王乐枭 李凯 张晓晴

摘要：近年来，个人信息保护和数据安全是各国网络空间治理的监管重点，在欧盟《一般数据保护条例》与中国《个人信息保护法》的法律背景下，本文介绍了欧盟GDPR的背景及监管实施特点，从个人信息保护影响评估实践的三种角色立场，针对海外个人信息保护影响评估与国内个人信息保护影响评估实践方面进行简要分析。

关键词：个人信息保护；数据合规；隐私安全

一、欧盟GDPR的背景及现状

欧盟于2016年4月正式通过了《一般数据保护条例》（以下简称GDPR）。2018年5月，GDPR取代原有的《数据保护指示》（Data Protection Directive 95/46/EC），在欧盟成员统一实施生效。GDPR是欧盟发布的针对数据保护的法律规范，统一了欧盟成员国关于数据保护的法律法规，是有史以来最严格的条例。该条例详细规定了个人数据的权利，并敦促公司履行保护欧盟公民个人数据的责任。违法企业将被处以1000万欧元或全球营业收入的2%（两者取较高者），重罚高达2000万欧元或占监管机构全部收入的4%。自颁布以来，大多数互联网公司在业务领域都受到了GDPR的影响，需要对GDPR规定的内容进行相应的修正。世界上主要的互联网公司已经响应了GDPR的要求，升级了自己的产品。例如，在Azure云计算平台上，微软特别强调隐私保护和声明。一些设备制造商，包括安全保护，数据行为分析，安全漏洞，安全配置检测及安全认证企业，在他们的产品中加入了与GDPR相关的功能。功能项目包括针对隐私数据的保护策略和组件（如检查点）、隐私数据流监测和分析及GDPR安全基线评估项目，并输出一份专业的分析报告。在修订有关数据隐私的法律方面，全球数据保护条例的颁布也是世界各国具有里程碑意义的参考。

二、GDPR实施操作特点

（一）收集个人数据要合法有依据。

根据GDPR的要求，处理个人资料必须有法律上的依据，“合法”的定义非常严格。首先，必须事先征得数据主体的同意，而且“同意”必须由用户在完全知情的情况下具体、明确和自由地作出。例如，欧盟合作伙伴被要求在其用户协议或隐私条款中明确告知数据共享的范围，披露第三方（企业）的保留时间、存储位置和安全机制。同时，在企业与合作方之间的合作协议中，接受方与提供方之间的责任分工也在用户协议中作了规定。无论数据是提供给第三方，还是作为公司对外服务的一部分（如提供广告公司作为营销推广对象），数据主体都必须重新授权和同意。

（二）数据泄露文档化详细记录

在进行数据泄露报告时，还应注意数据泄露报告中至少应当包含以下内容：①数据泄露事件的性质及描述、所涉及的资料主体总数、类别及数据记录的总量；②数据保护管理人员的姓名和联系方式，可能造成个人信息侵权的结果泄露，以及企业采取或者预期采取的止损措施。此外，企业还应注意记录个人资料的泄露流程记录，包括与披露个人资料有关的事实、影响和减损行动。这一记录是监管机构核实数据管理是否遵守GDPR的重要依据。

（三）数据泄露72小时报告义务

GDPR第32条规定，数据管理者和处理者应采取适当的技术和组织措施，以确保与风险相称的数据安全水平。企业应对所收集的个人数据进行匿名化和加密处理，并确保其在遭受黑客攻击等技术事件后有能力恢复个人數据管理控制，切实履行数据安全保护义务。当个人数据泄露可能对自然人的权利和自由造成较大影响时，管理人员应当及时向个人信息主体报告泄露事件。在英国Ticketmaster数据泄露案中，个人信息管理者Ticketmaster延迟向客户和监管机构通报和报告数据泄露事件，这是英国信息专员办公室（ICO）在其出入境处罚中适用GDPR的重要事实依据。

（四）个人数据收集的最小化原则

GDPR将个人数据定义为自然人提供的任何可用于识别其身份的信息，即只要该信息能够直接或间接识别特定个人，浏览痕迹、Cookies等间接数据也可以属于GDPR。已识别的个人数据。企业在使用或提供网络服务或技术支持时不可避免地会收集和使用个人信息，但可以定期清理此类数据，以减轻企业的数据管理责任和合规义务。此类数据也可以通过使用匿名化技术进行匿名，使其无法识别特定个人，并采用有效的加密措施来保护此类数据。值得注意的是，ODR第30条要求数据处理活动以书面形式记录和保存。因此，当企业匿名或删除数据时，应注意记录数据处理活动。记录可以通过多种记录方法进行备份。如电子记录、纸质记录等。

