的方式，避免了非必要的评估为组织增加过多负担，保证了条款实施的针对性、可行性。

此外，个人信息保护影响评估所提出的以风险为视角的方法，还能弥补法律条款固化带来的不足。个人信息处理的场景可以说层出不穷，新技术新应用更是会不断引入一些新的隐患，法律条款很难将所有情形予以穷尽，需要“兜底式”条款弥补不足。《个保法》第五十五条所指出的“其他对个人权益有重大影响的个人信息处理活动”需要事前开展个人信息保护影响评估，这就为复杂问题、未知问题的解决留下余地。事实上，以影响和风险为视角进行评估，也是一种寻求“发展”与“安全”相平衡的方法，《个保法》第五十六条提出需要分析“所采取的保护措施是否合法、有效并与风险程度相适应”，面对风险，不是“因噎废食，搞一刀切”，而是“因地制宜，科学把控”，这就为更好地促进个人信息利用提供了更多可能，为数字经济的繁荣发展提供了更多助力。

二、国家标准为实施个人信息保护影响评估提供支撑

《个保法》第五十六条指出，影响评估需评估的内容包括：个人信息的处理目的、处理方式等是否合法、正当、必要；对个人权益的影响及安全风险；所采取的保护措施是否合法、有效并与风险程度相适应等。短短几句话，事实上信息量巨大，如何界定合法、正当、必要？个人权益的影响涵盖哪些角度？权益的影响和最终的安全风险有何关联？如何判定所采取的保护措施是否与风险相适应？这都是评估过程中需要深入分析的内容。很明显，如果没有相关的操作指引，评估人员仅凭个人理解进行评估，恐怕很难做到全面、准确、深入、中立，那么评估的本身价值就可能大打折扣，长此以往甚至有可能形成“走过场”“套模板”等做法，这就脱离了开展评估的初衷，评估则可能会变成了组织的“额外负担”，而非管控个人信息安全风险的“先进方法”。

近年来，我国高度重视个人信息保护国家标准的体系建设，在 GB/T 35273-2017《信息安全技术个人信息安全规范》国家标准发布实施以来，围绕其形成了一系列配套的国家标准。其中，由全国信息安全标准化技术委员会（TC260）归口，中国电子技术标准化研究院牵头编制的 GB/T39335-2020《信息安全技术个人信息安全影响评估指南》（以下简称“影响评估指南”）标准，借鉴了国外在该领域积累的优秀经验，着重参照我国法律法规对个人信息保护的具体要求，包括当时正在制定中的《个人信息保护法》（草案）的要求；同时，围绕我国个人信息保护的现状，提出了系统性开展个人信息保护影响评估的方法论。

其一，“影响评估指南”在评估的必要性中，对开展评估的前提进行详述，其中“5.1.2.4 评估性合规要求分析”里涉及的场景包含了《个保法》第五十五条提出的需开展评估的所有情形，充分解答了“何时开展影响评估”的问题。其二，“影响评估指南”对个人权益的影响角度进行系统性归类，将其区分为“限制个人自主决定权”“引发差别性待遇”“个人名誉受损或遭受精神压力”“人身财产受损”四个维度，降低了分析过程的复杂度，提升了分析的全面性。其三，“影响评估指南”给出了开展个人信息保护影响评估的具体流程，对不同个人信息处理场景中的安全措施有效性给出了评价方法，对安全风险提出了定性和定量分析的思路，并给出了判定准则，与《个保法》第五十六条中提出的评估内容有所对应，充分解答了“如何开展影响评估”的问题。

总体来说，作为多方参与、专家把关、广泛试点验证的“影响评估指南”，其与《个保法》的具体规定相吻合。“影响评估指南”的发布实施，可帮助组织更好地履行法律所规定的义务，为组织高质量开展“个人信息保护影响评估”提供了重要支撑。

三、以开展评估为法律落地的抓手，让个人信息保护“关口前移”

