ENGLISH
文献资源
当前位置:首页 > 文献资源 > 论文著作 > 理论推演
刘权|论个人信息保护影响评估——以《个人信息保护法》第55、56条为中心
2022年11月21日 【作者】刘权 预览:

【作者】刘权

【内容提要】

*刘权

中央财经大学法学院副教授

 

 

 

摘要:个人信息保护影响评估属于受强制的自我规制,是一种事前性的合规评估和风险评估程序。作为数据治理重要工具的个人信息保护影响评估,可以检验个人信息处理是否合规,有助于识别并降低个人信息安全风险,有利于减轻或免除个人信息处理责任。当前我国个人信息保护影响评估的适用范围过于宽泛,缺乏必要的限定条件,可能对个人信息处理者带来过大的评估压力,同时极易导致评估流于形式。为了更全面地保护个人信息,国家机关也应履行个人信息保护影响评估义务。应特别重视设计参与程序、复审程序、事先咨询程序、公开程序等评估程序,以保障个人信息保护影响评估的客观性和有效性。个人信息保护影响评估的行为应包括个人信息处理活动和采取的保护措施,评估的影响应包括确定的实际影响和潜在的不确定性影响。

 

 

《个人信息保护法》第55条、56条确立了个人信息保护影响评估制度,但条款内容较为宽泛,仍有进一步完善的空间。作为一种事前性的合规评估和风险评估程序,个人信息保护影响评估属于受强制的自我规制,是数据治理中实现个人信息场景化保护的必然要求。个人信息保护影响评估具有重要的时代价值,体现了基于风险治理的个人信息保护新模式。风险已成为个人信息保护领域的新边界和关键指标,基于风险的个人信息保护正在形成。新型的个人信息保护影响评估制度必将对个人信息保护和利用的平衡产生深远影响,但当前相关研究匮乏,基本没有专门的探讨。进行有效的数据治理,需要吸收不同国家和地区的可行经验,加强国际数据治理政策储备和治理规则研究,提出中国方案。本文拟从法治视角对个人信息保护影响评估的本质与功能、适用范围、评估程序、评估内容等问题进行系统研究,以推动个人信息保护影响评估的理性化,有效实现其预期制度功能。

 

1

个人信息保护影响评估的本质与功能

 

个人信息处理者在实施符合法定情形的个人信息处理活动时,必须事前进行有效的个人信息保护影响评估。那么,《个人信息保护法》第55条、56条为什么要为互联网企业设立强制的评估义务?个人信息保护影响评估的本质与功能究竟是什么呢?

 

()个人信息保护影响评估的本质

 

所谓个人信息保护影响评估,是指对拟实施的个人信息处理活动所造成的影响进行评价和估计的活动。个人信息保护影响评估制度由个人信息安全影响评估演变而来。我国早在2017年发布的国家标准《信息安全技术个人信息安全规范》中就提出个人信息安全影响评估2020年修正时予以保留。2020年发布的《信息安全技术个人信息安全影响评估指南》全面规定了个人信息安全影响评估,涉及评估原理、评估实施流程等事项。2020年发布的《个人信息保护法(草案)》使用了风险评估2021年最终通过的版本改为个人信息保护影响评估。我国当前存在与个人信息保护影响评估类似但侧重点不同的制度,如网络安全风险评估、数据安全风险评估。个人信息保护影响评估侧重于保障个人信息安全,由个人信息处理者实施,评估对象是对个人权益有重大影响的个人信息处理活动。个人信息保护影响评估的内容范围较广,既包括评估确定性的实际影响,也涵盖评估不确定性的潜在影响即风险。

 

首先,个人信息保护影响评估属于受强制的自我规制。传统的风险评估属于政府实施风险规制的重要环节,例如国务院卫生行政部门开展的食品安全风险评估。然而,数字时代的个人信息处理无处不在,而且具有高度复杂性,由具有个人信息保护职责的政府,对所有个人信息处理行为进行直接的风险评估已变得不太可能。传统的政府规制存在知识供给不足、规制资源的有限性等问题,导致规制效能低下。由更具有信息、技术、效率等优势的个人信息处理者,对自己的行为进行风险评估,更具有合理性和可行性。对于企业而言,个人信息保护影响评估是政府强化个人信息处理者进行自我规制的体现。

 

其次,个人信息保护影响评估是一种合规评估和风险评估程序。虽然风险评估是重心,但个人信息保护影响评估首先是一种合规评估程序。个人信息处理者首先需要评估拟开展的个人信息处理活动的合规性,找出合规差距。在合规评估的基础上,还需要开展有效的风险评估,因为即使属于合规处理,也可能对个人带来高风险。通过风险评估可以识别风险类型与大小,然后采取与风险程度相适应的保护措施。虽然存在一定的差别,但合规评估和风险评估是密不可分的。

