資料合規關鍵！個人資訊保護影響評估的核心要點

專家策略

白宇思

煒衡律師事務所

合夥人

《個

人資訊保護法》作為中國首部個人資訊保護的專門性法律，於2021年11月1日起施行，標誌著中國全面依法保護個人資訊的新時代正式開啟。至今，中國個人資訊保護的配套制度逐步完善，形成了基本的框架體系，其中，個人資訊保護影響評估制度成為關鍵制度之一。

個人資訊保護影響評估制度的內涵與價值。中國的個人資訊保護影響評估制度基於風險預防的理念，要求個人資訊處理者在開展高風險的個人資訊處理活動前，對處理目的、處理方的正當性、合法性和必要性進行評估，識別可能對個人權益產生的重大影響，並檢測監控所採取的保護措施是否合法、有效且與風險程度相適應。透過事前評估，處理者能提前發現風險並加以干預和化解，動態應對風險變化，並在評估報告的基礎上，判斷是否實施該處理活動，以及有針對性地及時採取控制措施，合規、安全地實施該活動。

這種早期介入的評估機制將個人資訊保護納入專案設計階段，融入個人資訊處理者的制度、業務和技術方案中，既能全面有效地保護個人資訊權益，又能幫助個人資訊處理者將風險控制在其承受範圍之內，從而降低事後損失，並提升成本效益。

除風險預防價值外，在發生爭議時，個人資訊處理者對於高風險的個人資訊處理活動進行事前評估並加以記錄，可作為其已依據法律法規採取相應控制措施、確保處理活動合規與安全的證明，有助於規範處理者行為並保護其合法權益。此外，若發生個人資訊洩露等安全事件，相關評估記錄能夠協助處理者開展原因調查、分析和追蹤等工作，並降低再次發生類似風險的可能性。

個人資訊保護影響評估的義務履行。《個人資訊保護法》明確規定了個人資訊處理者應當開展個人資訊保護影響評估的適用情形，包括處理敏感個人資訊，利用個人資訊進行自動化決策，委託處理個人資訊、向其他個人資訊處理者提供或公開個人資訊，向境外提供個人資訊，以及其他可能對個人權益產生重大影響的個人資訊處理活動。因此，只要出現法律規定的評估情形，個人資訊處理者就必須履行評估和記錄義務，這是其法定義務。

在實踐中，一些個人資訊處理者已開展相關評估工作並取得積極成果，但仍有大量處理者因不瞭解個人資訊保護影響評估的功能與價值，或不知道如何開展評估工作，而導致資料合規義務履行不到位。此外，隨著個人資訊處理者的業務不斷發展，個人資訊處理活動往往呈現持續和動態的變化。故個人資訊保護影響評估義務的履行並非一蹴而就，需要建立長期、持續、靈活、動態的評估工作機制。

個人資訊保護影響評估的要點。風險源識別是影響評估活動的核心內容。個人資訊處理中的風險可能源自處理者自身的脆弱性，也可能來自外部威脅，如處理敏感個人資訊時不具備特定目的和充分必要性、未充分履行告知同意原則、與第三方共享資料時未取得個人資訊主體的明示同意、超範圍收集資訊、資訊儲存超過必要期限、刪除機制不健全、自動化決策缺乏透明度、資訊濫用、洩露、篡改等。個人資訊處理者應充分分析可能存在的風險，並設計和實施有效的控制措施以降低風險。同時，應在專案設計階段將個人資訊保護要求嵌入各項措施，確保處理活動符合法律和行政法規。

開展風險應對是個人影響評估活動的目標。個人資訊處理者應根據評估結果及其風險承受水平，選擇風險應對方案，如決定對某特定型別的資訊不開展處理活動、在隱私政策或者使用者協議中明確告知處理規則並取得使用者同意、嚴格控制資訊儲存時間並保證安全銷燬、健全使用者刪除機制、資訊加密傳輸、對資訊進行匿名化、去標識化處理、規範身份驗證和訪問控制等。

《個人資訊保護法》規定了個人資訊處理者的記錄義務。評估報告應包含評估人員、評估適用範圍、評估物件、評估規模、評估方法、涉及的相關方等基本事項，以及風險分析結果、風險應對方案和方案落實情況。

綜上，個人資訊保護影響評估在個人資訊保護法治體系建設及執法框架中具有重要作用，其功能與價值對於處理者履行資料安全及合規義務意義重大。個人資訊保護影響評估活動可以充分發揮預防功能，最大限度降低個人資訊處理者的風險，全面有效地保護個人資訊權益。

作者 | 煒衡律師事務所合夥人白宇思

電郵：[email protected]

本文刊載於《商法》2025年2月刊，原標題為“個人資訊保護影響評估要點解析”。如欲閱讀電子版，歡迎瀏覽《商法》官網。