《个保法》在第五章“个人信息处理者的义务（第五十一条至五十九条，共九条）”中，对组织应当严格履行的法定义务进行说明，包括了责任人员、管理制度、技术措施、合规审计、影响评估、应急机制、平台责任等多个角度的具体要求。其中，《个保法》使用了第五十五条、第五十六条两个条款的篇幅对开展个人信息保护影响评估的启动条件、评估内容、评估产出等进行详细阐述，可见其分量之重。不仅如此，个人信息保护影响评估已经体现在我国多个领域的监管要求中。比如，教育部办公厅等六部门发布《关于做好现有线上学科类培训机构由备案改为审批工作的通知》（教监管厅〔2021〕2 号，以下简称“通知”），其中指出储存 100 万人以上个人信息的线上校外培训App，应通过个人信息保护影响评估、认证或合规审计。2022 年 6 月，国家互联网信息办公室公开《个人信息出境标准合同规定（征求意见稿）》，其中第五条指出，个人信息处理者向境外提供个人信息前，应当事前开展个人信息保护影响评估。组织是否按照规定开展了个人信息保护影响评估已经成为衡量组织是否有效落地《个保法》的要求的重要视角。

《个保法》第五十六条还指出，个人信息保护影响评估报告和处理情况记录应当至少保存三年。报告和处理情况记录是证明组织履行了评估义务的最直接证据，同时，还可通过查看报告的方式分析影响评估工作的质量、效果。《个保法》在第六章“履行个人信息保护职责的部门”中指出，个人信息保护职责的部门应履行的职责包括：指导、监督个人信息处理者开展个人信息保护工作；可采取的措施包括：查阅、复制与个人信息处理活动有关的记录、资料，以及实施现场检查。由此，履行个人信息保护职责的部门在开展监督个人信息保护工作的过程中，可以通过检查组织是否开展了影响评估、其是否按规定留存了评估报告、风险处置记录等来印证其履行义务的情况。

例如，《个人信息出境标准合同规定（征求意见稿）》第七条指出，个人信息处理者应当在标准合同生效之日起 10 个工作日内，向所在地省级网信部门备案个人信息保护影响评估报告，对评估报告的检查将可能成为监督管理工作的重要抓手。更进一步，还可以通过对其评估报告内容进行查阅和分析，评判组织是否充分履行了评估的义务，识别个人信息处理活动是否依然存在风险，从而防止影响评估工作被“边缘化”“无效化”。

在履行个人信息保护职责的部门开展个人信息保护影响评估相关的检查中，“影响评估指南”也能成为重要的助力工具，这也与该国家标准在其适用范围中所述“可为主管监管部门、第三方测评机构等组织开展个人信息安全监督、检查、评估等工作提供参考”相呼应。“影响评估指南”所提出的系统性方法，不仅为组织充分履行个人信息保护影响评估义务提供思路、方法，也可为个人信息保护职责的部门分析组织所提供的个人信息保护影响评估报告的完备性、条理性、科学性等提供参考。

综上，如果对个人信息保护影响评估工作的检查成为一种常态化监督的手段，将可能进一步强化组织对个人信息处理的风险警惕和合规意识，从组织内部形成一道个人信息保护“防火墙”，真正地让个人信息保护做到“关口前移”。

四、小结

个人信息保护影响评估作为《个保法》专门提出的一项重点工作，是有效降低个人信息处理风险，预防个人权益遭到侵害的关键手段。同时，个人信息保护影响评估也是组织是否履行了法定义务，具备什么样的个人信息保护水平的直观体现，需要得到组织的高度重视。对于很多组织而言，个人信息保护影响评估可能是一项全新的工作，但国家标准“影响评估指南”的实施，则有效降低实施的门槛、难度、成本，也促进了实施过程中评估方法的一致性、评估结论的科学性。因此，在更广范围，以更大力度应用标准，是促进个人信息保护影响评估工作落地实施、推动个人信息保护“关口前移”的实效举措。

（本文刊登于《中国信息安全》杂志2023年第3期）

《中国安全信息》杂志倾力推荐

“企业成长计划”

点击下图了解详情