“个人信息保护影响评估”被《个人信息保护法》(以下简称《个保法》)明确为法定合规义务后,受到了越来越多企业的关注。然而,企业在落地执行过程中,却不约而同地面临着如下困惑:
个人信息保护影响评估是什么?
什么情况下需要进行评估?
委托处理关系下的评估责任主体是谁?
个人信息保护影响的评估流程是什么?
评估完成后如何保存与使用?
为帮助大家理解个人信息保护影响评估,落地个人信息保护合规义务,我们特对企业关注的上述问题,以实务问答的形式解答如下。
问题一:个人信息保护影响评估是什么?
“个人信息保护影响评估”虽作为《个保法》的亮点之一,并首次在法律法规文件亮相,但《个保法》并未对其进行定义,仅明确评估内容应包含个人信息的处理目的、处理方式等是否合法、正当、必要;对个人权益的影响及安全风险;所采取的保护措施是否合法、有效并与风险程度相适应。
对其更清晰的界定,企业可以参看《信息安全技术个人信息安全影响评估指南》(GB/T 39335-2020,以下简称《评估指南》)。
《评估指南》指出,个人信息安全影响评估是指针对个人信息处理活动,检验其合法合规程度,判断其对个人信息主体合法权益造成损害的各种风险,以及评估用于保护个人信息主体的各项措施有效性的过程,与“个人信息保护影响评估”应包含的内容一一对应,两者虽在用语表达上存在一定差异,实则具备重要参考价值。
因此,《评估指南》可作为有效参考指引,指导企业开展个人信息保护影响评估。
(图1:《信息安全技术个人信息安全影响评估指南》)
问题二:什么情况下需要进行评估?
根据《个保法》第五十五条,如企业开展下列活动的,应当事前进行个人信息保护影响评估:
处理敏感个人信息;
利用个人信息进行自动化决策;
委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;
向境外提供个人信息;
其他对个人权益有重大影响的个人信息处理活动。
上述场景所触发的评估义务已被《个保法》确认为强制性要求,企业在开展相应活动前均应严格遵守。不过,何为“其他对个人权益有重大影响的个人信息处理活动”?《信息安全技术个人信息安全规范》(GB/T 35273—2020,以下简称《安全规范》)《评估指南》予以了细化,具体可包括:
基于不同业务目的所收集个人信息的汇聚融合,
例如对集团内各业务部门收集的个人信息进行数据分析并用于商业化营销目的;
产品或服务发布,或业务功能发生重大变化;
业务模式、信息系统、运行环境发生重大变更;
发生重大个人信息安全事件;
个人信息匿名化和去标识化处理。
由于暂未被列入强制性法律法规文件中,如企业涉及上述处理活动的,建议可根据实际处理的个人信息敏感程度、类型、数量,对用户造成的长期和直接影响,已采取措施的有效性,品牌建立等方面综合评估是否有必要采取个人信息保护影响评估,尽可能降低对用户合法权益的不利影响。
问题三:委托处理关系下的评估责任主体是谁?
解决了什么情况下需要进行评估后,实务中,我们还经常收到企业关于评估责任主体的咨询,尤其是在委托处理关系下。
首先,委托方是否具有评估责任?
答案是肯定的。
根据问题二所述的《个保法》要求,企业作为委托处理方,应在委托前进行个人信息保护影响评估。对此,《评估指南》明确提供了评估要点提示:
| 序号 | 评估要点 |
| 1 | 是否向个人信息主体告知了转让、共享、公开披露的基本情况,并征得个人信息主体的明示授权同意 |
| 2 | 委托方的安全管理保障和安全技术保障能力 |
| 3 | 受托方的安全管理保障和安全技术保障能力(不包括公开披露) |
| 4 | 受托方可能会开展的个人信息处理活动,或公开披露的个人信息可能会被使用的个人信息处理场景 |
| 5 | 个人信息是否进行过去标识化处理 |
| 6 | 发生个人信息安全事件后的补救措施 |
| 7 | 受托方所能响应个人信息主体的请求的范围,如:访问、更正、删除等 |
那么,受托方是否同样应承担评估责任?
不可一概而论。
由于受托方仅在委托方的委托范围内处理个人信息,一般情况下无需进行评估,但若受托方处理的个人信息为健康医疗数据、生物识别数据等敏感个人信息、或服务于征信、违法违规判断等自动化决策场景、或数据规模涉及100万人以上的高风险个人信息处理行为,则我们仍建议受托方同样应进行个人信息保护影响评估。
问题四:个人信息保护影响的评估流程是什么?
个人信息保护影响的评估流程可分为以下四个环节进行:数据映射分析、个人权益影响分析、安全保护措施有效性分析、确定风险级别。

