2020年11月，《信息安全技术个人信息安全影响评估指南》（GB/T 39335-2020）（以下简称“《评估指南》”）国家标准正式发布，并将于2021年6月1日起正式实施。

《评估指南》给出了各类组织自行开展个人信息安全影响评估（Personal Information Security Impact Assessment，以下简称“PISIA”）的基本原理与实施流程，适用于各类组织自行开展PISIA工作；同时为国家主管部门、第三方测评机构等开展个人信息安全监管、检查、评估等工作提供指导和依据。

Q1　PISIA对于企业开展个人信息保护工作有什么作用？

A　PISIA是个人信息保护的重要组成部分。

目前在法律层面，我国对个人信息主体主要采取事前赋权与事后救济的保护模式。比如对于个人信息保护具有重要意义的《民法典》第一千零三十五条、第一千零三十七条及第一千零三十八条在民事基本法层面上明确信息主体的知情同意权、查阅复制权、更正权及删除权；另一方面，《民法典》明确非法处理个人信息者将承担侵权责任，这使得个人信息侵权能够成为民事诉讼的独立案由，信息主体寻求个人信息侵权的民事救济将有法可依。

然而，事前赋权与事后救济的模式无法全面保护个人信息主体权益。缺乏专业知识和技术能力的普通个人信息主体难以考虑到具体场景中的多元要素，无法对自己的个人信息作出始终正确的选择，也难以应对个人信息泄露等安全问题。

而信息处理者作为实际实施个人信息处理行为的实体，其相较于信息主体，对处理行为的目的、方式、所采用的技术等各项情况更为了解，而且以企业、政府部门为代表的信息处理者亦有足够的技术能力去对个人信息处理行为的风险进行评估和控制，以更好地降低个人信息泄露等安全事件的发生。

PISIA强调信息处理者在信息处理具体场景中的风险评估责任以及在所有信息处理场景均应承担的风险管理责任，旨在将针对特殊情况灵活选用的风险控制措施与日常的风险管理相结合，将风险管理责任公平地分配给信息主体和信息处理者，以弥补信息主体判断能力的欠缺，全面有效地降低个人信息处理风险。

此外，PISIA不仅是一种预警机制，它的目的不是完全消除个人信息的处理风险，而是承认风险的存在，采取有效的措施将风险控制在可接受范围之内。当网络安全事件发生时，监管部门的关注重点不一定是网络的绝对安全，而是信息处理者为保障安全是否采取了适当且充足的安全保障措施。因此，PISIA的开展还可协助信息处理者在持续合规性审计或调查中证明其遵守相关个人信息与数据保护法律、法规和标准要求，有助于减轻、甚至免除信息处理者相关责任和商誉损失。

此外，还有利于信息处理者对外展示其保护个人信息安全的努力，提升透明度，增进个人信息主体对其的信任。

Q2　企业需要在什么时候开展PISIA？

A　同样的个人信息处理活动在不同的场景中具有不同的风险，PISIA一般应在具体场景发生变化前进行。

以“个人信息出境”为例，虽然都是个人信息传输行为，但该活动在境内传输场景与境外传输场景中的风险性有所不同。境外接收者所处的法律环境对个人信息的保护力度可能低于个人信息主体所在地，这将无法保证个人信息主体在个人信息出境后仍享有同等保护水平。而由于个人信息被传输到管辖地之外，监管部门无法对境外接收者实施监管，督促其采取安全保障措施。当安全事件发生时，监管部门亦难以追查与境外活动有关的投诉或进行调查。

同时，个人信息主体在寻求权利救济时，亦会因为难以举证、境内外法律制度不一致和实践上存在障碍等种种情况而陷入困境。因此，虽然同为传输行为，个人信息出境场景中的安全保护义务却明显要高于境内传输场景，在个人信息进行出境传输前进行PISIA具有必要性。

另一方面，部分个人信息处理活动在大多数的场景中均具有较高的风险性，比如面部数据的大规模使用在大多数场景中均具有较高的侵害风险，开展该类个人信息处理活动前一般需进行PISIA。

