程瑩

?

風險管理模式下的數據保護影響評估制度

程瑩

（中國政法大學人權研究院，北京 100088）

伴隨大數據時代個人信息保護領域風險管理理論的廣泛應用，數據保護影響評估已經成為推動個人數據保護的重要制度。運用文獻研究、實證分析的方法，以2016年歐盟《一般數據保護條例》（GDPR）對數據保護影響評估的規(guī)定為樣本，深入分析數據保護影響評估的理論背景、興起與演變、含義、適用范圍等內容，以期搭建規(guī)范、明確的影響評估制度，加強個人信息保護。數據保護影響評估內容不限于隱私風險評估，還包括數據安全、數據質量、非歧視等內容；對于容易帶來高風險的數據處理行為，應設定數據保護影響評估為強制性義務；評估過程應聽取利益相關者的意見，反映其利益需求；加強外部監(jiān)督并適度公開評估報告。

數據保護影響評估；個人信息安全影響評估；歐盟《一般數據保護條例》；風險管理；隱私影響評估；個人信息保護

1 引言

2017年12月，《信息安全技術個人信息安全規(guī)范》（GB/T 35273-2017）[1]等一系列國家標準正式發(fā)布，較為詳細地規(guī)定了個人信息的收集、保存、使用等信息處理活動，它是對《網絡安全法》等個人信息保護立法的進一步細化注1。在個人信息保護法或相關司法解釋出臺之前，該標準是個人信息保護領域中的重要規(guī)范，不僅適用于規(guī)范各類組織個人信息處理活動，也適用于主管監(jiān)管部門、第三方評估機構等組織對個人信息處理活動進行監(jiān)督、管理和評估。值得注意的是，該標準“組織管理要求”部分，首次提出開展“個人信息安全影響評估”的要求，具體是指針對個人信息處理活動，檢驗其合法合規(guī)程度，判斷其對個人信息主體合法權益造成損害的各種風險，以及評估用于保護個人信息主體的各項措施有效性的過程。

個人信息安全影響評估又稱為數據保護影響評估或隱私影響評估，在國內是一個新概念，但在國外已有幾十年的發(fā)展史，如美國、澳大利亞、加拿大等均有豐富的實踐經驗。經過考察、比較與借鑒注2，2016年歐盟《一般數據保護條例》（GDPR）第35條注3確立了數據保護影響評估制度（DPIA, data protection impact assessment）。由此可見，該項制度已成為推動數據保護必不可少的重要制度。

本文擬以歐盟《一般數據保護條例》對數據保護影響評估的規(guī)定為中心，深入分析數據保護影響評估的理論背景、興起與演變、主要內容，探討數據保護影響評估制度中的關鍵性問題，吸收其最佳實踐做法，以期對我國未來立法及實踐提供借鑒。

2 個人信息保護理念轉向——由知情同意轉向風險管理

早期經濟合作與發(fā)展組織指導原則、歐盟數據保護指令等個人信息保護法均制定于互聯網尚未普及的年代。面對互聯網大數據時代“去中心化”特點，傳統(tǒng)的個人信息保護法遭受巨大挑戰(zhàn)，如知情同意原則不僅給用戶和機構帶來沉重負擔，而且流于形式，用戶缺乏實際控制權。傳統(tǒng)架構強調用戶控制，然而在實踐中由于缺乏可操作性，用戶權利幾近架空。正如有學者所說，隱私保障“承諾太多，兌現太少”[2]。同時，大數據的出現使企業(yè)獲取信息以及將信息恢復身份屬性的成本正在急速下降。數據控制者，尤其是大型互聯網企業(yè)對數據價值難以控制的貪念，數據控制者與數據主體間的力量懸殊，使我們不得不重新思考個人信息處理規(guī)制路徑的轉換注4。

