第六部分：数据影响评估或事前风险评估（DPIA/PIA）的要求

　　“数据保护影响评估”是引用自GDPR的规定，要求数据控制者需要对“可能会对自然人的权利和自由造成高风险”的操作进行数据保护影响评估，英文为Data Protection Impact Assessment,简称DPIA，有些国家或地区也称为“隐私影响评估”（Privacy Impact Assessment，简称PIA），主要是指在开始数据处理活动之前和在部分特定的情况下，数据控制者有义务对数据处理的行为进行不同维度的影响评估，对个人信息主体合法权益是否可能会造成损害的不同风险进行评估，以帮助企业对数据处理过程中可能涉及的风险进行识别与系统分析。

　　鉴于篇幅有限，本文仅就需要进行DPIA/PIA的情况进行基础对比，暂不就如何开展DPIA/PIA进行论述，我们或会通过其他文章就怎样进行数据影响评估进行分析。

　　（一）我国个人信息保护法解读：

　　在我国个保法出台前，我国已经有相关的法律以及国家标准指南等文件对“个人信息安全影响评估”作出了规定，例如《网络安全法》要求“关键信息基础设施的运营者在中国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估”；又例如，《数据安全法》对“重要数据的处理者”作出了“应当按照规定对其数据处理活动定期开展风险评估，并向有关主管部门报送风险评估报告”的要求；以及国家市场监督管理总局、国家标准化管理委员会也通过正式发布《信息安全技术 个人信息安全影响评估指南（GB/T39335-2020国家标准）》，来对如何进行个人信息保护影响评估提出了具体的评估规则和参考内容，以便为企业提供更有效的实务参考工具和标准。

　　虽然个保法出台前已经有前述关于“个人信息安全影响评估”的规定内容，但对于大部分非CIIO亦非重要数据处理者的企业来说，由于进行数据影响评估属于非强制性要求，因此较多企业可能还没将需要进行数据影响评估作为内部合规机制之一。而本次个保法则明确将数据影响评估的要求作为强制性法律要求列入，对企业内部合规制度的建设提出了更为严格的要求。

　　本次个保法没有就笼统性的场景对需要进行数据影响评估作出规定，而是针对具体的处理活动作为判断是否需要进行DPIA/PIA的基准点，个人信息处理者应当在数据处理活动之前进行数据影响评估的情况（事前风险评估）包括：

　　01

　　处理敏感个人信息

　　02

　　利用个人信息进行自动化决策

　　03

　　委托处理个人信息

　　04

　　向其他个人信息处理者提供个人信息

　　05

　　公开个人信息

　　06

　　向境外提供个人信息

　　07

　　以及其他对个人权益有重大影响的个人信息处理活动

　　不管是否是CIIO，还是重要的数据处理者，只要是落入我国个保法立法语境下“个人信息处理者”的范畴，就可以根据上述法定的情况来判断是否需要执行DPIA/PIA。

　　同时，个保法还对DPIA/PIA应当包括的内容作出了明确的规定：

　　01

　　个人信息的处理目的、处理方式等是否合法、正当、必要；

　　02

　　对个人权益的影响及安全风险；

　　03

　　所采取的保护措施是否合法、有效并与风险程度相适应。

　　另外，在企业档案保管制度要求方面，个保法亦通过明确的法律规定对企业提出了具体的保存期限要求，即，个人信息处理者应当对个人信息保护影响报告和处理情况的记录至少保存三年。

　　（二） 海外主要个人信息保护法律对比：

　　总体来说

　　笔者认为，当企业涉及处理敏感的、重要的的数据时候，将进行数据影响评估作为必备的内部合规制度，还是非常必要的。即便通过DPIA/PIA并不能为企业消除所有的数据合规风险，但却能在较大程度上帮助企业最小化与数据合规相关的风险，以及可以帮助企业判断对应的数据风险等级，并作出是否接受该等风险的判断。从GDPR角度而言，DPIA是履行GDPR问责制义务的关键体现之一；从我国个保法来看，是企业在部分法定情形下应当进行事前风险评估的强制性要求。

　　总体而言，企业通过实施并较好地完成数据影响评估，不仅能降低各类数据潜在风险的发生，而且能帮助企业自我证明其在业务运营过程中遵守了属地国/地区的数据保护法律的规定和要求，企业亦能根据数据影响评估的结果采取有效的合规策略与保障措施。