1.数据映射分析
数据映射分析,也称为数据调研,具体是指企业结合个人信息处理的具体场景,对个人信息收集、存储、使用、转让、共享、删除等环节涉及的个人信息类型、处理目的、具体实现方式等,以及个人信息处理过程涉及的资源(如内部信息系统)和相关方(如企业、平台运营者、外部服务商等第三方合作机构)进行调研。
根据个人信息的类型、敏感程度、收集场景、处理方式、涉及相关方等要素,企业可对个人信息处理活动进行分类,并描述每类个人信息处理活动的具体情形,便于后续分类进行影响分析和风险评价。

2.个人权益影响分析
数据映射分析完成后,企业需根据调研结果进行个人权益影响分析,即分析特定的个人信息处理活动是否会对个人信息主体合法权益产生影响,以及可能产生何种影响。具体来讲,企业可从“限制个人自主决定权”“引发差别性待遇”“个人名誉受损或遭受精神压力” “人身财产受损”等四个维度进行分析,并最终得出严重、高、中、低四个级别。
例如,就处理健康医疗数据(敏感个人信息)而言,如企业并未向用户履行单独同意义务,亦未提供实现用户个人信息权益的有效路径,则在限制个人自主决定权的维度上,其处理活动将对个人权益有较为“严重”的影响。
3.安全措施有效性分析
安全措施有效性主要侧重于分析个人信息安全事件发生的可能性,识别可能存在的个人信息安全危险源,并评估现有安全措施是否已足够应对可能产生的安全事件。因此其评估维度主要为网络环境和技术措施、参与人员与第三方、个人信息处理流程、业务特点和规模及安全态势,集中在技术手段、内部职权划分、商业发展等方面。
比如,就对外提供个人信息的行为,企业应重点评估对外传输过程是否已进行加密、数据接收方是否具备相应的数据安全能力、是否定期审计检查第三方的处理行为、相关负责人员是否已签署保密协议等。如答案均为否,那么此项活动发生安全事件的可能性级别应为“高”甚至“很高”。
4.确定风险级别
结合个人权益影响级别及安全事件的可能性等级,参考如下风险等级判定表,可得出风险等级,完成个人信息保护影响的综合评估。

问题五:评估完成后如何保存与使用?
应《个保法》要求,个人信息保护影响评估报告和处理情况记录应当至少保存三年。
对此,《安全规范》规定更为严格,提出了需要确保可供相关方查阅并以适宜形式对外公开的要求。例如,幼儿园、学校等教育机构决定采用自动化设备收集未成年人个人信息的,如为检验教学质量而采取监控设备、利用APP软件布置教学作业等,或选用人脸考勤打卡装置的,则所涉主体应尽可能向监护人提供个人信息安全影响评估报告全文或摘要,以便在正式投入上述设备前,已征得监护人的自愿、明确、充分同意。
此外,影响评估是一项长期性的合规工作,并非一劳永逸。以使用自动化决策机制或处理个人金融信息为例,参考《安全规范》及相关标准文件要求,企业应定期(至少每年一次)开展个人信息安全影响评估,并依评估结果及时改进保护用户个人信息的措施,以确保用户的个人信息可得到最大限度保护。
结语
如今,数字经济正渗透到各行各业,不仅推动传统产业的变革,也以强劲的动能,引领新经济快速发展。用数据为经济赋能、为发展提质、为治理增效,背后都离不开风险识别和安全保护措施构建。
从《评估指南》到《个保法》,开展个人信息保护影响评估已成为各企业必须直面的数据合规义务。实务中,我们已协助企业参照《评估指南》《安全规范》等文件实施个人信息安全影响评估的合规自查。对企业而言,评估数据安全风险、改进保护措施不仅是履行合规义务的要求,更是释放数据商业价值的基础和保障。
