对个人信息保护影响评估的学习和讨论
Locations
近期笔者与客户在做具体业务中已经开始按照中国个人信息保护法在几个场景下开展个人信息保护影响评估。笔者在本文说一下相关要求,并试图粗浅地对比一下欧洲和中国两个不同版本的数据保护影响评估,仅做抛砖引玉之用。
- 个人信息保护法下的个人信息保护影响评估
中国《个人信息保护法》第55条和第56条规定了个人信息保护影响评估。第55条主要规定的是什么情形下需要开展个人信息保护影响评估:
有下列情形之一的,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录:
(一)处理敏感个人信息;
(二)利用个人信息进行自动化决策;
(三)委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;
(四)向境外提供个人信息;
(五)其他对个人权益有重大影响的个人信息处理活动。
第56条侧重于规定个人信息保护影响评估需要包含什么内容:
(一)个人信息的处理目的、处理方式等是否合法、正当、必要;
(二)对个人权益的影响及安全风险;
(三)所采取的保护措施是否合法、有效并与风险程度相适应。
按照第56条的要求,个人信息保护影响评估报告和处理情况记录应当至少保存三年。
个人信息保护影响评估的实质仍然是一个风险路径的工具,用于判断风险和避免、缓解风险。《个人信息保护法》下的个人信息保护影响评估并没有一个定义,但是明确规定了触发点(triggers)和内容,以及存档要求。这一规定相对来说还是比较符合世界个人信息保护立法趋势的,但是从某种角度上而言,个人信息保护法下的个人信息保护影响评估,与GDPR下的DPIA,以及其他国家的PIA是有很多差别的。我们欧洲同事之前比较GDPR和个人信息保护法时曾经很严肃脸地问我们说,中国是不是在通过个人信息保护影响评估来变相实现GDPR第30条的数据活动记录,这个角度很有趣,但是确实能看出来我们对评估的触发点的要求会导致企业需要做很多的评估,而且在已经有相关安排的情况下,还是需要做评估。比如说,委托处理个人信息,《个人信息保护法》第21条已经明确要求了需要签署相关的协议约定双方的权利义务以及委托处理的描述。但是在此之前,我们还需要开展个人信息保护影响评估。这对很多企业而言是两份负担,尤其对一些没有技术能力处理个人信息的企业而言,委托外包很多第三方来处理个人信息的就更是问题。数据分享也是同样的问题。对于企业而言,由于此前对合规没有很重视,负责做合规同事可能没那么多,做个人信息合规的同事可能会更少,可能会每天忙于做评估而无暇做别的事情。再比如说,个人信息跨境传输,如果企业是关键信息基础设施运营者或者满足要求的处理者,那这个义务叠加也很恐怖,第40条下要求的传输的风险评估,还得在事前做个人信息保护影响评估。笔者此前给立法建议时曾经提出过这个风险评估是否要考虑有些企业是会有日常个人信息传输的企业,比如航空公司和GDS之间,每人次传输如果都需要评估的话就很难操作,是否需要平衡一下这个义务负担,具体怎么操作还是需要网信部门给出更明确的规则的。
其实从兜底条款来说,我们能发现这里的触发点的判断标准是“对个人权益有重大影响”的个人信息保护活动,与此同时,中国个人信息保护法预设了几个对个人权益有重大影响的个人信息处理活动,就是法律规定的前四个。虽然实践中这四种情形并非是一定影响个人权益的,以及这个规定虽然可能会给企业造成大量的额外工作,但是至少做到了足够明确,也至少比网络安全审查义务中的影响国家安全的标准要明确很多,也已经是进步了。
- EU GDPR中的DPIA 和中国个人信息保护影响评估对比
| 对比项 | GDPR数据保护影响评估(DPIA) | 个人信息保护影响评估 |
| 是否属于强制性义务 | 是,GDPR第35条 | 是,《个人信息保护法》第55-56条 |
| 是否有相关指南 | 有,“Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679” (“指南”) | 《个人信息保护法》出台后目前没有。 《个人信息保护法》出台前,信安标委有颁布《个人信息安全影响评估指南》(GB/T39335-2020) |
| 触发点 | GDPR第35条第1款规定: 处理可能对自然人的权利和自由产生“高风险”时。 第35条第3款第规定: (a)自动化处理(包括画像时)对自然人的个人情况进行系统、广泛评估,并基于该等评估对自然人产生法律效力或类似重大影响; (b)对特殊种类数据(敏感数据),或对刑事定罪和犯罪相关的个人数据进行大规模处理; (c)对公共区域进行大规模监控。 同时,按照指南的规定,在以下情形下也要做DPIA: (1)评估或评分,包括识别分析和预测,特别是从“有关数据主体在工作中的表现、经济状况、健康、个人偏好或兴趣、可靠性或行为、位置或动作等方面”(GDPR序言第71、91条)。 (2)自动化决策产生法律或类似显著影响:处理的目的在于对数据主体(自然人)产生“法律影响”或“类似重大影响”(GDPR第35条第3款a项)。 (3)系统性监控:用来观察、监视或控制数据主体的处理活动,包括通过网络收集的数据或“对公共可访问区域的系统性监视”(GDPR第35条第3款c项) (4)敏感数据或高度个人性质的数据:这包括GDPR第9条所界定的特殊类别的个人数据,例如政治意见的数据,以及第10条所界定的与刑事定罪量刑有关的个人数据。 (5)大规模处理数据:GDPR并未定义什么是大规模,但序言第91条给出了一些参考。无论如何,WP29小组建议在决定处理是否是大规模进行时,尤其应考虑下列因素: a. 涉及的数据主体的数量,或者以特定数量或占涉及人口的比例计算 b.正在处理的数据量和/或不同数据的范围 c.数据处理活动的持续时间或持久性 d. 处理活动涉及的地理范围 (6)匹配或者组合的数据集:由不同目的和/或由不同数据控制者执行的两项或多项数据处理操作,而该操作的方式会超出数据主体的合理期望。 (7)易受伤害的数据主体的数据 (序言第75条):处理这类主体的数据成为标准的原因在于数据主体和数据控制者之间不平衡的权力倾斜愈发严重,这意味着个人可能无法轻易地同意或拒绝其个人数据被处理,或行使他们的权利。易受伤害的数据对象可能包括儿童(他们会被视为不能明确地、深思熟虑地拒绝或同意处理数据)、员工、需要特别保护的人群中易受伤害的人群(精神病患者、寻求庇护者、老年人、病人等)以及确定数据主体和控制者之间存在一个不平衡的关系时。 (8)创新使用或者应用新技术或者企业解决方案:这是因为使用这类技术可能涉及数据收集和使用的新形式,可能对个人的权利和自由造成高风险。事实上,部署新技术对个人和社会造成的后果很可能是未知的。DPIA将帮助数据控制者了解和处理这些风险。 (9)处理本身“阻止数据主体行使权利或者使用服务或合同”(第22条、序言第91条),这包括处理操作中允许、修改或拒绝数据主体查阅服务或订立合同的行为。 欧盟成员国还对本国有一些特别要求(白名单或黑名单的方式),比如有的成员国会将invisible processing 作为需要开展DPIA的触发点。 |
个人信息保护法第55条的规定: 有下列情形之一的,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录: (一)处理敏感个人信息; (二)利用个人信息进行自动化决策; (三)委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息; (四)向境外提供个人信息; (五)其他对个人权益有重大影响的个人信息处理活动。 |
| 内容要求 | 根据第35条第7款:
|
第56条规定: (一)个人信息的处理目的、处理方式等是否合法、正当、必要; (二)对个人权益的影响及安全风险; (三)所采取的保护措施是否合法、有效并与风险程度相适应。 |
| 组织要求 | DPO需要根据要求提供数据保护影响评估方面的建议,并监督组织依照第35条进行数据保护影响评估。 | 目前无明确要求 |
| DPO意见 | 根据第35条第2款,控制者在进行DPIA时应当向DPO寻求建议。 | 目前无直接规定。但个人信息保护负责人需要根据第五十二条的要求,负责对个人信息处理活动以及采取的保护措施等进行监督。 |
| 是否需要事先咨询监管机关 | 根据第36条的要求,在DPIA得出的结果可能是在降低风险或处理可能导致高风险的情况下,控制者在进行处理前应咨询监管机关。 | 目前无强制要求。 |
| 是否需要咨询数据主体或数据主体代表的意见 | 根据第35条第9款,在适当情况下,在不损害商业或公共利益保护,或处理操作安全性的原则下,控制者应咨询数据主体或数据主体代表对拟进行的数据处理的意见 | 目前无强制要求。 |
| 风险变化 | 必要时,至少在在风险变化时,控制者需要对评估进行审核,以评估处理结果是否需要根据DPIA进行。 | 目前无明确要求。 |
| 记录保留要求 | 需要。因属于问责制(accountability)的一部分,需要展示合规,所以必需保留DPIA的记录,用于合规展示。同时,GDPR第30条本身就要求了保留数据处理活动的记录,也能体现出处理是否按照DPIA的要求进行。 | 需要。根据第56条的要求,需要将个人信息保护影响评估的报告和处理结果记录保留3年以上。 |
- 问题以及期待
从某种角度上来说,中国在个人信息保护影响评估上有一定的不明确性,欧盟在指南中列举的9种情形,对于中国来说是否属于“其他对个人权益产生重大影响”的情形?因为欧盟会认为这9种情形对自然人的权利和自由造成了高风险,但是高风险和重大影响是否是一回事,现在在法律还未正式实施时是很难厘清的。
同时,对于企业而言,已经有客户来咨询:是否每个委托处理,每个数据分享都需要做影响评估,是否每次数据跨境传输都需要做影响评估,是否每个敏感信息类别的处理都需要评估?需要做多少次?如果按照最严格的解释来说,是否可以实现?是否能够落地?
不过目前能够确定的是,第55条这些情形都是要做的,至少企业应当先准备出来一套个人信息保护影响评估问卷、一套个人信息保护影响评估流程或指南,来做事前准备,而不是什么都不做就只等着国家给细则。问卷可考虑包含:背景情况、权益影响以及风险判断、已经采取的安全措施、建议的补充措施以及个人信息保护负责人的监督意见。流程上主要是需要明确在企业内部哪些人员有责任开展个人信息保护影响评估,配合应当怎么配合,是否有相关的系统或者调查流程,以及记录和存档的责任怎么分配。
同时,企业也要密切关注相关个人信息监管机关的动态,确保在有相关实施细则或者有更详细的要求时能够对照更新相关模版,并进一步确定需要开展个人信息保护影响评估的情况以及如何开展。