論個人信息保護(hù)影響評估
——以《個人信息保護(hù)法》第55、56條為中心

劉 權(quán)

(中央財經(jīng)大學(xué)法學(xué)院， 北京 100081)

《個人信息保護(hù)法》第55條、56條確立了個人信息保護(hù)影響評估制度，但條款內(nèi)容較為寬泛，仍有進(jìn)一步完善的空間。作為一種事前性的合規(guī)評估和風(fēng)險評估程序，個人信息保護(hù)影響評估屬于受強制的自我規(guī)制，是數(shù)據(jù)治理中實現(xiàn)個人信息場景化保護(hù)的必然要求。個人信息保護(hù)影響評估具有重要的時代價值，體現(xiàn)了基于風(fēng)險治理的個人信息保護(hù)新模式。風(fēng)險已成為個人信息保護(hù)領(lǐng)域的新邊界和關(guān)鍵指標(biāo)，基于風(fēng)險的個人信息保護(hù)正在形成。新型的個人信息保護(hù)影響評估制度必將對個人信息保護(hù)和利用的平衡產(chǎn)生深遠(yuǎn)影響，但當(dāng)前相關(guān)研究匱乏，基本沒有專門的探討。進(jìn)行有效的數(shù)據(jù)治理，需要吸收不同國家和地區(qū)的可行經(jīng)驗，“加強國際數(shù)據(jù)治理政策儲備和治理規(guī)則研究，提出中國方案”。(1)中共中央宣傳部，中央全面依法治國委員會辦公室.習(xí)近平法治思想學(xué)習(xí)綱要[M].北京： 人民出版社，2021： 76.本文擬從法治視角對個人信息保護(hù)影響評估的本質(zhì)與功能、適用范圍、評估程序、評估內(nèi)容等問題進(jìn)行系統(tǒng)研究，以推動個人信息保護(hù)影響評估的理性化，有效實現(xiàn)其預(yù)期制度功能。

一、 個人信息保護(hù)影響評估的本質(zhì)與功能

個人信息處理者在實施符合法定情形的個人信息處理活動時，必須事前進(jìn)行有效的個人信息保護(hù)影響評估。那么，《個人信息保護(hù)法》第55條、56條為什么要為互聯(lián)網(wǎng)企業(yè)設(shè)立強制的評估義務(wù)？個人信息保護(hù)影響評估的本質(zhì)與功能究竟是什么呢？

(一) 個人信息保護(hù)影響評估的本質(zhì)

所謂個人信息保護(hù)影響評估，是指對擬實施的個人信息處理活動所造成的影響進(jìn)行評價和估計的活動。個人信息保護(hù)影響評估制度由個人信息安全影響評估演變而來。我國早在2017年發(fā)布的國家標(biāo)準(zhǔn)《信息安全技術(shù) 個人信息安全規(guī)范》中就提出“個人信息安全影響評估”，2020年修正時予以保留。2020年發(fā)布的《信息安全技術(shù) 個人信息安全影響評估指南》全面規(guī)定了個人信息安全影響評估，涉及評估原理、評估實施流程等事項。2020年發(fā)布的《個人信息保護(hù)法(草案)》使用了“風(fēng)險評估”，2021年最終通過的版本改為“個人信息保護(hù)影響評估”。我國當(dāng)前存在與個人信息保護(hù)影響評估類似但側(cè)重點不同的制度，如網(wǎng)絡(luò)安全風(fēng)險評估、數(shù)據(jù)安全風(fēng)險評估。(2)《網(wǎng)絡(luò)安全法》第53條第1款規(guī)定：“國家網(wǎng)信部門協(xié)調(diào)有關(guān)部門建立健全網(wǎng)絡(luò)安全風(fēng)險評估和應(yīng)急工作機制，制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，并定期組織演練?！眳⒁娭腥A人民共和國網(wǎng)絡(luò)安全法[EB/OL]. (2016-11-07)[2022-08-02]. http：//www.cac.gov.cn/2016-11/07/c_1119867116.htm. 《數(shù)據(jù)安全法》第22條規(guī)定：“國家建立集中統(tǒng)一、高效權(quán)威的數(shù)據(jù)安全風(fēng)險評估、報告、信息共享、監(jiān)測預(yù)警機制。國家數(shù)據(jù)安全工作協(xié)調(diào)機制統(tǒng)籌協(xié)調(diào)有關(guān)部門加強數(shù)據(jù)安全風(fēng)險信息的獲取、分析、研判、預(yù)警工作?！眳⒁娭腥A人民共和國數(shù)據(jù)安全法[EB/OL]. (2021-06-10)[2022-08-02]. http：//www.npc.gov.cn/npc/c30834/202106/7c9af12f51334a73b56d7938f99a788a.shtml.個人信息保護(hù)影響評估側(cè)重于保障個人信息安全，由個人信息處理者實施，評估對象是對個人權(quán)益有重大影響的個人信息處理活動。個人信息保護(hù)影響評估的內(nèi)容范圍較廣，既包括評估確定性的實際影響，也涵蓋評估不確定性的潛在影響即風(fēng)險。