（五）数据的跨境处理

GDPR第五章规定对个人数据向第三国或国际组织传输的要求。GDPR第45条规定了两种“官方”处理模式：一是根据具体国家、地区和国际组织是否对个人资料提供“充分保护”，制定一份全面保护对象的白色清单。对于此类主体，相关数据传输不需要特别授权。二是相关主体直接与欧盟有关机构协商、缔结具有法律约束力、可执行的隐私保护协议。然而，我国不在提供充分保护的“白名单”之内，尚未与欧盟签署类似的官方合作协议。因此，当中国企业向欧盟企业或欧盟内部提供数据云存储服务时，如果它们的服务器在中国，而业务需求要求跨境传输欧盟数据，就应该注意跨境传输过程中的数据合规点。可能的合规措施是：（1）使用标准合同，根据协议的规定，选择两种由欧盟委员会标准合同条款提供的合并规格，数据的安全措施是为了达到GDPR的“充分保护水平”。（2）试图建立有约束力的公司规则（GDPR第47条）（Binding Corporate Rules简称BCRs）。BCRs是一种内部的数据传输规则。

（六）保证用户随时可撤回权利

GDPR赋予数据主体随时撤回同意的权利，数据管理者应明确告知用户该权利，并方便用户方便行使该权利。当用户依法撤回同意，或者数据管理者不再有正当理由继续处理数据时，用户有权要求删除数据。数据控制者公开传播个人数据的，应当采取一切合理手段予以删除，并有责任通知其他处理该数据的数据控制者删除数据主体主张的个人数据的链接或副本。

根据GDPR第7条第3款，数据主体应有权随时撤回其同意。可被GDPR认定为数据主体的企业在设计产品或提供服务时，应注意赋予用户便捷、免费的数据提取权。为保护数据主体对其信息和数据的控制权，还应注意给予用户的撤销通道应与获得授权时一样自由，不得要求发送邮件或书面寄件通知的方式，增加用户对数据授权进行撤销的阻碍。

三、个人信息保护影响评估实践的三种立场分析

（一）技术人员角度的个人信息保护影响评估实践

在项目评审阶段，需要业务人员提供以下三类材料：业务设计规范、系统进出参数说明、上下游尽职调查。第一类素材业务设计规范包括业务场景及相关功能、领域描述、第三方合作等。第二种材质系统进出参数描述是第三方输出/输入的字段和方法（如API接口、SDK等）。第三类材料的上下游尽职调查一般是评估者自己的模板，评估者根据合作伙伴填写的材料确定后者的安全环境。

首先对业务进行合法、合理性评估和业务逻辑漏洞评估，前者包括数据来源、使用和交互合规，后者包括是否有漏洞、产生漏洞的可能性和具体环节。然后进入个人信息风险识别环节，此过程将对具体场景的风险进行识别和评估，如判断和识别数据处理各方（数据主体、处理者、受托人）的角色、分析业务场景，个人信息的具体处理活动（收集、存储、使用、访问和存储）和相应的领域。在个人信息影响评估中，参照《信息安全技术个人信息安全影响评估指南》（GB/T39335-2020），将个人信息影响的可能性乘以影响关于数据主体，取最大值。风险源参考因素包括网络安全和技术措施（NT）、个人信息处理过程（SP）、参与者和第三方（PT）、业务特征和规模、安全态势（BS）四个方面。根据风险源的四个方面设定控制项目，并一一比较所需控制措施与现有控制措施的差距，从而确定风险等级。在完成第二阶段风险等级判断后，根据等级确定风险处置方案和风险接受标准。

（二）律师角度的个人信息保护影响评估实践

从律师立场来看，在个人信息保护影响评估实践中可以为企业提供的服务主要集中在三个模块。首先，根据《个人信息保护法》，为客户提供配套的个人信息保护影响评估体系，包括体系的制定和实施方、个人信息保护影响评价流程、监督整改措施。其次是个人信息保护影响评估工具表，最后根据评估向客户发出报告。

就具体的个人信息保护影响评估实践而言，公司既可以对某个场景进行整体评估，也可以对特定场景进行具体评估，比如对产品的人脸识别功能模块进行评估。目前很多企业还没有做个人信息保护影响评估，或将等待产品功能上线，针对此情况可以在产品设计之初就结合隐私保护设计（PbD）的概念，对产品进行隐私评估。在为客户提供个人信息保护影响评估服务时，也会遇到个人信息保护影响评估难以实施或执行的情况，如缺乏统一负责人等。从律师个人的角度来看，仅仅依靠单一的内部部门来推动个人信息保护的影响评估确实很难，要与法务、安全、技术等多个部门合作，确定合作机制，牵头部门进行协调。资源和人员为个人信息保护影响评估的实施提供相应的支持。牵头部门可根据自身实际业务情况确定。此外，在风险源识别方面，律师和法务更倾向于与个人信息保护相关的模块，本模块内容可结合App治理、人身保护法、行业标准等法律法规要求。

