【条文主旨】
本条是关于个人信息处理者的个人信息保护影响评估义务与记录义务的规定。
【条文理解】
个人信息保护影响评估,主要是对个人权益可能造成高风险的个人信息处理活动开展的针对个人信息保护的预防性保护方法。本条将个人信息保护影响评估提升至法律强制性要求,对于企业内部合规制度建设提出了更高的要求。这项规定有着诸多好处,例如,可以提前发现风险并加以解决,发挥预防性功能;可以兼顾个人信息权益保护和信息合理化、科学化运用的关系;可以在发生争议时根据记录,评估个人信息处理者是否采取合理措施保护了个人信息权益等。在立法过程中,本条有修改。《个人信息保护法(草案一次审议稿)》第54条第1款规定:“个人信息处理者应当对下列个人信息处理活动在事前进行风险评估,并对处理情况进行记录:(一)处理敏感个人信息;(二)利用个人信息进行自动化决策;(三)委托处理个人信息、向第三方提供个人信息、公开个人信息;(四)向境外提供个人信息;(五)其他对个人有重大影响的个人信息处理活动。”《个人信息保护法(草案二次审议稿)》规定于第55条第1款,内容与一审稿相同。由此可见,最终稿将一审稿和二审稿中的“风险评估”修改为“个人信息保护影响评估”,上述修改主要是从立法的全面性考量进行的改动,因为从词义上分析,“风险”一般是指在给定的条件下损失发生的可能性或者实际结果与预期结果的偏差,是对于个人信息保护影响的重要因素,而非全部内涵。“影响”一词的外延大于“风险”,[1]现在的规定更加全面,也更符合现实需要。另外,本法删除了两次审议稿中的“风险评估内容”,增加了第56条个人信息保护影响评估内容。
在出台本法前,我国个人信息保护影响评估制度处于个人信息安全规范非强制性标准级别,多数企业也未将评估作为必备的内控手段。全国信息安全标准化技术委员会组织制定和归口管理的于2020年3月6日发布的GB/T?35273—2020《信息安全技术个人信息安全规范》于2020年10月1日实施,要求开展个人信息安全影响评估。该规范第11.4条规定了个人信息控制者应建立个人信息安全影响评估制度,评估并处置个人信息处理活动存在的安全风险;个人信息安全影响评估应主要评估处理活动遵循个人信息安全基本原则的情况,以及个人信息处理活动对个人信息主体合法权益的影响;形成个人信息安全影响评估报告,并以此采取保护个人信息主体的措施,使风险降低到可接受的水平等内容。之后,全国信息安全标准化技术委员会组织制定和归口管理的《信息安全技术个人信息安全影响评估指南》(GB/T?39335—2020)于2021年6月1日实施,规定了个人信息安全影响评估的基本原理、实施流程,适用于各类组织自行开展个人信息安全影响评估工作,同时可为主管监管部门、第三方测评机构等组织开展个人信息安全监督、检查、评估等工作提供参考。
本条规范借鉴GDPR(General?Data?Protection?Regulation,GDPR)第35规定。GDPR第35条第1款规定,如果某类处理活动,尤其是那些利用新技术从事的处理活动,且在考虑到处理的性质、范围、内容和目的的情况下,可能对自然人的权利和自由产生高风险,则在开展该处理活动之前,控制者应当对拟从事的处理活动对个人数据保护的影响加以评估,单个的评估可以针对产生高风险的一系列类似处理活动进行。由此可见,该条对于特别需要进行数据保护影响评估的情形以及评估的程序和具体内容作了详细规定,被称为“数据保护影响评估”(Date?Protection?Impact?Assessment),简称“DPIA”。DPIA是一个建立并证明合规性的程序,是问责制的重要工具,有助于控制者遵守GDPR,也有利于其证明已经采取了适当的措施来确保遵守该条例。
【条文适用】
一、适用的五种情形