2015年，美國《消費者隱私權利法案（草案）》發(fā)布，運用了基于場景完整理論[3]的風險管理模式。2016年，歐盟數據保護制度改革增設了數據泄露通知義務、數據保護影響評估義務、第三方認證等新內容，亦突出了場景導向、風險評估等新理念。風險導向的理念，即舍棄傳統(tǒng)路徑中全有全無的“二元化”判斷，轉而進行“程度性”評估，以個案分析的精神，在相應場景中具體評估數據處理行為的風險[4]。相對于傳統(tǒng)框架，風險管理首先承認隱私風險的必然存在，進而將隱私風險控制在可接受范圍。新理念以隱私風險作為衡量個人信息“合理使用”的指標，根據具體場景中的風險評估采取差異化保障措施，變信息處理前的靜態(tài)合規(guī)遵循為信息使用中的動態(tài)風險控制[5]。有學者評價，國外個人信息保護制度的革新，以網絡服務提供者主體責任的建構，特別是以其自覺履行隱私風險評估等相關義務為基礎，輔之以政府監(jiān)管，這是治理體系創(chuàng)新的最主要特征[6]。

數據保護影響評估是落實與量化風險管理的重要手段，根據不同的風險程度，可提前預測到數據處理對個體權利的影響并給出風險規(guī)避建議。[7]一方面，數據保護影響評估義務是對數據控制者責任的強化，將隱私滲透進項目而不僅僅是與項目相聯系，有助于增強數據控制者的隱私風險管理責任意識，一定程度上平衡數據控制者利益與數據主體的隱私利益；另一方面，有助于維護數據控制者信譽，培育數據主體的信心。同時，個人數據的泄露和不正當使用將影響個人的習慣、偏好和自主權，甚至影響言論自由等基本人權。因此，較好地落實數據保護影響評估，滿足數據主體的隱私期待，對促進金融科技、維護個人權利、推進民主有重要意義。

2.1 數據保護影響評估制度中的核心問題

數據保護影響評估的概念由隱私影響評估發(fā)展而來，而隱私影響評估起源于環(huán)境影響評估和社會影響評估[8]，興起并成熟于1995年至2005年間。在OECD《隱私保護和個人數據跨境流通指南》之前的歐洲數據保護法一般要求對數據處理進行登記或認證，并需要對數據控制者的處理行為進行合規(guī)性審查（compliance check），這被認為是隱私影響評估的早期表現形式。隨著實踐的發(fā)展，法律解釋及自由裁量給隱私機構提供了更多豐富隱私影響評估內涵的空間，影響評估的內涵變得比合規(guī)性審查寬泛的多。有學者早在1989年著作中提及，在一些北歐國家和英國，偶爾使用“決定前評估”（pre-decisional assessments）的概念[9]。而首次使用“隱私影響評估”這一語詞的是蘭斯·霍夫曼（Lance Hoffman），其在協助起草一項要求設立隱私影響評估的加利福尼亞伯克利法令中提及此概念[10]。之后，加拿大、新西蘭和澳大利亞的一些隱私保護專家認為系統(tǒng)化的隱私影響評估是數據保護必不可少的工具。這一觀念在政策領域迅速傳播，經歷五到十年的發(fā)展，隱私影響評估逐漸被規(guī)范適用[11]。

在歐洲，隱私影響評估實踐起步較晚注5。1995歐盟數據保護指令注6第20條規(guī)定了對信息系統(tǒng)，尤其是對敏感信息系統(tǒng)的預先審查義務。之后，歐洲委員會開始表現出對隱私影響評估的興趣，認為其是促進數據保護的重要機制。2011年2月，在歐洲委員會積極推動下，第29條工作組簽署了《無線射頻識別應用隱私和數據保護影響評估框架》。第29條工作組認為，隱私影響評估是促進依照設計的隱私（privacy by design）、為個人提供更優(yōu)的信息，以及與監(jiān)管機構交換意見的工具。2016年，GDPR第35條引入了數據保護影響評估制度，同時GDPR在“處理過程的安全性”“控制者的義務”等多處提及數據保護影響評估。

盡管歐洲起步較晚，但鑒于其將數據保護影響評估制度納入立法，且充分吸收了其他國家的最佳實踐做法，因此，以下主要以GDPR的規(guī)定為核心內容，探討數據影響評估制度中的關鍵性問題。

2.1.1 數據保護影響評估的含義

在GDPR采用數據保護影響評估的概念之前，國外理論與實務界通常使用隱私影響評估的概念。盡管《歐盟基本人權憲章》第7條和第8條將數據保護和隱私權分兩項條款加以保護，歐洲司法判例及法學研究中仍經常一并適用數據保護和隱私權的概念[12]。而上文也提到，在GDPR數據保護影響評估制度制定的過程中，也充分吸收和借鑒了各國有關隱私影響評估的立法和實踐經驗。因此，在各類代表性定義中，經常將二者雜糅在一起，故在此一并對兩項定義進行分析。

