慎独自律修己安人-个人信息保护影响评估的作用

个人信息保护影响评估（PrivacyImpactAssessment，以下称PIA）是《个人信息保护法》的一项法定义务，既是个人信息保护主要的合规内容之一，也是个人信息保护中非常有效的合规工具之一。自2021年11月，《个人信息保护法》实施以来，一些个人信息处理者已经开展了相关PIA评估实践，取得了积极效果，帮助企业防范和化解了相关风险，妥善处理个人信息保护纠纷和应对个人信息保护监督检查。而目前尚未开展PIA的个人信息处理者，主要是对PIA不了解、不熟悉，或者知其重要性，但不知如何开展，以及不清楚个人信息保护影响评估的功能与价值，导致个人信息合规工作陷入困局，无法产生预期价值，过度投入成本而没有获得应有的收益。然而，PIA在个人信息保护整体法治体系及执法框架中，实际上具有非常重要的作用，并且在当下及未来的《个人信息保护法》实施中，可能会变得越来越重要。为进一步厘清个人信息保护影响评估的作用和功能，本文将全面分析PIA的背景知识、政策趋势及PIA的效用增值，为相关企业开展PIA提供参考。一、哪些场景需要PIA一般而言，并非所有的个人信息处理活动都需要开展PIA。理论上，PIA是针对高风险个人信息处理活动的一项预防及应对措施，主要针对个人信息权益等可能受到较大影响的场景，这些场景也由法律规定所确定。《个人信息保护法》第五十五条规定了需要开展PIA的五种情形，符合其中之一的，个人信息处理者应当事前进行个人信息保护影响评估，并对处理情况进行记录。该五种情形为：（1）处理敏感个人信息；（2）利用个人信息进行自动化决策；（3）委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息；（4）向境外提供个人信息；（5）其他对个人权益有重大影响的个人信息处理活动。《个人信息保护法》首设了PIA制度以后，国家网信办通过配套规定在跨境、合规审计、人脸识别等方面重申、强调了PIA的法定性、前置性要求，或者进一步对PIA作出了相关细化规定，从体系性层面强化了PIA的重要性。1.跨境方面按照《个人信息保护法》的要求，“向境外提供个人信息”本身就是触发PIA的法定场景之一。对此，《个人信息出境标准合同办法》第五条要求，个人信息处理者向境外提供个人信息前，应当开展个人信息保护影响评估……。《个人信息跨境处理活动安全认证规范》5.4中明确，个人信息处理者应对拟向境外接收方提供个人信息的活动开展个人信息保护影响评估，并形成个人信息保护影响评估报告，评估报告至少保存三年。《粤港澳大湾区（内地、香港）个人信息跨境流动标准合同实施指引》第五条规定，个人信息处理者按照本实施指引，通过订立标准合同跨境提供个人信息前，应当开展个人信息保护影响评估；第七条规定，跨境提供个人信息的目的、范围、种类、方式，或者接收方处理个人信息的用途、方式发生变化，延长保存期限，以及发生影响或者可能影响个人信息权益其他情况的，个人信息处理者应当重新开展个人信息保护影响评估，……。值得注意的是，《促进和规范数据跨境流动规定》对跨境数据流动作出了很多创新安排，针对特定场景明确了豁免规定，但并未放宽其他有关个人信息出境安全保护措施的要求，其第十条明确规定，数据处理者向境外提供个人信息的，应当按照法律、行政法规的规定履行告知、取得个人单独同意、进行个人信息保护影响评估等义务。2.合规审计方面个人信息保护合规审计与PIA之间相互联系，是否开展PIA以及PIA开展是否充分，都应当是个人信息保护合规审计的内容之一。2023年8月，国家网信办向社会公开征求意见的《个人信息保护合规审计管理办法（征求意见稿）》中在委托处理个人信息（第六条）、提供个人信息（第八条）、自动化决策（第九条）、公开个人信息（第十条）、处理敏感个人信息（第十三条）、合规审计（第二十一条）等环节中都将个人信息保护影响评估作为重点审计事项，同时也专门对个人信息保护影响评估审计作出了规定（第二十五条）。