（三）法务角度的个人信息保护影响评估实践

个人信息保护影响评估内容包括业务背景及数据处理情况（如合法性基础、公平透明、最小必要等处理原则、PbD及数据主体权利等）、数据流、数据处理中各方角色、风险评估、风险定级及处置措施等。海外个人信息保护影响评估与国内个人信息保护影响评估区别在于：海外个人信息保护影响评估的适用条件相对较窄且触发后的审批机制也更为严格。个人信息保护影响评估包括以下四类典型适用场景（GDPR 35条第3款）：1.自动化处理进行大规模广泛的画像分析；2.大规模处理特殊类别或刑事犯罪数据；3.自动化大规模监控公共场所；4.欧盟以外的跨境传输。企业触发个人信息保护影响评估后，需集团DPO签字审批，同时后续个人信息保护影响评估报告将面临每年至少复审一次的频率。

在启动个人信息保护影响评估后，目前的最大痛点是企业数据处理现状的事实确认。例如，自动化处理和轮廓分析场景下的数据研究可能涉及跨多个部门的数据合作。需要逐场评估必要性和最小化，算法是黑盒的。比如业务部门配合个性化推荐、风控、广告等媒体投放类型时，可能会涉及用户画像。此时评估的难点在于如何明确用户画像的形成和输入所使用的数据，以及通过算法分析得到的用户画像标签；其次，在理清了数据之后，如何逐场评估必要性和最小化。综上所述，对于上述挑战，如果单纯用访谈的形式来厘清企业数据处理现状的事实，难免会出现疏漏、时效性差、缺乏验证等问题，个人的基本工作环节信息保护影响评估和评估可能仅限于被动。并且效率低下。针对以上问题，可以手动进行数据盘点和数据流程图，并推回自动化解决方案。解决方案包括在数据吞吐量的关键处设置卡点，如API网关、数据存储（包括在线和离线存储）位置等，通过MySQL解析数据字段、HIVE标记和自动扫描，解决数据存储和增量变化问题。

（四）例行隐私评估实践

在一般企业实践中，触发正式的个人信息保护影响评估、出具评估报告、DPO签名批准等业务场景并不多。在日常的海量业务场景中，需要一个标准化的评测环节，对产研业务方提出的需求进行审核，并对技术方提出的相关问题进行回复。首先，对于日常隐私评估，建立六个适用场景和条件：产品设计、活动运营、数据收集、数据对外传输/合作、引入第三方供应商、内部和跨部门传输的新要求数据的。二是建立在线评审评价系统。评价系统设置了产品需求池卡点。合规节点放置在产品开发之初，审核涉及产品需求阶段。企业正在接收基本的合规输入。PRD文件形成后，提交给隐私审查。日常隐私审查以定期审查的方式进行，主要包括以下内容：业务背景说明、数据类型和数据流向（服务器到客户端）、数据使用情况、合作伙伴等。我们根据数据处理原则进行风险分析和数据主体权利，给出风险项、风险等级和相关方，提出产品设计等解决方案。

四、数据保护影响评估（DPIA）与个人信息保护影响评估（PIA）异同分析

欧盟《一般数据保护条例》与中国《个人信息保护法》背景下，个人信息保护影响评估二者在文理内容上方向一致，   但各有倾向。其中PIA评估在呈现上更显体系化和逻辑化，覆盖面更广也更为细致。在务实方面，在个人信息处理背景陈述、个人信息风险的分析和个人信息处理的描述方面，二者非常接近。但PIA突出了个人影响权益的分析并侧重数据泄露后对数据主体的影响，且更侧重于安全维度，而DPIA则侧重于数据主体权益保障的分析。结果上看，中国PIA方法基本足以支撑GDPR下的DPIA要求对于安全技术人员来说，更关注数据全生命周期的过程，以及实际数据处理和流通过程中的安全保障和保护。对于法务人员来说，在进行评估时，更应该根据业务需求，更加关注业务本身的合法性和合规性评估，这也是隐私和数据审查的前提。此外，法务部門在与外部数据合作伙伴的合作过程中，也更加注重双方的角色和职责分工。

作者单位：王乐枭    李凯    张晓晴    国家计算机网络

应急技术处理协调中心辽宁分中心

参  考  文  献

[1]毛逸潇.数据保护合规体系研究[J].国家检察官学院学报，2022.

[2]杨瑞仙，毛春蕾，左泽. 国内外政府数据开放现状比较研究[J].情报杂志，2016（5）：167-172.