根據第29條工作組指南的內容，數據保護影響評估（又稱為隱私影響評估或風險評估）是一種用于描述數據處理過程、評估其必要性和合比例性、協助管理對自然人權利和自由帶來的風險并決定處理措施的方法注7。羅爾夫教授認為，數據保護影響評估（在一定程度上又稱為隱私影響評估）是一種評估有關個人數據處理組織活動的隱私風險的方法或過程[13]。萊特等[14]認為，隱私影響評估是一種用于評估有關個人信息處理的計劃、政策、項目、服務、產品的方法，并對利益相關者進行咨詢，采取必要補救措施以減少或避免負面影響。羅杰·克拉克教授一文附錄1列舉了6個國家或地區(qū)文件中對隱私影響評估的界定[15]。認為它不僅僅是一項工具，更是一個過程，應當始于數據處理的最早期階段，并能延續(xù)到數據處理結束甚至結束以后。

總體來看，數據保護影響評估應當包含以下要素。

1) 數據保護影響評估的內容不僅限于對隱私的影響評估，還包括評估數據安全、數據質量、非歧視等內容。數據安全是確保數據有效應對某些危機，如丟失或被未授權的人獲取，導致數據的非法使用。數據質量是指確保數據的準確、充分、相關且及時更新，不準確的信息會導致個人數字形象的扭曲。同時，大數據時代算法的專業(yè)性和不透明性容易導致歧視與不公，甚至受利益集團的操控，因此，對非歧視內容的關注也成為評估的重要內容。

2) 合比例性。比例原則貫穿于數據保護框架之中，并支持大多數數據處理原則的適用。如個人數據處理應當和收集、處理的目的相關并且處于最小必要范圍，存儲時間不能超過實現數據處理目的所必需的時間。

3) 全生命周期。數據保護影響評估應當在處理前實施，從規(guī)劃、建設、運行、結束，是一項持續(xù)性的評估過程，尤其當數據處理是持續(xù)動態(tài)的并且在不斷變化的時候。英國信息委員會辦公室隱私影響評估實施手冊中強調，數據保護影響評估是一個過程，而不單單是為了出具一份報告。即便在發(fā)布報告之后，數據保護影響評估仍應當進行。

4) 采取風險控制措施。針對評估中的高風險事項，反饋至項目最初設計環(huán)節(jié)，提出具有針對性的修改或處理方案。同時，應充分調動其他機構或人員，包括事先咨詢數據保護專員、數據保護監(jiān)管機構建議，制訂處理方案等。

綜上所述，本文認為，數據保護影響評估是指評估某一項目、服務或產品對個人隱私、非歧視、數據安全、數據質量等內容帶來的風險，檢驗其合比例性，以制訂降低風險措施的覆蓋全生命周期的方法。

2.1.2 數據保護影響評估的適用范圍

是否所有個人數據處理行為均需要進行數據保護影響評估，哪些必須進行數據保護影響評估，是數據保護影響評估制度的關鍵問題。一項完整的隱私影響評估需要耗費較高的成本，對企業(yè)產生一定的負擔。以實踐情況來看，英國和法國的數據保護機構均發(fā)展了各自的隱私影響評估方法。然而，大部分情況下這些方法僅作為一種建議而并非法律義務。澳大利亞隱私影響評估指南指出，任何組織，一旦計劃實施有可能侵害隱私的項目，均應當實施隱私影響評估，但也并未將實施隱私影響評估作為一項立法要求。

相比而言，GDPR將數據保護影響評估列為一項法定義務，但規(guī)定數據保護影響評估義務只有在數據處理的性質、范圍和目的可能給數據主體的基本權利與自由造成高風險時，才要求數據控制者履行該義務。條例尤其強調新科技的應用，如應用新科技以適用于大范圍數據處理，而對數據主體權利帶來高風險，尤其是這些處理活動中數據主體難以主張權利時，應當適用數據保護影響評估。