虽然该征求意见稿尚未出台，但PIA作为审计的一项重要内容，已经是立法释放的明确信号。3.人脸识别2023年8月，国家网信办向社会公开征求意见的《人脸识别技术应用安全管理规定（试行）（征求意见稿）》第十五条中明确，人脸识别技术使用者处理人脸信息，应当事前进行个人信息保护影响评估，并对处理情况进行记录。……个人信息保护影响评估报告应当至少保存三年。处理人脸信息的目的、方式发生变化，或者发生重大安全事件的，人脸识别技术使用者应当重新进行个人信息保护影响评估。在《个人信息保护法》规定的基础之上，行业监管中逐步引用PIA工具作为个人信息保护的重要部分，主要在个人信息类型丰富、数量较大的一些行业领域，如快递、金融、教育等行业都出台了专门规定，强调了个人信息保护影响评估的前置性要求，作为行业领域个人信息保护的合规重点之一。1.快递行业《快递市场管理办法》第三十七条规定，经营快递业务的企业委托其他企业处理用户个人信息的，应当事前进行用户个人信息保护影响评估，并对受托企业处理个人信息的活动进行监督，不免除自身对用户个人信息安全承担的责任；《寄递服务用户个人信息安全管理规定》第八条第一款规定，寄递企业为完成寄递服务全流程操作委托第三方或者其他寄递企业等开展代收代投、清关等业务，需要对寄递服务用户个人信息数据进行委托处理时，应当事前进行寄递服务用户个人信息保护影响评估，并依法约定委托处理的目的、期限、处理方式、个人信息种类、保护措施及双方权利义务，并对受托人的个人信息处理活动进行监督。2.金融行业《中国人民银行关于发布金融行业标准做好个人金融信息保护技术管理工作的通知》6.1a）中明确，在共享和转让前，应开展个人金融信息安全影响评估，并依据评估结果采取有效措施保护个人金融信息主体权益；金融监管总局2024年3月发布的《银行保险机构数据安全管理办法（征求意见稿）》中规定，银行保险机构在开展涉及对个人权益有重大影响的个人信息处理活动时，应当进行个人信息保护影响评估，评估内容包括个人信息处理的合法性、必要性，对个人权益的影响及安全风险，所采取的保护措施合法性、有效性以及是否与风险程度相适应。个人信息保护影响评估报告和处理情况记录应当至少保存三年。3.教育行业2021年9月，教育部办公厅等六部门发布《关于做好现有线上学科类培训机构由备案改为审批工作的通知》（教监管厅〔2021〕2号），其中明确要求教育移动应用提供者应当建立覆盖个人信息收集、储存、传输、使用等环节的数据保障机制，储存100万人以上个人信息的线上校外培训APP，应通过个人信息保护影响评估、认证或合二、PIA与个人信息保护合规审计仔细研读《个人信息保护法》的规定，可以发现PIA和个人信息保护审计具有程序上的差别。个人信息保护合规审计分为自我审计和监管审计，自我审计是根据《个人信息保护法》第五十四条的规定，定期开展的、对处理个人信息是否遵守法律、行政法规的情况进行判断；监管审计是根据《个人信息保护法》第六十四条规定，由履行个人信息保护职责的部门要求存在较大风险或者发生个人信息安全事件的个人信息处理者，委托专业机构对其个人信息处理活动是否遵守法律、行政法规的情况进行判断。根据《个人信息保护合规审计管理办法（征求意见稿）》（2023年8月）的要求，自我审计分为每年至少一次（处理超过100万人个人信息的个人信息处理者）和每二年至少一次（其他个人信息处理者），自我审计可以自行开展（由本组织内部机构负责）或者委托专业机构开展。而监管审计则具有行政监管性质，必须由第三方专业机构开展，在功能上体现为专业辅助性行政监管，按照《个人信息保护合规审计管理办法（征求意见稿）》的要求，个人信息处理者按照履行个人信息保护职责的部门要求委托专业机构开展个人信息保护合规审计的，应当按照专业机构给出的整改建议进行整改，经专业机构复核后将整改情况报送履行个人信息保护职责的部门（第十一条）。据此，可以认为个人信息保护合规审计是一种自我审视和评价的活动，是对个人信息处理活动违反《个人信息保护法》规定情况的识别和纠正，具有事后性的特点。