 

再次,个人信息保护影响评估具有事前性。不同于事后性监督制度,如个人信息保护合规审计,个人信息保护影响评估是个人信息处理者进行个人信息处理前所应实施的评估活动。通过对拟开展的个人信息处理活动进行事前评估,可以有效发现其造成的实际影响和潜在风险,从而有助于采取对个人权益影响最小的方式处理个人信息,并采取相应的安全保护措施。

 

最后,通过保障个人信息安全而保护个人权利,是个人信息保护影响评估的根本价值。个人信息保护影响评估所要保护的不仅仅是个人信息本身。人类已进入数字时代,个人信息已同个人的人身权、财产权、平等权、政治权等几乎所有权利紧密关联,最终关涉个人的人格尊严。对个人信息的不当侵犯,极易产生牵一发而动全身的效应。例如,人脸识别技术可能严重威胁个人隐私,造成人身、财产以及心理上的安全隐忧,侵犯肖像权,造成自由危机。个人信息保护影响评估通过直接保障个人信息安全,最终有利于有效保护同个人信息相关联的几乎所有权利。

 

我国的个人信息保护影响评估制度源于对欧盟数据保护影响评估制度的借鉴,体现了基于风险路径的个人信息保护模式。《通用数据保护条例》(General Data Protection Regulation,简称GDPR)在隐私影响评估(Privacy Impact Assessment,简称PIA)的基础上,确立了数据保护影响评估制度(Data Protection Impact Assessment,简称DPIA)。以知情同意为基本路径的个人信息保护逐渐流于形式,欧盟数据保护影响评估制度拓展了传统的数据保护模式,侧重于事前的预防方法,通过对数据保护风险的评估和管理,转向了以风险管理为路径的新型数据保护模式。通过识别、分析和归类风险,数据保护影响评估可以消除或减轻隐私和个人数据风险。数据保护影响评估的规范基础在于,保护公民的基本权利与自由。数据保护影响评估迫使数据处理者识别、评估并最终管理数据处理给权利和自由带来的高风险。数据保护影响评估旨在将风险评估的一般逻辑融入整个数据保护法之中,从而将系统化和阐明现有风险作为评估逻辑。我国个人信息保护影响评估促使个人信息保护模式,从事后监管向基于风险管理为主的模式转变。

 

 

()个人信息保护影响评估的制度功能

 

一是检验个人信息处理是否合规。个人信息保护影响评估的首要功能在于合规检验。违规处理个人信息,即使风险可控,也是令人无法接受的。虽然合规处理也可能导致高风险,但个人信息处理首先必须合规。通过对拟开展的个人信息处理活动进行事前合规评估,及时发现违规之处,个人信息保护影响评估有利于提升个人信息处理合规水平,可以减少声誉受损、高额罚款等相关成本。譬如,评估是否过度收集个人信息、对敏感个人信息的处理是否具有特定的目的和充分的必要性、是否进行了有效的去标志化和匿名化等内容,可以使个人信息处理者事前发现违规问题,从而达到未雨绸缪的风险预防作用。

 

欧盟第29条数据保护工作组在其制定的《数据保护影响评估和确定处理是否可能导致高风险的指南》中指出,数据保护影响评估不仅有助于数据控制者遵守《通用数据保护条例》的要求,而且还能够证明其采取了适当的措施满足合规要求。数据保护影响评估是建立和证明合规的过程。《个人信息保护法》第56条规定的首要评估内容是评估个人信息处理是否符合合法、正当、必要原则,属于合规评估。合法、正当、必要原则是《个人信息保护法》《民法典》《网络安全法》等确立的个人信息处理基本原则,是个人信息保护规则体系的灵魂。

 

二是识别并降低个人信息安全风险。个人信息处理难免会导致或高或低的安全风险,但不能由此阻止个人信息处理,关键在于将风险控制到可接受的低水平。严格限制个人信息的流通利用不符合时代要求,数据已成为数字时代的关键生产要素,而个人信息属于重要的数据类型,不仅具有重要的个人价值,而且具有重要的社会价值。数字经济的基本模式是通过平台这样的生产组织增加各类要素的流动性,并采取有效措施降低流动性风险。个人信息保护影响评估是有效的风险评估工具,通过将保护关口前移,有利于及早发现个人信息处理行为可能存在的风险和可能造成的不利影响,从而可以有针对性地设计业务流程并采取防范措施。《个人信息保护法》第56条规定的第2项评估内容即评估对个人权益的影响及安全风险,属于风险评估,有利于发现风险的类型与大小;第3项评估内容即评估所采取的保护措施是否合法、有效并与风险程度相适应,有利于降低风险。基于风险路径的个人信息保护影响评估并不是要消除所有风险,但可以使个人信息处理者尽到更大的责任。总而言之,个人信息保护影响评估有助于识别并降低个人信息处理风险,实现风险可控,从而有利于最大程度高效利用个人信息。