GDPR第35條第3款列明了三項尤其需要數據保護影響評估的情形。

1) 基于數據的自動化處理（包括識別分析），或者基于對該自然人產生法律效力或類似的顯著影響的決定，對自然人個人方面的系統(tǒng)和廣泛的評估。尤其是有關數據主體的工作表現、經濟狀況、健康、個人偏好或興趣、可信度或習慣、位置或行跡。其他可能導致對個人歧視的數據處理。比如金融機構審查客戶的征信數據，生物科技公司直接對客戶進行基因測試以評估其健康風險，或公司基于網站的使用記錄建立個人行為檔案。

2) 處理大規(guī)模的特殊類型的數據，或有關犯罪記錄和違法行為的個人數據。例如，醫(yī)院的病人醫(yī)療記錄，私家偵探的犯罪嫌疑人信息。GDPR序言第91條認為，大范圍處理活動是在區(qū)域、國家或超國家層面處理個人數據，會對大量數據主體產生影響并有可能帶來重大危機的數據處理行為。在判定是否是大范圍處理活動時，尤其應當考慮以下因素：相關數據主體的數量（具體數量或相關人口比率），數據總量和/或被處理的不同數據的范圍，數據處理活動的時限，處理活動的地理范圍。大范圍處理活動的例子有：醫(yī)院患者數據，城市公共交通系統(tǒng)個人交通數據，基于統(tǒng)計目的而收集的國際快餐鏈中消費者實時地理位置數據，保險公司或銀行顧客數據，搜索引擎為行為廣告（behavioral advertisement）而進行的數據處理，電話或互聯網服務提供商對數據的處理。個體醫(yī)師的患者信息處理不認為是大范圍個人數據處理。

3) 對公共區(qū)域大規(guī)模的系統(tǒng)化監(jiān)控。用于對數據主體觀察、監(jiān)控或控制的數據處理，包括通過互聯網收集數據或第35條第3款c項的對公共區(qū)域系統(tǒng)化的監(jiān)控。這種情況下數據主體有可能無法獲知誰在收集以及如何使用他們的數據。此外，個人也難以避免在公共區(qū)域發(fā)生的數據處理活動。

除此之外，還應考慮其他“有可能導致高風險”的情形。GDPR第35條第4款要求，監(jiān)管機構應當確定并公開一份清單，列舉應當進行數據保護影響評估的處理行為。因此，成員國可自行確定其他必須進行數據保護影響評估的情形。第29條工作組指導條例列舉了幾項參考標準。

1) 帶有高度個人特征的數據。例如，個人文檔、電子郵件、日記、隨手記，以及日程記錄軟件中的非常私人的信息也在衡量范圍。但也應當考慮這些數據是否已被數據主體或第三方公開，或這些數據是否已被允許基于特定目的的處理。

2) 相匹配或合并的數據集。例如，源于兩項或多項基于不同目的的數據處理活動，由不同數據控制者運用超出數據主體合理預期的方式展開。

3) 與弱勢數據主體相關的數據。75條序言認為，由于數據主體和數據控制者力量不均衡而導致個人無法輕易同意或反對數據處理。例如，兒童、雇員以及更加需要特殊保護的群體（精神病患者、尋求庇護者或老人等）。

4) 創(chuàng)新使用或運用新技術或組織手段。比如將指紋和臉部識別用于控制物理訪問。這是因為類似技術的使用會帶來數據收集和使用方式的革新，由此帶來的影響是難以預期的。

5) 當數據處理阻礙數據主體主張權利或接受服務合同時。這包括某項處理活動意在允許、變更或拒絕數據主體獲得服務或簽訂合同，如銀行審查客戶征信情況以決定是否提供貸款。

在大多數情況下，數據處理如滿足兩項以上標準的，應要求進行數據保護影響評估。滿足的條件越多，風險越大，越需要進行評估。如認為符合以上情形但不存在較大風險時，應列明不實施數據保護影響評估的原因，以及數據保護專員的意見。實踐中有更為簡單明了的判斷方法，如澳大利亞維多利亞州隱私委員會隱私影響評估指南中建議，為決定是否有必要隱私影響評估，需要回答17項簡單的問題，如所有問題均為是，則該組織應認真考慮進行隱私影響評估[16]。

對于不需要進行數據影響評估的情形，第29條工作組列舉了以下情形。

1) 數據處理的行為、范圍、內容、目的和之前已經實施過數據保護影響評估的數據處理情況相似，可直接適用之前的數據保護影響評估結果。

2) 在2018年5月GDPR正式實施之前，在具體條件（如范圍、目的、個人數據、數據控制者或接收者身份、數據存儲期限等）未發(fā)生改變的情況下，數據處理已經通過監(jiān)管機構的審查。