相反，PIA评估属于事前义务，个人信息处理者必须在相关高风险个人信息处理动作之前就应当开展PIA，从而识别风险并采取相应的措施，以预防和避免风险的发生。这是一项强制性、前置性的合规义务，只要落入《个人信息保护法》第五十五条的范围，就应当开展PIA，并留存相关评估报告和处理情况记录。相对而言，由于《个人信息保护合规审计管理办法（征求意见稿）》尚未出台，《个人信息保护法》第五十四条关于“自我审计”的要求还不能形成闭环，因此其在强制性效果方面还具有一定的弹性空间。小结来说，个人信息保护审计主要针对事实进行审查和评价，而PIA是针对风险（即尚未发生、未必发生的事实）进行评估。PIA具有现实的强制性，对企业而言是务必需要履行的合规义务，而个人信息保护合规审计仍然具有自驱性的空间。当然，PIA和个人信息保护合规审计虽然具有一定的差异性，但是从效果上来看，都具有辅助企业完善合规水平的功能，只是从不同的角度切入合规，两者亦可以相互联系起来互为辅助。比如，《个人信息保护合规审计管理办法（征求意见稿）》的审计要点中，对委托处理、提供、自动化决策、公开、处理敏感个人信息等环节均将是否开展PIA作为审计要点，将是否建立PIA制度作为一项审计要点，并对PIA专门规定了一条审计项（第二十五条）。同时，从PIA的角度来说，需要考虑特定场景（即PIA的触发情形）的相关个人信息保护情况，但个人信息处理者的整体合规水平也应作为影响评估判断的重要参考，因此将是否开展了个人信息保护合规审计及其审计情况，理论上也可以作为PIA的评估因素之一，未来具备相互挂钩的可能性。三、PIA的功能PIA作为《个人信息保护法》的重要合规工具，在相关个人信息保护标准中都有涉及，并且已经在相关行业规定中明确规定，在企业防范和应对个人信息保护风险中具有突出的作用。PIA最直接的作用是评价企业是否满足个人信息保护相关法规、标准要求。PIA属于事前进行的个人信息合规审计活动，都具有评价个人信息处理活动是否符合法律规定的功能，能够帮助企业及时发现违规之处，提升个人信息处理合规水平，对于企业维护商誉、避免个人信息保护高额处罚等，具有较好的风险防范作用。正如考试做完试题要认真检查的道理一样，PIA不仅可以落实《个人信息保护法》的强制规定，也可以与个人信息保护合规审计合并，成为企业风险控制的综合有效工具。（二）PIA能够提升透明性通过PIA能够增加企业个人信息处理的内部和外部透明性。一方面，开展PIA需要融合企业高层、业务、法务以及风控等条线，可以在企业内部提升个人信息处理的透明性，有助于发现和识别风险点，采取相应的风险应对措施，特别是在新技术新应用上线过程中，能够发挥有效的风险把控作用。另一方面，PIA可以通过权威机构获取相关标识，以面向公众展示个人信息保护工作努力及合规水平，应对个人信息保护纠纷及公众信任危机事（三）PIA可以有效降低风险《个人信息保护法》第六十九条确立了个人信息侵权的过错推定责任，即个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任。这是关于民事责任的规定，适用于争议解决场景。而在行政责任方面，《个人信息保护法》没有作出明确的规定，但根据其第六十六条的综合罚则来看，处罚事由是“违反本法规定处理个人信息，或者处理个人信息未履行本法规定的个人信息保护义务的”。据此可以认为，处理个人信息是否具备合法性基础，以及个人信息处理活动中是否履行了个人信息保护义务，是罚与不罚的基础考量。根据《个人信息保护法》第六十三条规定，履行个人信息保护职责的部门，是通过询问、查阅复制、现场检查等方式进行监督管理。PIA评估报告和处理记录，是证明个人信息处理者合规处理个人信息的重要证据。在发生纠纷或损害时，如果通过调取记录，发现个人信息处理者进行了有效的个人信息保护影响评估，对识别的风险采取了相应的保护措施，就可以减轻或免除个人信息处理者的责任[1]。