首先需要注意的是,并非所有个人信息处理活动都要事先进行评估。GDPR第35条第1款也仅仅是对“可能给自然人的权利和自由带来高风险”(likely?to?result?in?a?high?risk?to?the?rights?and?freedoms?of?natural?persons)的个人数据处理活动进行强制数据保护影响评估。该条第3款规定了三种高风险处理情况:其一,基于包括数据画像在内的数据自动化处理,形成对数据主体人格特征的系统、全面的评价,并且基于该评价将作出对数据主体具有法律后果或其他类似重大后果的决策;其二,大规模处理本条例第9条第1款规定的特殊类型数据或者第10条规定的与定罪量刑有关的数据;其三,公共场所大规模系统性监控。[3]
我国《个人信息保护法》第55条对个人信息系保护影响评估的认定标准采用“对个人权益有重大影响”作为判断依据。该条一共5款,前4款列举了4种对个人权益有重大影响的类型,最后一款作为兜底性条款。逐一分析如下:
1.处理敏感个人信息。根据《个人信息保护法》第28条第1款的规定,敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满14周岁未成年人的个人信息。正是因为敏感个人信息与个人权利和自由高度关联,也是公民高度关注的领域,所以需要严格规范。法律规定,个人信息处理者只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,方可处理敏感个人信息。此外,本法第31条规定,处理不满14周岁未成年人个人信息须取得其父母或其他监护人的同意,且应制定专门处理规则。该条与《
未成年人保护法》有关规定相衔接,回应审议稿征求意见时,很多部门和代表认为未成年人属于弱势群体,需要进行特殊保护。
敏感个人信息的泄露和非法使用更易导致权益侵害发生,因此,对于敏感个人信息进行特殊保护,也是很多国家或者地区通行的做法。例如,对于保护个人信息比较重视的日本,早在2003年就制定了《日本个人信息保护法》。对于敏感个人信息,《日本个人信息保护法》中表述为“需特别注意的个人信息”,是指泄露后可能导致当事人受到歧视、偏见或其他利益受损,需要特别注意保护的信息,主要包括种族,信仰,社会身份地位,作为罪犯及被害人的信息,病史、残疾或精神认知障碍、健康检查信息,诊断、治疗、处方、服药信息等涉及个人身心健康的信息,犯罪前科,个人作为犯罪嫌疑人或被告人曾被逮捕、搜查、扣押、拘留、提起公诉等涉刑事案件的经历,未成年人的涉案经历等。GDPR第9条也明确将种族或民族起源、政治观点、宗教和哲学信仰、工会资格、基因信息和生物信息列举为特殊种类信息。[4]我国台湾地区2010年制定的“个人资料保护法”规定,对于病历、医疗、基因、性生活、健康检查及犯罪前科等敏感个人资料,除非法律规定的除外情况,原则上不得搜集、处理或利用。我国《个人信息保护法》也对敏感个人信息处理活动进行了严格限制,采用了事前影响评估,将风险降低到最小。
2.利用个人信息进行自动化决策。根据《个人信息保护法》第73条第2项的规定,自动化决策,是指通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,并进行决策的活动。随着网络用户的逐年增多,个人信息处理者通过收集、处理、分析个人网络浏览记录、网络购物记录、各种app软件使用情况等个人信息,描画出信息主体的职业状况、健康状况、消费习惯、兴趣爱好等个性化特征,这被称之为用户的网络画像。然后,个人信息处理者根据个性化画像分析结果向个人推送针对性购物链接、广告推荐、新闻定制、阅览消息等。在大数据时代,这种依靠更加高效智能的自动化决策逐步替代人工决策,代表了科技的进步,人类文明的发展。但同时应注意到,这也是一把双刃剑,一方面,个性化分析可以帮助信息从业者更加精准地向个体提供服务,增加流量和用户黏合度;另一方面,个性化分析也容易影响信息主体的安宁,造成“信息茧房”(Information?Cocoons),还可能因为数据设计者或者开发者各种偏见嵌入算法,得出不公平的结果从而引发“信息歧视”。因此我国《个人信息保护法》第24条明确规定:个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。除了上述规定,本条还进一步规定,个人信息处理者应采取预防措施,利用个人信息进行自动化决策前进行个人信息保护影响评估,从而保证决策的透明和公正。