3) 基于數據控制者的法定義務、公共利益或履行數據控制者的職務所必要的數據處理，歐盟或成員國法律對該項處理行為做出了明確規(guī)定，要求數據保護影響評估已經實施，以作為該項數據處理的合法基礎。

4) 根據第35條第5款，各成員國監(jiān)管機構清單中列明的不必要進行數據保護影響評估的情形。

2.1.3 數據保護影響評估的參與主體

數據控制者負責對數據保護影響評估的實施，具體工作可以由組織內或組織外的其他個人或機構完成，但數據控制者最終對數據保護影響評估的實施情況承擔責任。數據保護專員是實施數據保護影響評估的重要角色。在適當情形下，數據控制者應咨詢數據保護專員的意見，相關建議及數據控制者的決定應當被錄入數據保護影響評估。數據保護專員也應當監(jiān)督數據保護影響評估的實施，如數據處理完全或部分由數據處理者實施，處理者應提供必要信息，協助控制者實施數據保護影響評估。

有學者認為，咨詢不同的利益相關者是識別隱私問題和尋求可能解決方案的關鍵步驟，如缺乏明確的公眾參與機制，將限制外部專家協助識別通常復雜的技術系統(tǒng)對隱私的影響[17]。大衛(wèi)·賴特教授等[18]也認為，僅實施合規(guī)性審查并不足以識別對隱私的影響，應充分尋求數據主體及其他利益相關者的意見。GDPR第35條第9款規(guī)定，在適當情況下，數據控制者應就擬進行的處理行為征詢數據主體的意見。這使數據主體可以自我評估該處理行為的安全措施是否充分，并幫助其選擇擁有更優(yōu)隱私保障的公司。英國信息委員會辦公室隱私影響評估手冊中提到，利益相關人的咨詢意見是一項關鍵性因素。除此之外，如條件允許，可考慮具有獨立地位的專家（如律師、IT專家、安全專家等）及首席信息安全專員等角色的意見。

（1）數據保護影響評估的內容

有學者認為，隱私影響評估應當識別隱私風險以及如何降低風險的相關信息。隱私影響評估包括對范圍、法律基礎、系統(tǒng)效力以及系統(tǒng)對隱私利益影響的分析。隱私影響評估也應當有可能避免、減少、阻止隱私風險或建議替代性方案[19]。

GDPR第35條第7款規(guī)定，評估內容至少應當包括如下內容。

1) 對設想中的數據處理行為及處理目的的系統(tǒng)性闡述，適當的情況下還包括數據控制者追求的合法利益。

2) 基于處理目的，對處理行為的必要性及合比例性的評估。

呂曉英(以下簡稱呂)：我的審美觀念，或者說欣賞趣味，可能是屬于比較傳統(tǒng)的。我以為，小說、電影的中心應該是故事，音樂、歌曲的中心是旋律，我喜歡有故事性和旋律性的作品。而當今的許多作品卻似乎背離了這種傳統(tǒng)特征，小說、電影越來越不會講述一個故事，音樂、歌曲也越來越不會演繹一段旋律。可能就因此，我和許多小說的潛在讀者一樣，逐漸放棄小說，喜歡看電視劇勝過看電影，因為在電視劇這種文化形態(tài)中，故事性被表現得最為充分。

3) 對第1款中規(guī)定的對數據主體權利和自由產生的風險的評估。

4) 處理這些風險的預想方案，包括安全和保障措施，以及確保個人數據的保護和證明符合本條例規(guī)定的機制。

數據控制者或處理者對第40條規(guī)定的行為準則的遵守情況也是數據保護影響評估中應當考慮的因素。此外，是否滿足認證條件、是否獲得數據保護印章和標志，以及是否遵守公司約束規(guī)則，也可以作為數據保護影響評估的考慮因素。

為更規(guī)范地實施數據保護影響評估，數據保護機構在邏輯上應當提供一個綜合的、可操作的評估模型。盡管無法為所有情形提供統(tǒng)一標準，但大多數隱私評估指南均提供了實施方法和報告模板。在加拿大阿爾伯塔省，這種模板還是強制適用的。數據保護監(jiān)管機構應當為此提供指引，以便于數據控制者可參考其他機構的經驗，更有效實施數據保護影響評估。新西蘭手冊中便提供了國家及國際隱私影響評估的資源目錄。