 

三是减轻或免除个人信息处理责任。通过有效实施个人信息保护影响评估,不仅可以增强个人信息处理者的风险管理能力,对外展示保护个人信息的努力,有利于提升企业声誉,而且还有助于减轻或免除个人信息处理责任。对于民事责任,《个人信息保护法》第69条确立了个人信息侵权的过错推定责任,即个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。对于行政责任,《个人信息保护法》没有确立归责原则,一般应适用《行政处罚法》确立的过错推定原则,即当事人有证据足以证明没有主观过错的就不予处罚。如果个人信息处理者能证明自己过错较小或没有过错,相应的民事责任或行政责任就应当减轻或免除。个人信息保护影响评估报告和处理记录,是证明个人信息处理者合规处理个人信息的重要证据。在发生纠纷或损害时,如果通过调取记录,发现个人信息处理者进行了有效的个人信息保护影响评估,对识别的风险采取了相应的保护措施,就可以减轻或免除个人信息处理者的责任。

 

综上,由个人信息安全影响评估制度演变而来的个人信息保护影响评估,源于对欧盟数据保护影响评估制度的借鉴。个人信息保护影响评估是数字时代政府强化个人信息处理者进行自我规制的体现,属于合规评估和风险评估程序。个人信息处理者有效开展个人信息保护影响评估,可以事前检验个人信息处理是否合规,有助于识别并降低个人信息安全风险,有利于减轻或免除个人信息处理责任。

 

2

个人信息保护影响评估适用范围的反思

 

个人信息保护影响评估具有重要的时代价值,但应科学合理设定其适用范围。无论适用范围过宽还是过窄,都会导致安全与效率的失衡,从而不利于实现《个人信息保护法》第1条规定的保护个人信息权益促进个人信息合理利用的双重立法目的。在适用的事项范围上,当前我国个人信息保护影响评估的范围过于宽泛,缺乏必要的限制条件,可能对互联网企业带来过大的评估压力,同时极易导致评估流于形式。在适用的义务主体范围上,《个人信息保护法》没有规定个人信息保护影响评估是否适用于国家机关,需要予以明确。

 

()评估的适用事项范围过于宽泛

 

个人信息处理者几乎每天都进行着种类繁多的个人信息处理活动,虽然都可能给个人带来或大或小的风险,但如果全部都要求进行个人信息保护影响评估,则企业将不堪重负。对于个人信息保护影响评估的适用范围,我国采用的是列举式。《个人信息保护法》第55条列举了应当进行个人信息保护影响评估的五大类情形:(1)处理敏感个人信息;(2)利用个人信息进行自动化决策;(3)委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;(4)向境外提供个人信息;(5)其他对个人权益有重大影响的个人信息处理活动。虽然没有从抽象层面进行概括规定,但从兜底条款可以发现,个人信息保护影响评估的适用范围为对个人权益有重大影响的个人信息处理活动。换言之,是否对个人权益具有重大影响,是判断是否需要进行个人信息保护影响评估的标准。

 

我国的个人信息保护影响评估适用范围过于宽泛,缺乏必要的限定条件。譬如,只要是处理敏感个人信息,不论数量多少和范围宽窄,都应事前进行个人信息保护影响评估,可能导致企业负担过重。如果只是少量或小范围处理敏感个人信息,就可能不会对个人权益产生重大影响,或许就没必要一定要进行影响评估。况且《个人信息保护法》已设专节敏感个人信息的处理规则,对敏感个人信息的类型、处理条件、单独同意等作了具体规定。再如随着智能科技的发展,利用个人信息进行自动化决策会日益普遍,一律要求进行事前影响评估,可能事实上难以完全做到,最终不利于便利用户。《信息安全技术个人信息安全规范》中个人信息安全影响评估适用范围较窄,主要限于在产品或服务发布前,或业务功能发生重大变化时,或在法律法规有新的要求时,或在业务模式、信息系统、运行环境发生重大变更时,或发生重大个人信息安全事件时

 

 