四、如何进行PIA《个人信息保护法》明确了PIA的三项内容：1.个人信息的处理目的、处理方式等是否合法、正当、必要；2.对个人权益的影响及安全风险；3.所采取的保护措施是否合法、有效并与风险程度相适应。据此规定，开展PIA首先应当确定个人信息处理的场景，特别是有无符合法定场景的情况，并基于场景评估个人信息的处理目的、处理方式，如处理目的是否与场景相一致，处理方式是否匹配个人信息处理的场景。其次，应当综合判断对个人权益的影响，此时不应局限于特定场景，而应从个人信息保护整体环境予以评估，如企业治理组织结构及个人信息保护合规水平等。最后，应当评估保护措施是否充分合理。保护措施的设置也应考虑两个层面，一个层面是从全局层面上评估内部管理制度、操作规程、人员培训、应急响应等方面是否满足风险应对的需要，另一个层面是从具体层面确定个人信息分类管理、安全技术措施（如加密、去标识化等）、操作权限设置是否与个人信息处理活动的风险相一致。具体而言，2020年《个人信息安全影响评估指南》（GB/T39335-2020）（以下称《评估指南》）正式发布，该指南作为国家标准，对PIA提供了详细的指引。《评估指南》将PIA分为自评估和检查评估两种形式。自评估，是指组织自行发起对其个人信息处理行为的评估，可以由本组织指定专门负责评估、审计的岗位或角色开展，也可以委托外部专业组织开展评估工作；检查评估，是指组织的上级组织（指对组织有直接领导关系或负有监督管理责任的组织）发起的个人信息安全影响评估工作。检查评估也可以委托外部专业组织开展评估。（参见《评估指南》4.6.3）理论而言，PIA是《个人信息保护法》所规定的强制性、前置性义务，应由个人信息处理者主动完成，属于法定合规义务的一部分，《个人信息保护法》并未规定履行个人信息保护职责的部门要求个人信息处理者开展个人信息保护影响评估的情形，因此无论是自评估还是检查评估，从其内涵上来说都应当看作企业自身合规建设的内容。《评估指南》所给出的“检查评估”，不宜理解由行政监管部门主导和发起PIA，这与个人信息保护合规审计相比是不同的。从功能上来看，PIA具有事前的预防性，而个人信息保护合规审计属于事后的评价工作。行政监管的功能主要是查实、纠正违法行为，更适合通过审计方式进行监督检查，而PIA则应由企业主动完成。那么，《评估指南》中的“检查评估”实际上还是在企业内部体系中的触发机制，如集团组织架构中，总部对分支机构提出PIA的要求。根据《评估指南》，PIA主要可以归纳为三个步骤。（一）组建评估团队、确定评估计划及评估对象PIA需要指定专门责任部门或责任人员，《评估指南》指出，该责任部门或人员应对个人信息安全影响评估工作结果的质量负责，因此应具有独立性，不受到被评估方的影响。一般而言，企业的法务部门、合规部门或信息安全部门可以作为PIA的责任部门。PIA的责任部门可以根据其具体能力配备情况，选择自行开展PIA，或聘请外部独立第三方来承担具体的PIA工作。（参见《评估指南》4.4和5.2.1）PIA责任部门开展评估前，应采取数据映射分析的方法对待评估对象进行调研，形成数据清单及数据映射图标（dataflowcharts），从而确定待评估的个人信息处理活动。待评估对象可以是某项产品、某类业务或者某项具体的合作。其中，《评估指南》还指出，出于审慎经营、声誉维护、品牌建立等目的，组织（企业）往往选取可能对个人合法权益产生高风险的个人信息处理活动，开展尽责性风险评估。（参见《评估指南》4.5和评估团队需要制定清晰的评估计划，规定完成个人信息安全影响评估报告所进行的工作、评估任务分工、评估计划表等。同时，计划还需要考虑到待评估场景中止或撤销的情况，以及相关具体因素。（参见《评估指南》（二）开展评估并识别风险PIA的核心包括三项工作，数据映射分析、风险源识别和个人权益影响缝隙。数据映射分析需要对个人信息处理活动的全生命周期进行调研分析，确定个人信息类型、处理目的、具体实现方式等，包括个人信息处理过程中涉及的资源（如内部信息系统）和相关方（如个人信息处理者、平台经营者、外部服务供应商、云服务商等第三方）。