《评估指南》附录A和附录B即从个人信息处理活动具体场景变化及个人信息处理活动自身高危险性角度出发，列举需进行个人信息处理安全影响评估的数种常见情况。

结合《评估指南》《信息安全技术个人信息安全规范》（GB/T 35273-2020）（以下简称《个人信息安全规范》）《个人信息保护法（草案）》《网络安全法》《儿童个人信息网络保护规定》的内容，一般在下列场景中需开展PISIA：

Q3　在委托处理个人信息场景中，PISIA的责任主体是谁？

A　这个问题涉及到在委托处理个人信息场景中，委托人与受托人之间的评估责任分配。

首先，委托人具有评估责任。《个人信息安全规范》9.1要求个人信息控制者委托第三方处理个人信息时，应对委托行为进行PISIA，确保受委托者具备适当的数据安全能力并已落实必要的管理和技术措施。

《评估指南》附录A作出评估要点提示：

在该场景中，个人信息的控制权未发生转移，受托人是基于委托而按照委托人的指示进行个人信息处理活动，一般而言，受托人可不进行PISIA。但《评估指南》5.2亦指出，在开展PISIA时，包括企业在内的各类组织可督促适当的相关方（主要包括分包商和业务合作伙伴）开展PISIA。适当的相关方有义务开展或者需配合组织开展，组织可应用相关方的影响评估报告作为咨询结果。当受托人受托处理事项涉及《评估指南》附录B等具有高风险性的个人信息处理活动时，建议受托人开展PISIA以防范风险。

Q4　评估责任部门或人员需要承担什么职责？

A　《评估指南》未明确责任部门或责任人员的主要职责，我们建议，责任部门或责任人员除了开展PISIA工作外，还需承担以下职责：

• 保持对所适用的个人信息保护相关法律、法规、政策及标准的追踪与分析；

• 保持对个人信息处理活动的监测，关注信息处理者提出产品或服务时是否会改变个人信息处理的原有场景或者是否会增加高风险的个人信息处理活动，当出现业务模式、互联网安全环境、外部环境发生重大变化时及时开展重新评估；

• 根据企业内部PISIA制度开展定期评估。

《评估指南》未明确责任部门或责任人是否应常设，考虑到评估人需对个人信息处理活动的技术风险及法律动态保持密切关注，建议企业可从法务部门或合规部门及信息安全部门等部门抽调部分人员组成常设评估团队，以应对个人信息处理场景变化。

《个人信息保护法（草案）》第五十一条要求处理个人信息达到国家网信部门规定数量的个人信息处理者应指定个人信息保护负责人，负责对个人信息处理活动以及采取的保护措施等进行监督。《网络安全法》第二十一条规定网络运营者需确定网络安全负责人。参考GDPR第三十五条，其规定进行数据影响评估时，数据控制者应向数据保护官（如已指定）寻求意见。

我们认为，评估责任主体与个人信息保护负责人及网络安全负责人的职责范围存在重合，信息处理者可根据实际情况，决定是否由网络安全负责人或个人信息保护负责人兼任。

Q5　具有跨境业务的企业开展PISIA要如何与GDPR的数据保护影响评估（Data Protection ImpactAssessment, DPIA）衔接？

A　PISIA与DPIA的适用场景存在重合。GDPR第三十五条与我国《评估指南》均将利用个人信息进行自动化决策、大规模处理特殊类型的个人信息以及对公共区域的大规模系统性监控列为进行评估的必要场景。但两者均不局限于此，当处理可能对个人信息主体的权益造成高风险时，信息处理者即应进行评估。

《评估指南》为我国的推荐性国家标准，对如何开展PISIA进行引导。GDPR虽然设立了DPIA制度并对评估应包含的评估内容、事先咨询等事项进行规定，目的也是在明确DPIA义务的基础上进行操作引导。

无论是PISIA还是DPIA，两者的具体方式和流程都没有固定的法律强制性要求，其应成为一种灵活且具有延展性的实用工具。开展的关键在于经过评估后，企业的个人信息保护水平是否满足相应法律要求。PISIA与DPIA的处理操作具有共通之处，企业可依据《评估指南》、GDPR等法律文件，并结合自身实际开发属于自己的评估计划和操作规范，并在不同法律语境中调整评估标准以应对中国与欧盟不同的监管要求。

作者：吴丹君律师 张振君律师助理

来源：微信公众号“大数据法律研究”