《通用数据保护条例》通过概括和列举并存的方式,规定了数据保护影响评估的适用范围。第35条首先规定,当某种类型的处理尤其是在运用新技术可能给自然人的权利与自由带来高风险时,在考虑处理的性质、范围、背景和目的基础上,应进行个人数据保护影响评估。《通用数据保护条例》第35条特别列举了三种必须进行数据保护影响评估的情形:(1)对自然人的个人情况进行系统、广泛评估的自动化处理(包括数据画像),且该处理会对自然人产生法律效力或造成类似的重大影响。(2)处理大规模的特殊类型数据,或涉及犯罪记录和违法行为的数据。(3)公共区域大规模的系统性监控活动。在此基础上,欧盟要求成员国监管机构制定数据保护影响评估的肯定清单和否定清单。对于如何判断可能导致高风险,《数据保护影响评估和确定处理是否可能导致高风险的指南》提出应当考虑以下9个标准:(1)评价或评分,特别是从有关数据主体的工作表现、经济状况、健康、个人喜好或兴趣、可靠性或行为、地点或移动等方面进行的分析和预测;(2)具有法律或类似重大影响的自动决策;(3)系统性监控;(4)敏感数据或具有高度个人性质的数据;(5)大规模的数据处理;(6)匹配或组合数据集;(7)易受攻击数据主体的数据;(8)创新性的使用或应用新的技术或组织方案;(9)数据处理本身阻止数据主体行使权利或使用服务或合同。大多数情形下,如果满足两个标准,就应当进行数据保护影响评估。如果满足的标准越多,就表明对个人权利与自由越可能产生高风险。少数情形下,如果满足一个标准,也需要进行数据保护影响评估。由上述考察可知,欧盟数据保护影响评估适用于高风险行为。虽然是法定强制义务,但欧盟的数据保护影响评估涉及范围有限,而且从数据类型、处理数量、处理范围等方面进行了条件限定。譬如,敏感个人数据的处理,并不必然属于高风险行为,但如果是大规模处理,则需要进行数据保护影响评估。

 

设定个人信息保护影响评估的适用范围,应注重安全与效率的平衡。如果个人信息保护影响评估的适用范围过于宽泛,不仅会给个人信息处理者尤其是对中小微互联网企业带来过大的运营压力,不利于营商环境的优化,而且还易导致评估流于形式。如果评估范围设定得过窄,则不利于控制风险,从而使个人信息权益得不到有效保障。法律首先需要进行概括规定,将高风险行为作为个人信息保护影响评估的基本条件。对个人信息权益有重大影响的行为,并不一定是高风险行为,而可能是完全可控的无风险行为,所以不必然需要进行个人信息保护影响评估。除了强制规定必须进行个人信息保护影响评估的法定情形,还应通过激励机制引导个人信息处理者自愿开展更广范围的个人信息保护影响评估。

 

()个人信息保护影响评估应适用于国家机关

 

《个人信息保护法》没有明确规定个人信息保护影响评估是否适用于国家机关,相关条款似乎主要是针对私主体的个人信息处理者设计的。虽然国家机关在个人信息处理的范围和频率上,可能比不上互联网企业,但国家机关的很多个人信息处理行为同样也会导致高风险。由于国家机关具有强制性的公权力,如果缺乏必要的约束,一旦滥用个人信息处理权力,必将会对个人的权利与自由造成重大损害。一些个人信息泄露事件暴露出有些国家机关存在个人信息保护意识不强、处理流程不规范、安全保护措施不到位等问题,将监管者纳入监管,有助于在全社会起到示范效应,形成数字法治的良好氛围。作为重要的合规评估和风险评估机制,个人信息保护影响评估应同样适用于国家机关,否则对个人信息的保护就是不全面的。数字时代的国家机关既是个人信息处理者,也是个人信息保护监管者。作为个人信息处理者的国家机关,应当同作为私主体的个人信息处理者一样,有效履行个人信息保护影响评估义务。

 

实际上,域外同个人信息保护影响评估类似的数据保护影响评估、隐私影响评估、算法影响评估等评估制度,均适用于国家机关。在欧盟,无论是私主体还是公共机构,都有义务进行数据保护影响评估。《通用数据保护条例》对公私主体具有同等效力,其第4条将数据控制者、处理者界定为控制或处理数据的自然人、法人、公共机构、代理机构或其他机构;第2条适用范围只是否定了部分公共机构的数据处理行为,如排除适用于有权机关为预防、调查、侦查、起诉刑事犯罪,或为执行刑罚的目的(包括预防与抵御公共安全风险)所进行的个人数据处理。

 

隐私影响评估是政府应对隐私风险和实现隐私保护目标的重要工具,在域外有着二十多年的应用与发展历程。1999年新西兰发布《信息匹配隐私影响评估指南》,标志着隐私影响评估在政府管理领域正式应用。2002年加拿大发布《隐私影响评估政策》,要求对产生隐私风险的政府行为进行隐私影响评估,同年发布《隐私影响评估指南:管理隐私风险的框架》;2010年加拿大发布《隐私影响评估指令》,2020年发布新的《隐私影响评估暂行指令》。2007年英国发布《隐私影响评估手册》,旨在为公共和私人组织在使用涉及个人信息或侵入性技术的新系统时提供指导。《隐私影响评估手册》先后于2009年、2013年获得修正,2014年英国发布《隐私影响评估实务守则》。近些年隐私影响评估在政府数据开放领域得到了广泛适用。以美国、英国、澳大利亚、新西兰等为代表的开放政府联盟成员国,纷纷将隐私影响评估纳入政府数据开放实践。

