第六部分：數據影響評估或事前風險評估（DPIA/PIA）的要求

　　“數據保護影響評估”是引用自GDPR的規定，要求數據控制者需要對“可能會對自然人的權利和自由造成高風險”的操作進行數據保護影響評估，英文為Data Protection Impact Assessment,簡稱DPIA，有些國家或地區也稱為“隱私影響評估”（Privacy Impact Assessment，簡稱PIA），主要是指在開始數據處理活動之前和在部分特定的情況下，數據控制者有義務對數據處理的行為進行不同維度的影響評估，對個人信息主體合法權益是否可能會造成損害的不同風險進行評估，以幫助企業對數據處理過程中可能涉及的風險進行識別與系統分析。

　　鑒于篇幅有限，本文僅就需要進行DPIA/PIA的情況進行基礎對比，暫不就如何開展DPIA/PIA進行論述，我們或會通過其他文章就怎樣進行數據影響評估進行分析。

　　（一）我國個人信息保護法解讀：

　　在我國個保法出臺前，我國已經有相關的法律以及國家標準指南等文件對“個人信息安全影響評估”作出了規定，例如《網絡安全法》要求“關鍵信息基礎設施的運營者在中國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業務需要，確需向境外提供的，應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估”；又例如，《數據安全法》對“重要數據的處理者”作出了“應當按照規定對其數據處理活動定期開展風險評估，并向有關主管部門報送風險評估報告”的要求；以及國家市場監督管理總局、國家標準化管理委員會也通過正式發布《信息安全技術 個人信息安全影響評估指南（GB/T39335-2020國家標準）》，來對如何進行個人信息保護影響評估提出了具體的評估規則和參考內容，以便為企業提供更有效的實務參考工具和標準。

　　雖然個保法出臺前已經有前述關于“個人信息安全影響評估”的規定內容，但對于大部分非CIIO亦非重要數據處理者的企業來說，由于進行數據影響評估屬于非強制性要求，因此較多企業可能還沒將需要進行數據影響評估作為內部合規機制之一。而本次個保法則明確將數據影響評估的要求作為強制性法律要求列入，對企業內部合規制度的建設提出了更為嚴格的要求。

　　本次個保法沒有就籠統性的場景對需要進行數據影響評估作出規定，而是針對具體的處理活動作為判斷是否需要進行DPIA/PIA的基準點，個人信息處理者應當在數據處理活動之前進行數據影響評估的情況（事前風險評估）包括：

　　01

　　處理敏感個人信息

　　02

　　利用個人信息進行自動化決策

　　03

　　委托處理個人信息

　　04

　　向其他個人信息處理者提供個人信息

　　05

　　公開個人信息

　　06

　　向境外提供個人信息

　　07

　　以及其他對個人權益有重大影響的個人信息處理活動

　　不管是否是CIIO，還是重要的數據處理者，只要是落入我國個保法立法語境下“個人信息處理者”的范疇，就可以根據上述法定的情況來判斷是否需要執行DPIA/PIA。

　　同時，個保法還對DPIA/PIA應當包括的內容作出了明確的規定：

　　01

　　個人信息的處理目的、處理方式等是否合法、正當、必要；

　　02

　　對個人權益的影響及安全風險；

　　03

　　所采取的保護措施是否合法、有效并與風險程度相適應。

　　另外，在企業檔案保管制度要求方面，個保法亦通過明確的法律規定對企業提出了具體的保存期限要求，即，個人信息處理者應當對個人信息保護影響報告和處理情況的記錄至少保存三年。

　　（二） 海外主要個人信息保護法律對比：

　　總體來說

　　筆者認為，當企業涉及處理敏感的、重要的的數據時候，將進行數據影響評估作為必備的內部合規制度，還是非常必要的。即便通過DPIA/PIA并不能為企業消除所有的數據合規風險，但卻能在較大程度上幫助企業最小化與數據合規相關的風險，以及可以幫助企業判斷對應的數據風險等級，并作出是否接受該等風險的判斷。從GDPR角度而言，DPIA是履行GDPR問責制義務的關鍵體現之一；從我國個保法來看，是企業在部分法定情形下應當進行事前風險評估的強制性要求。

　　總體而言，企業通過實施并較好地完成數據影響評估，不僅能降低各類數據潛在風險的發生，而且能幫助企業自我證明其在業務運營過程中遵守了屬地國/地區的數據保護法律的規定和要求，企業亦能根據數據影響評估的結果采取有效的合規策略與保障措施。