（2）數據保護影響評估報告的監(jiān)督

報告的公開是對數據保護影響評估進行監(jiān)督的重要途徑，有助于提升透明度和公眾信心。政府部門可以設立數據保護影響評估注冊中心，以發(fā)布典型的數據保護影響評估報告?！霸u估結果應當以概述形式通過中心網站公布，以便于數據主體及時查閱數據控制者的評估是否滿足其利益期待[20]?！比绻麍蟾嬷泻猩虡I(yè)秘密或其他競爭性因素而不便全部公開，可在適當處理后公開，或至少公布摘要[21]。

GDPR沒有要求數據保護影響評估報告的公開，但規(guī)定了事先咨詢制度。即對于數據控制者缺乏減輕風險的措施會導致高風險時，數據控制者應當在處理前向監(jiān)管機構咨詢。在這種情況下，應當將數據保護影響評估報告的內容提交監(jiān)管機構。監(jiān)管機構應當在收到咨詢請求后八周內，向數據控制者提供書面建議，如情況復雜可延長六周。該期限可暫停直到監(jiān)管機構獲得了基于咨詢目的所要求的信息。數據控制者應向監(jiān)管機構提供以下信息：①處理過程中涉及的數據控制者、共同控制者和處理者各自的責任，尤其是當處理發(fā)生在企業(yè)集團內部時；②打算實施的處理行為的目的和方法；③保護數據主體的保障措施；④數據保護專員的聯系方式；⑤數據保護影響評估的內容；⑥監(jiān)管機構要求的其他信息。

為確保影響評估的實施效果，有專家梳理了歐盟隱私影響評估框架中設立的評估標準，并提出了“‘隱私影響評估’評估和打分系統(tǒng)（PEGS）”模型，以對隱私影響評估的效果進行評估和打分，并對利益相關者可見。這種平臺的設立有助于公眾對隱私影響評估結果的獲取，促進公眾信心的建立，同時有助于不同機構間交流經驗進而提升隱私影響評估水平[22]。

對于不遵守數據保護影響評估義務的情形，GDPR設立了較為嚴苛的罰則。不執(zhí)行GDPR第35條第1、3、4款，或不正確執(zhí)行數據保護影響評估義務（違反35條第2、7、9款），或沒有按規(guī)定咨詢監(jiān)管機構（違反36條第3款e項），將被處以一千萬歐元或全球營業(yè)額的2%罰款，兩者競合取較高者。由此，將管理成本轉移到威脅源，形成了真正的風險管理閉環(huán)。

3 對我國的借鑒價值

目前，我國個人信息保護領域正在加緊立法。與《個人信息安全規(guī)范》相配套的國家標準《個人信息安全影響評估指南》正在制定過程中。國外數據保護影響評估制度的成功經驗對于我國有重要的借鑒意義。

（1）立法層面

個人信息安全影響評估不應僅限于國家政策層面，應搭建從《網絡安全法》個人信息保護法、個人信息安全規(guī)范、個人信息安全影響評估指南等，從法律到政策的立體式規(guī)范架構。從法律層面確立個人信息安全影響評估的義務，明確適用范圍、評估內容及相應的處罰或賠償條款，在國家政策標準層面細化評估的內容、方法、程序，提供評估模板和樣本。

（2）評估內容

標準規(guī)定，個人信息安全影響評估是指針對個人信息處理活動，檢驗其合法合規(guī)程度，判斷其對個人信息主體合法權益造成損害的各種風險，以及評估用于保護個人信息主體的各項措施有效性的過程。從評估內容來看，個人信息安全影響評估不僅保護個人信息安全利益，同時保護名譽、非歧視等多種利益。總體來看，我國規(guī)定較為全面、成熟，但未列明對隱私利益的保護，未突出全生命周期、利益相關者咨詢等要素。

（3）適用范圍

《個人信息安全規(guī)范》中其他條款均使用了“應”一詞，而在個人信息影響評估一項中未使用，這表明我國對個人信息安全影響評估的適用范圍仍有待明確。本文認為應借鑒GDPR的經驗，當信息處理可能會對個人信息主體權益帶來高風險時，個人信息控制者負有風險影響評估的法定義務，除此，可減少或免除風險評估義務。