 

算法影响评估在域外很多国家都率先在公共事业场景适用,因为攸关公共利益的公共事业领域的算法一旦发生决策失误,就可能带来系统性社风险。譬如,2018年美国纽约市颁布《算法问责法》,明确规定行政机构以及慈善团体应用自动化决策系统时,应接受自动化决策系统工作组的算法影响评估。华盛顿州、加利福尼亚州等州也规定公共机构在公共事业场景应用自动化决策系统时应进行算法影响评估。2019年加拿大政府颁布《自动化决策指令》,规定了算法影响评估制度,旨在对各政府机构运用的算法自动决策系统加以管理和规范。2021年我国发布的《互联网信息服务算法推荐管理规定》对公共机构的算法影响评估没有作出明确规定,第27条只是要求具有舆论属性或者社会动员能力的算法推荐服务提供者应当按照国家有关规定开展安全评估,第28条规定有关部门对算法推荐服务依法开展安全评估和监督检查工作

 

综上,个人信息保护影响评估应适用于国家机关。通过个人信息保护影响评估,国家机关可以评估其个人信息处理行为是否合规,可以发现风险的大小并采取相应的安全保障措施。实际上,我国在政府数据开放领域,已明确要求国家机关开展风险评估、安全评估等评估。譬如,《贵州省政府数据共享开放条例》第33条要求做好政府数据保密审查和风险防范,定期开展安全培训、风险评估等工作。《上海市公共数据开放暂行办法》第35条要求公共数据开放主体在数据开放前评估安全风险。由于国家机关受到相对较多的监督,如纪检监察监督、行政监督、人大监督,且为了不造成过大的评估负担,可以适当限缩国家机关应当进行个人信息保护影响评估的范围。为了更好地保障国家机关履行法定职责,对个人信息保护影响评估的适用范围可以做一些排除性规定,如出于维护国家安全、追究刑事犯罪责任、行政执法调查,可以不进行评估。国家机关应采广义,除了通常的国家机关外,还应包括法律、法规授权提供公共服务的组织和规章授权的组织。

 

3

个人信息保护影响评估程序和内容的完善

 

个人信息保护影响评估程序直接决定着评估结果的客观性和有效性,但《个人信息保护法》并没有规定评估程序,亟待予以明确。个人信息保护影响评估是一种合规评估和风险评估机制,评估内容不应局限于评估风险。

 

()科学合理设定个人信息保护影响评估程序

 

如果评估程序不够科学合理,必将无法有效消除评估的内在不确定性和外部不确定性。特定时空条件下人类知识与信息的有限性,如科技知识有限、数据有限、风险本身的随机性、风险受体的差异性,使得风险评估存在内在不确定性。由于风险评估并非由机器在真空中进行,可能受到外部因素影响,如专业分工导致的井蛙之见”“被捕获、逐利的私人动机,因而风险评估存在外部不确定性。8无论是减少内在不确定性还是外部不确定性,都需要设定科学合理的评估程序。《通用数据保护条例》没有规定数据保护影响评估程序,《通用数据保护条例指南》提出了九步分析法:(1)识别是否需要实施数据保护影响评估;(2)描述所涉及的处理行为;(3)考虑是否需要咨询;(4)评估处理的必要性和合比例性;(5)识别并评估风险;(6)识别减轻风险的措施;(7)签署并保存评估结果;(8)将评估结果融入处理计划;(9)持续复查。

 

《信息安全技术个人信息安全影响评估指南》规定了个人信息安全影响评估实施流程的九个步骤:(1)评估必要性分析。根据组织的个人信息安全目标,选取需要启动评估的业务场景,可分为合规差距评估和尽责性风险评估。(2)评估准备工作。包括组建评估团队、制定评估计划、确定评估对象和范围、制定相关方咨询计划。(3)数据映射分析。对个人信息处理过程进行全面调研后,形成清晰的数据清单和数据映射图表。(4)风险源识别。分析个人信息处理活动面临哪些威胁,是否缺乏足够的安全措施。(5)个人权益影响分析。(6)安全风险综合分析。(7)评估报告。(8)风险处置和持续改进。(9)制定报告发布策略。个人信息保护影响评估可以部分参考此前制定的个人信息安全影响评估程序,但应特别重视参与程序、复审程序、事先咨询程序和公开程序。

 

 

1.参与程序

 

