个人信息保护影响评估又称为“隐私保护影响评估”或者“数据保护影响评估”,是侧重于事前防范的个人信息保护措施,主要针对具有较高风险的特定个人信息处理行为进行动态风险管理。通过保护关口的前移,有利于及早发现有关个人信息处理行为可能存在的风险和可能产生的后果,有针对性地设计业务流程并采取防范措施,避免对个人信息权益造成不利影响,促使个人信息保护模式从事后监管向基于风险管理为主的模式转变。同时,个人信息处理者主动进行事前影响评估,不仅可以充分展现其负责任的社会形象,也为其履行合规义务提供了有力证明。
从比较法上看,自20世纪90年代起,欧美一些国家开始重视数据处理活动中个人隐私的事前保护,经过多年的发展和实践,逐步确立了隐私保护影响评估制度。如英国是欧洲较早实施隐私保护影响评估制度的国家,于2007年制定了《隐私保护影响评估手册》并进行了多次修改,法国也于2015年发布了相应手册。此外,隐私保护影响评估制度在澳大利亚、加拿大、爱尔兰、新西兰等国家也得到了广泛的应用。欧盟于2016年制定的《通用数据保护条例》在1995年《个人数据保护指令》的基础上引入了隐私保护影响评估制度,并称之为“数据保护影响评估”,使隐私保护影响评估从推荐性、自愿性的标准、指南发展成为法律的强制性要求。该条例第三十五条规定,个人数据控制者应当统筹考虑处理过程的性质、范围、内容和目的,特别是使用新技术进行数据处理时,可能给自然人权利和自由带来的高风险,在数据处理之前对预期处理操作进行个人数据保护影响评估。同时,明确了三种尤为需要评估的情形,包括:利用自动化决策对自然人进行评估;大规模特殊种类的数据处理或者与刑事定罪、罪行相关的数据处理;公共领域大规模的系统性监控。
我国相关法律在个人信息保护法之前没有对个人信息保护影响评估作出有针对性的规定,但网络安全法、数据安全法从防范网络安全、数据安全风险的角度规定了相应的评估制度。如网络安全法第三十八条要求关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估;数据安全法第三十条要求重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估。上述法律规定同样体现了对高风险网络、数据活动的事前防范,与隐私保护影响评估的性质是类似的。(www.xing528.com)
本法第五十五条、第五十六条在总结有关法律实施经验的基础上,借鉴一些国家和地区的做法,对个人信息保护影响评估制度作出了系统性规定。其中,本条对个人信息处理者应进行个人信息保护影响评估的情形作出了规定,包括:处理敏感个人信息;利用个人信息进行自动化决策;委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;向境外提供个人信息;其他对个人权益有重大影响的个人信息处理活动。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