（4）參與主體

對于網絡安全風險評估，我國《網絡安全法》規(guī)定，由個人信息控制者、第三方及行業(yè)組織完成。對于個人信息安全影響評估，可充分借鑒以上經驗，一并發(fā)揮個人信息控制者、第三方、行業(yè)組織的積極作用，但最終由個人信息控制者對評估結果承擔責任。在個人信息控制者內部，應充分發(fā)揮個人信息保護負責人和個人信息保護工作機構的作用。同時，在適當情況下應征詢個人信息主體或代表人的意見，以更好地了解其相關利益期待。

（5）監(jiān)督

標準規(guī)定了形成個人信息安全影響評估報告的義務，并要求妥善留存，供相關方查閱，并以適宜的形式公開。該規(guī)定貼近國際通行做法，有利于提升評估效果。與此同時，監(jiān)管機構或在制訂中的《個人信息安全影響評估指南》可以考慮擬定個人信息安全影響評估范本，并可在相關網站發(fā)布典型的個人信息安全影響評估報告，協助個人信息控制者更好完成個人信息安全影響評估。

[1] 《信息安全技術個人信息安全規(guī)范》（GB/T 35273-2017）[S]. 2018. http://www.gb688.cn/bzgk/gb/newGbInfo?hcno=4FFAA51D63BA21B9EE40C51DD3CC40BE. Information security technology-personal information (GB/T 35273-2017)[S]. 2018. http://www.gb688.cn/bzgk/gb/newGbInfo? hcno= 4FFAA51D63BA21B9EE40C51DD3CC40BE.

[2] RUBINSTEIN I S. Big data: the end of privacy or a new beginning[J]. International Data Privacy Law, 2013 ,3(2): 74-87.

[3] NISSENBAUM H. Privacy as contextual integrity[J]. Wash L Rev, 2004, 79: 101-139.

[4] KUNER C, et al. Risk management in data protection (2015) 5 International Data Privacy Law 95, 98.

[5] 范為. 大數據時代個人信息保護的路徑重構[J]. 環(huán)球法律評論, 2016(5):92-115.

FAN W. The path reconstruction of personal information protection in the age of big data[J]. Global Law Review, 2016(5):92-115.

[6] 楊秀. 網絡服務商個人信息保護制度的缺陷及其完善一以新浪微博訴脈脈案為例[J]. 國際新聞界, 2017(8):140-155.

YANG X. Defects and perfection of personal information protection system of network service providers: take the ‘sina micro-blog prosecuted maimai’ as an example[J]. Chinese Journal of Journalism& Communication, 2017(8):140-155.

[7] 張敏, 馬民虎. 歐盟數據保護立法改革之發(fā)展趨勢分析[J].網絡與信息安全學報, 2016(2):00030-1

MA M, MA M H. Analysis on the development trend of EU data protection legislation reform[J]. Chinese Journal of Network and Information Security, 2016, 2(2): 8-15.

[8] WADHWA K, RODRIGUES R. Evaluating privacy impact assessments[J]. Innovation: The European Journal of Social Science Research, 2013, 26(1-2): 161-180.

[9] BENNETT C J. Regulating privacy: data protection and public policy in Europe and the United States[M]. Cornell University Press, 1992: 112.

[10] HOFFMAN L J. Security and privacy in computer systems[M]. Los Angeles: Melville, 1973:125.

[11] CLARKE R. Privacy impact assessment: its origins and development[J]. Computer Law &Security Review 2009,25:123-135.

[12] DE HERT P. A human rights perspective on privacy and data protection impact assessments[C]//Privacy Impact Assessment. Springer, Dordrecht, 2012: 33-76.

[13] WEBER R H. Privacy management practices in the proposed EU regulation[J]. International Data Privacy Law, 2014, 4(4): 290.

[14] WRIGHT D, DE HERT P. Privacy impact assessment[M]. Springer, 2011:5-6.

[15] CLARKE R. Privacy impact assessment: its origins and development[J]. Computer Law &Security Review 2009,25:123-135.

[16] CLARKE R. PIAs in Australia: a work-in-progress report privacy impact assessment[M]. Springer, Dordrecht, 2012: 119-148.