个人信息处理可能对相关主体产生重大影响,特定情形下利益相关者的参与程序必不可少。可能受到个人信息处理影响的组织或个人都是利益相关者,既包括内部相关者如业务人员、系统开发和运维人员,也包括外部相关者如个人信息主体、消费者代表、业务合作伙伴。个人信息保护影响评估参与程序,至少具有以下价值。首先,让受到不利影响的相关主体在个人信息保护影响评估中表达意见,是自然正义的基本要求。如果缺乏必要的参与程序,闭门进行个人信息保护影响评估,就会使得利益相关者的利益得不到表达,从而使个人信息处理丧失了一定的合法性基础。其次,参与程序通过集思广益而有利于提升商业决策质量。通过咨询利益相关者,可以帮助识别尚未发现的安全风险,得出防范风险的可能策略,进而有利于形成获得广泛认同的评估报告。个人信息处理者通过利益相关者的意见协助定义本组织的信息化项目,可以提高组织的项目质量,减少项目实施的失败率。利益相关者还可以帮助组织获取更多资源如人员、时间、金钱,从而使项目更有可能成功。最后,参与程序可以制约个人信息处理者。由于是自己评估自己的行为,评估结果不够客观在所难免,何况风险大小的判断本身就是一项极其主观的认知活动。个人信息处理危害后果的发生及具体影响具有不确定性,基于既有知识和信息往往无法充分证明危害的程度与范围。为了追求利润最大化,个人信息处理者可能歪曲事实,将风险严重的个人信息处理行为铤而走险地评估为低风险或没有风险。如果有利益相关者的必要参与,则可以大大提升个人信息保护影响评估的客观性。

 

《信息安全技术个人信息安全影响评估指南》简要规定了应制定相关方咨询计划,提出为了保证评估流程的透明,实现降低风险的目标,需详细确认进入评估程序的内部或外部相关方。《数据保护影响评估和确定处理是否可能导致高风险的指南》认为,数据控制者应通过多种手段听取意见,以使数据处理具有合法性基础,但征求意见显然不是为了获得同意。如果数据控制者的最终决定不同于数据主体的意见,应当记录原因,并说明正当理由。例如,如果这样做会损害公司商业计划的机密性,或不成比例,或不切实际。此外,如果适当,建议听取外部独立专家的意见,如律师、IT专家、安全专家、社会学家、伦理学家等。《通用数据保护条例》第35条第2项还要求进行数据保护影响评估时,应向数据保护官寻求建议。数据保护官应当全程参与数据保护影响评估,以便能够给出及时和可靠的建议。我国存在类似的个人信息保护负责人,个人信息处理者在开展个人信息保护影响评估时应听取其意见,接受其全程监督。

 

虽然参与程序有利于保障个人信息保护影响评估的质量,可以制约个人信息处理者,但不宜无限扩大化,否则不仅可能因为费时耗财而妨碍商业效率,而且可能导致被评估的个人信息面临新的风险。《通用数据保护条例》第35条第9项要求在适当情形下,在不损害商业或公共利益或处理操作安全性的原则下,数据控制者应当听取数据主体或其代表人对拟进行的数据处理的意见。个人信息保护影响评估的参与者越多,参与群体越复杂,个人信息被泄露的风险就越大。对于参与程序的适用范围和条件,不适宜参与的情形,参与过程中的保密机制,均应作出明确规定。

 

2.复审程序

 

个人信息保护影响评估不是一次性的,而应是一个持续的动态过程。必要时通过复审程序,有利于保障个人信息处理根据此前的评估结果进行。尤其是在风险发生变化时,复审尤为重要。复审并非在所有情形下都是必须的,但是是必要的。数据处理越复杂,复审就应越深入。数据控制者在必要时应核实数据处理是否按照评估结果采取了相应的保障措施,且必须确保所选择的保障措施能够适应新变化。复审的目的在于持续监测,以保证项目在整个生命周期得到持续监督。《通用数据保护条例》第35条第11项规定,必要时,至少在处理操作的风险发生变化时,数据控制者应当进行复审,以评估数据处理是否符合数据保护影响评估。

 

 

3.事先咨询程序

 

事先咨询程序是应对剩余风险的重要方式,但我国《个人信息保护法》对此没有规定。通过个人信息保护影响评估识别出风险后,个人信息处理者应采取必要措施降低风险。当个人信息处理者无法有效应对高风险而将其降低到可接受的低水平时,在进行个人信息处理前通过咨询监管机构,可以获得有效的专业建议。由于具有专门的人财物,再加上日常的执法经验积累,监管机构在处理风险上可能更专业。尤其是对于中小微型的个人信息处理者而言,必要时通过咨询监管机构,可以弥补技术和知识缺陷而有效应对剩余风险。对于个人信息处理者的事先咨询,监管机构应当提供实质性的操作指引建议,而不能简单地禁止个人信息处理活动。个人信息处理者不应将事先咨询程序作为逃避个人信息保护责任的手段,获得了监管机构的建议,并不表明责任就转嫁到了监管机构。发生个人信息安全事件,个人信息处理者为第一责任人,应承担主体责任。如果无法采取有效措施降低风险,但又不咨询监管机构而冒着高风险处理个人信息,应承担较重的责任。