根据数据映射分析结果，可以对个人信息处理活动进行分类，以进一步作出风险评价。（参见《评估指南》5.3）风险源识别主要考虑个人信息处理活动中是否缺乏足够的安全措施，导致存在脆弱性而引发安全事件。《评估指南》归纳了四个方面来进行风险源识别，包括网络环境和技术措施、个人信息处理流程、参与人员与第三方、业务特点和规模及安全态势。针对这四个方面，《评估指南》给出了详细的评估时应关注的因素。（参见《评估指南》5.4）个人权益影响分析主要是分析特定的个人信息处理活动是否会对个人信息主体合法权益产生影响，以及可能产生何种影响。《评估指南》将个人权益影响概括为四个维度：限制个人自主决定权、引发差别性待遇、个人名誉受损或遭受精神压力和人身财产受损。具体分析过程中，企业可以根据数据映射结果，结合相关法律、法规、标准，按照企业自定义的个人信息安全目标，审视个人信息处理活动可能对个人权益产生的影响，以及个人信息泄露、毁损、丢失、滥用等可能对个人权益产生的影响。《评估指南》进一步将个人权益影响分析过程细分为四个阶段，个人信息敏感程度分析、个人信息处理活动特点分析、个人信息处理活动问题分析和影响程度分析。（参见《评估指南》5.5.1和5.5.2）此外，《评估指南》还要求进行安全风险综合分析，考虑安全事件可能性和个人权益影响程度两个要素，分析得出个人信息处理活动的安全风险等级。（参见《评估指南》5.6）（三）合规整改及形成评估报告PIA本身包含了合规分析的内容，《评估指南》指出，如果企业的个人信息安全目标为符合相关法律、法规或标准的基线要求时，PIA的主要目的在于识别待评估的具体个人信息处理活动已采取的安全控制措施，与相关法律、法规或标准的具体要求之间的差距。《评估指南》在合规分析方面区分了全景式和局部式两种方式。一般而言，PIA牵涉面较大，需要对个人信息处理活动作深入评价和挖掘，全面、系统分析风险点及相应缓释措施。结合《个人信息保护法》的规定，PIA主要适用于高风险场景，不过由于PIA在本质上具备合规的内在功能，因此企业既可以考虑针对高风险场景开展PIA，同样也可以通过PIA的方式实现整体合规——正如前文所述，PIA与个人信息保护合规审计相互挂钩，可以相互转换、相互映证。《评估指南》将“合规差距评估”分为“整体合规分析”和“局部合规分析”（参见《评估指南》和）。整体合规分析的应用场景主要包括：（1）产品或服务的年度整体评估；（2）新产品或新服务（不限技术平台）设计阶段评估；（3）新产品或新服务（不限技术平台）上线初次评估；（4）法律、法规、政策、标准等出现重大变化时重新评估；（5）业务模式、互联网安全环境、外部环境等发生重大变化的重新评估；（6）发生重大个人信息安全事件后重新评估；（7）发生收购、兼并、重组等情形开展评估。局部合规分析的应用场景主要包括：（1）新增功能需要收集新的个人信息类型时的评估；（2）法律、法规、政策、标准出现部分变化时的评估；（3）业务模式、信息系统、运行环境等发生变化时评估。五、未成年人网络保护PIA需要注意的是，PIA在未成年人个人信息保护领域更为重要，甚至可能从特定场景变为通用法定义务。《未成年人网络保护条例》已于2024年1月1日起实施，对未成年人网络保护合规作出了全面性、系统性规定。（详见：《儿童急走追黄蝶，飞入菜花无处寻——如何构建未成年人网络保护合规体系？》）未成年人个人信息保护是未成年人网络保护合规的主要内容之一，《未成年人网络保护条例》对未成年人个人信息保护也做了专章的规定。未成年人信息保护是在一般个人信息保护框架基础上的特殊保护，按照对未成年人优先保护、特殊保护的原则，对未成年人个人信息保护应遵循更为严格的标准。根据《个人信息保护法》的规定，不满十四周岁的未成年人（儿童）个人信息属于敏感个人信息，实行更为严格的保护。综合来看，未成年人个人信息保护包括两个部分，已满十四周岁的未成年人个人信息和不满十四周岁的敏感个