3.委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息。本法规定之前,《
网络安全法》仅仅规定了不得非法向他人提供个人信息,但是没有明确合法向他人提供个人信息的具体要求。委托处理个人信息,也是个人信息处理中比较常见的形式,例如云服务,就是利用云服务提供者提供的数据存储等服务,向其他个人信息处理者提供个人信息,即对外提供个人信息,包括向他人传输个人信息数据副本或提供个人信息数据访问、检索途径等,与内部进行个人信息加工存储等操作不同,向他人提供个人信息数据,意味着个人信息数据链条上环节增多,数据的保密性、完整性、可用性被破坏的可能性增大,个人信息处理者的控制力减速,背离个人意愿的风险增大。[5]同样地,公开个人信息,在网络数据长久保存的实践生活中,必然会对个人信息权益造成影响。因此,出于安全考虑,需要对委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息这三种情形进行个人信息保护影响评估。
上述三类个人信息的处理活动,在《个人信息保护法》第二章“个人信息处理规则”中都有规定。具体为:第21条委托处理个人信息规定:“个人信息处理者委托处理个人信息的,应当与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等,并对受托人的个人信息处理活动进行监督。受托人应当按照约定处理个人信息,不得超出约定的处理目的、处理方式等处理个人信息;委托合同不生效、无效、被撤销或者终止的,受托人应当将个人信息返还个人信息处理者或者予以删除,不得保留。未经个人信息处理者同意,受托人不得转委托他人处理个人信息。”第23条向其他个人信息处理者提供个人信息规定:“个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。”和第25条没有取得个人单独同意就不得公开个人信息规定:“个人信息处理者不得公开其处理的个人信息,取得个人单独同意的除外。”法律对这三种情况进行专门规定,妥善保护个人信息权益。
4.向境外提供个人信息。《个人信息保护法》第三章“个人信息跨境提供的规则”对于个人信息跨境提供进行了详细规定。个人信息跨(离)境,不仅关系到自然人的个人权益,还关系到国家网络安全、社会公共利益,为了保护公民、法人的合法权益,从个人信息处理者角度进行个人信息保护影响评估,十分必要。《个人信息保护法》第38条同时规定,个人信息处理者应当采取必要措施,保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。
5.其他对个人权益有重大影响的个人信息处理活动。这是兜底条款,相较于一审稿和二审稿,更为严谨地增加了“权益”一词,不仅与前面个人权益保持一致,而且明确要保障自然人的权利和权益。该兜底条款涵盖了其他无法一一列举的应当进行个人信息保护影响评估的个人信息处理活动。例如,对于老年人、残疾人等弱势群体和新型网络信息科技带来的个人信息处理活动,可能需要进行个人信息保护影响评估。
二、记录的义务
本条同时规定,个人信息处理者应当对特定的个人信息处理活动在事前进行个人信息保护影响评估,并对处理情况进行记录。这是基于以下因素而考虑的:其一,记录是个人信息处理者对其处理的个人信息负责的表现形式;其二,记录是最基本的留存证据的方式,有利于发生纠纷时,履行个人信息保护职责的部门和个人查证个人信息处理活动是否符合法律、行政法规的具体要求;其三,发生信息泄露时,便于履行个人信息保护职责的部门和相关监管部门查找责任人。需要注意的两点是:其一,记录可以采取纸质形式,也可以采取电子形式,但必须是书面形式;其二,本条对于记录内容并没有具体规定,这有待于今后国家网信部门颁布具体规章或者国家出台相应标准化规定加以明确。