 

《通用数据保护条例》第36条专门规定了事先咨询监管机构的程序。根据数据保护影响评估结果,数据控制者无法采取有效措施减轻风险时,在处理前应咨询监管机构的意见。《数据保护影响评估和确定处理是否可能导致高风险的指南》认为,无论何时,只要数据控制者无法找到足够的措施将风险降低到可接受的水平,即剩余风险仍然很高,数据控制者就必须咨询监管机构。监管机构应当在收到咨询请求后8周内出具书面建议,并可以行使调查权,情况复杂的可以延长6周。《通用数据保护条例指南》规定,如果识别出自己无法减轻的高风险,在处理前必须咨询信息保护专员。信息保护专员可以发出不要处理数据的正式警告,或完全禁止处理数据。

 

4.公开程序

 

《个人信息保护法》并没有明确规定个人信息保护影响评估过程和结果是否应当公开,只是要求保存评估报告和处理记录至少三年。如果完全不公开,就会使得个人信息保护影响评估处于暗箱操作中,从而无法接受有效的外部监督;如果要求完全公开,则不仅可能损害个人隐私、商业秘密,增加个人信息处理者的运营成本,而且还会影响评估效率。《通用数据保护条例》没有规定数据保护影响评估公开程序,《数据保护影响评估和确定处理是否可能导致高风险的指南》认为,数据控制者没有义务公开数据保护影响评估报告,但如果公开概要,则可以培养公众信心。数据控制者可以公开数据保护影响评估的主要发现,或只是公开开展过评估的事实。但如果符合事先咨询程序的条件,或监管机构请求提供,数据控制者必须提供完整的数据保护影响评估报告。公共机构实施数据保护影响评估时予以公开,将是一个良好的实践。《信息安全技术个人信息安全影响评估指南》认为,监管机构通过要求组织提供个人信息安全影响评估报告,可以督促组织开展安全评估并采取有效的安全控制措施,可以将报告作为执法证据。

 

透明度对于数字经济的规范健康可持续发展具有日益重要的价值,在不严重影响商业效率和不损害商业秘密的前提下,个人信息处理者应对个人信息保护影响评估的过程和结果进行必要的公开,如公开评估的时间、参与人数、评估的主要结论、评估次数。提供的互联网平台服务越重要、用户数量越巨大、业务类型越复杂的个人信息处理者,就越应当公开更多的评估信息。除了规定必须公开的情形外,还应设计激励机制,促进个人信息处理者主动自愿公开评估的相关信息。有必要通过软法性质的规则,引导组织自身进行有效的数据治理。

 

()个人信息保护影响评估的内容:合规评估和风险评估

 

个人信息保护影响评估不限于评估风险。从个人信息安全影响评估风险评估,再到个人信息保护影响评估的名称变化,可以发现评估内容实际上是在不断发展变化的。个人信息保护影响评估既应评估确定的影响,也应评估不确定的影响即风险;既应评估个人信息处理行为,也应评估个人信息处理者采取的保护措施。欧盟《通用数据保护条例》第35条规定,数据保护影响评估至少应当包括以下内容:(1)对计划的处理操作和处理目的进行系统性阐释,适当情况下还应当阐释数据控制者追求的合法利益。(2)对与处理目的相关的处理操作的必要性和合比例性的评估。(3)对该条第1款所述的数据主体权利和自由产生的风险的评估。(4)应对风险的预想方案,包括考虑数据主体和其他相关人的权利与合法利益,从而确保对个人数据的保护以及证明符合该条例的保障、安全措施和机制。我国的个人信息保护影响评估的内容涉及合规评估和风险评估,主要包括三方面。

 

一是评估个人信息处理是否合法、正当、必要。合法、正当、必要原则已成为个人信息处理的基本原则,事关个人信息处理的形式合法性和实质合法性。合法原则属于形式合法性范畴,正当、必要原则是对个人信息处理目的和手段的实质合法性评价,可以矫正个人信息处理者同个人之间日益严重失衡的不平等态势,属于比例原则的体现。《通用数据保护条例》第35条规定了类似的评估内容:对与处理目的相关的处理操作的必要性和合比例性的评估。凡是经评估后发现不符合合法、正当、必要原则的个人信息处理行为,都不应得到实施。《信息安全 技术个人信息安全规范》中的个人信息安全影响评估,要求评估处理活动遵循个人信息安全基本原则的情况。《个人信息保护法》还规定了诚信原则、目的限制原则、公开透明原则、质量原则、责任原则、安全原则,是否也应成为评估内容呢?由于合法、正当、必要原则是总体原则,在各项基本原则中发挥统领作用,《个人信息保护法》第56条虽然没有明确要求评估个人信息处理是否符合其他原则,但在具体评估时必然会涉及。