[17] BAMBERGER K A, MULLIGAN D K. Privacy decision-making in administrative agencies[J]. The University of Chicago Law Review, 2008, 75(1): 75-107.

[18] WRIGHT D, FINN R, RODRIGUES R. A comparative analysis of privacy impact assessment in six countries[J]. Journal of Contemporary European Research, 2013, 9(1):160-180.

[19] TANCOCK D, PEARSON S, CHARLESWORTH A. Analysis of privacy impact assessments within major jurisdictions[C]//Privacy Security and Trust (PST), 2010 Eighth Annual International Conference on. IEEE, 2010: 118-125.

[20] WRIGHT D, WADHWA K. Introducing a privacy impact assessment policy in the EU member states[J]. International Data Privacy Law, 2012, 3(1): 13-28.

[21] WRIGHT D, FINN R, RODRIGUES R. A comparative analysis of privacy impact assessment in six countries[J]. Journal of Contemporary European Research, 2013, 9(1):160-180.

[22] BAMBERGER K A, MULLIGAN D K. PIA requirements and privacy decision-making in US government agencies privacy impact assessment[M]. Springer Netherlands, 2012: 225-250.

注1 《網絡安全法》第十五條規(guī)定，國家建立和完善網絡安全標準體系。國務院標準化行政主管部門和國務院其他有關部門根據各自的職責，組織制定并適時修訂有關網絡安全管理以及網絡產品、服務和運行安全的國家標準、行業(yè)標準。

注2 2011年1月，歐盟委員會發(fā)起“為數據保護和隱私權設立隱私影響評估框架”計劃（PIAF），該計劃調研了澳大利亞、加拿大等的隱私影響評估實踐，力圖搭建適于歐洲的模型框架。

注3 與GDPR序言及第29條工作組指南（Article 29 Data Protection Working Party“Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is ‘likely to result in a high risk’ for the purposes of Regulation 2016/679”），一并對數據保護影響評估制度進行了詳細規(guī)制。

注4 近期360直播事件、支付寶年度賬單事件、百度竊聽事件非常直觀的表明，由于個人信息收集使用的隱蔽性、即時性，單個用戶的直接損害通常難以舉證，因此愈難主張個人權利。

注5 英國是歐洲第一個推行隱私影響評估的國家。英國信息委員會辦公室在2007年12月發(fā)布了PIA手冊（2014年修訂為《隱私泄露影響評估的實踐法則》）。2011年，29條工作組發(fā)布RFID（無線射頻識別）應用隱私和數據保護影響評估框架。2015年，法國CNIL發(fā)布全面PIA手冊，包括了方法、手段和典型的實踐案例。

注6 Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data.

注7 [Article 29 Data Protection Working Party“Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is ‘likely to result in a high risk’ for the purposes of Regulation 2016/679’ http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083.

Data protection impact assessment system in the mode of risk management

CHENG Ying

Institute for Human Rights, China University of Political Science and Law, Beijing 100088, China

In the era of big data, the risk management approach has been broadly applied in the field of personal information protection. Data protection impact assessment has become an important system to promote data protection. It takes the provisions of the data protection impact assessment of the European General Data Protection Regulation (GDPR) 2016 as the sample. By using the literature research and empirical analysis method, it analyzes in depth the theoretical background, rise and evolution, meaning and scope of data protection impact assessment to establish a standardized and specific impact assessment system as well as promote personal information protection. Assessment content includes not only privacy risk assessment, but also data security, data quality and non-discrimination. Data protection impact assessment should be set as a mandatory obligation for data processing activities that are likely to result in high risks. The evaluation process shall take the advices from stakeholders to reflect their benefits. The external supervision should be strengthened and the assessment report shall be published properly.

data protection impact assessment, personal information security impact assessment, GDPR, risk management, privacy impact assessment, personal information protection

Law Society Law Research Foundation of Shandong Province (No.SLS(2017)C28), China Scholarship Council Foundation (No.201707070116)

D920.1；C931.2

A

10.11959/j.issn.2096-109x.2018064

程瑩（1988-）女，山東聊城人，中國政法大學博士生，主要研究方向為個人信息保護和隱私權。

2018-06-10；

2018-07-15

程瑩，yingzbj1988@163.con

山東省法學會法學研究課題基金資助項目（No.SLS（2017）C28）；中國國家留學基金委資助項目（No.201707070116）