 

二是评估对个人权益的影响及安全风险。个人信息承载了个人的多项权益,个人信息处理行为必将对其产生或多或少的影响。无论是确定性的影响还是不确定性的安全风险,都应当进行审慎评估。《信息安全技术个人信息安全影响评估指南》将个人权益影响分为限制个人自主决定权、引发差别性待遇、个人名誉受损或遭受精神压力、人身财产受损四个维度。安全风险是指个人信息发生泄露、篡改、丢失等安全事件的风险,尤其是个人信息处理中因网络攻击、侵入、干扰、破坏或疏于内部管理,导致个人信息的完整性、保密性和可用性面临的威胁。对个人权益的影响评估相对较容易,对安全风险的评估则较为困难。

 

三是评估所采取的保护措施是否合法、有效,以及是否与风险程度相适应。个人信息处理者不是不可以从事高风险的处理活动,但需要为此负责,承担更高的注意义务,采取更严格的安全保障措施。在评估对个人权益的影响及安全风险的基础上,个人信息处理者应在合理成本范围内,采取必要的保护措施。所采取的个人信息处理方式应造成最小损害,保护措施应真正能够预防相应的风险。如果只是为了应付可能的检查而表面上采取实效性差的保护措施,就难以有效保护个人信息。保护措施既包括基本的安全技术措施如去标识化、匿名化,也包括组织措施如制定内部管理制度和操作规程。个人信息处理者采取的保护措施,除了需要满足个人信息保护影响评估结果的要求,还应满足相关评估结果的要求。譬如,网络安全等级保护评估对个人信息安全具有重要影响,所采取的保护措施可能还需要满足其要求。一旦通过评估认定无法采取有效的保护措施控制安全水平,就需要选择销毁数据这一方式来控制数据生命周期最后阶段的安全性,因为继续持有个人信息只会加剧个人信息泄露的实际风险。

 

综上,科学合理的评估程序,有利于保障个人信息保护影响评估的客观性和有效性。让利益相关者参与评估是自然正义的要求,也有助于集思广益。由于风险可能不断发生变化,个人信息保护影响评估复审程序尤为重要。为了有效应对剩余风险,当个人信息处理者无法将高风险行为降低到可接受的水平时,在进行个人信息处理前可以咨询监管机构。公开程序有助于个人信息保护影响评估接受外部监督,除了应明确必须公开的情形外,还应设计激励相容机制促进个人信息保护影响评估过程和结果公开。个人信息保护影响评估的内容包括个人信息处理活动和采取的保护措施,评估的影响包括确定的实际影响和潜在的不确定性影响。

 

4

结语

 

数字时代的个人信息处理无处不在,如何进行有效的数据治理成为全球难题。作为个人信息处理者自我规制的合规评估和风险评估工具,个人信息保护影响评估有利于弥补政府规制的不足。个人信息处理者通过有效开展个人信息保护影响评估,可以事前检验个人信息处理是否合规,有助于识别并降低个人信息安全风险,有利于减轻或免除个人信息处理责任。通过保障个人信息安全而保护个人相关权利,最终有效保障人格尊严,是个人信息保护影响评估的根本价值追求。当前我国个人信息保护影响评估的适用范围过于宽泛,缺乏必要的限定条件,而且没有明确规定应否适用于国家机关。设定个人信息保护影响评估的适用范围,应注重安全与效率的平衡。为了更全面地保护个人信息,国家机关也应履行个人信息保护影响评估义务。为了保障个人信息保护影响评估的客观性和有效性,应特别重视设计参与程序、复审程序、事先咨询程序、公开程序等评估程序。

 

由于是一种自我规制机制,且评估本身属于主观认知活动,个人信息保护影响评估的客观性和有效性面临巨大挑战。虽然有效保护个人信息有利于促进企业发展,但个人信息处理者利益同个人利益并不总是一致的,个人信息保护影响评估失灵必然会发生。尽管个人信息保护影响评估具有诸多价值,但其只是数据治理的一项重要工具。《十四五数字经济发展规划》要求建立健全数据安全治理体系。只有与个人信息保护负责人、个人信息保护合规审计、个人信息保护行政执法、个人信息保护公益诉讼等制度协同发力,个人信息保护影响评估制度才能更有效地保护个人信息,才能更有力地促进数字经济规范健康可持续发展。

 

原文刊载于《上海交通大学学报(哲学社会科学版)》2022年第5期,转载自微信公众号数字经济与法治