首先，個人信息保護(hù)影響評估屬于受強制的自我規(guī)制。傳統(tǒng)的風(fēng)險評估屬于政府實施風(fēng)險規(guī)制的重要環(huán)節(jié)，例如國務(wù)院衛(wèi)生行政部門開展的食品安全風(fēng)險評估。(3)《食品安全法》第5條第3款規(guī)定“國務(wù)院衛(wèi)生行政部門依照本法和國務(wù)院規(guī)定的職責(zé)，組織開展食品安全風(fēng)險監(jiān)測和風(fēng)險評估”。參見中華人民共和國食品安全法(2021年修正本)[EB/OL]. (2021-04-29)[2022-08-02]. https：//zjjcmspublic.oss-cn-hangzhou-zwynet-d01-a.internet.cloud.zj.gov.cn/jcms_files/jcms1/web3448/site/attach/0/07d90dc5960c48aa847d960fb7e56b76.pdf.然而，數(shù)字時代的個人信息處理無處不在，而且具有高度復(fù)雜性，由具有個人信息保護(hù)職責(zé)的政府，對所有個人信息處理行為進(jìn)行直接的風(fēng)險評估已變得不太可能。傳統(tǒng)的政府規(guī)制存在“知識供給不足”、規(guī)制資源的有限性等問題，導(dǎo)致規(guī)制效能低下。(4)劉權(quán).數(shù)據(jù)安全認(rèn)證： 個人信息保護(hù)的第三方規(guī)制[J].法學(xué)評論，2022(1)： 118-130.由更具有信息、技術(shù)、效率等優(yōu)勢的個人信息處理者，對自己的行為進(jìn)行風(fēng)險評估，更具有合理性和可行性。對于企業(yè)而言，個人信息保護(hù)影響評估是政府強化個人信息處理者進(jìn)行自我規(guī)制的體現(xiàn)。

其次，個人信息保護(hù)影響評估是一種合規(guī)評估和風(fēng)險評估程序。雖然風(fēng)險評估是重心，但個人信息保護(hù)影響評估首先是一種合規(guī)評估程序。個人信息處理者首先需要評估擬開展的個人信息處理活動的合規(guī)性，找出合規(guī)差距。在合規(guī)評估的基礎(chǔ)上，還需要開展有效的風(fēng)險評估，因為即使屬于合規(guī)處理，也可能對個人帶來高風(fēng)險。通過風(fēng)險評估可以識別風(fēng)險類型與大小，然后采取與風(fēng)險程度相適應(yīng)的保護(hù)措施。雖然存在一定的差別，但合規(guī)評估和風(fēng)險評估是密不可分的。

再次，個人信息保護(hù)影響評估具有事前性。不同于事后性監(jiān)督制度，如個人信息保護(hù)合規(guī)審計，個人信息保護(hù)影響評估是個人信息處理者進(jìn)行個人信息處理前所應(yīng)實施的評估活動。通過對擬開展的個人信息處理活動進(jìn)行事前評估，可以有效發(fā)現(xiàn)其造成的實際影響和潛在風(fēng)險，從而有助于采取對個人權(quán)益影響最小的方式處理個人信息，并采取相應(yīng)的安全保護(hù)措施。

最后，通過保障個人信息安全而保護(hù)個人權(quán)利，是個人信息保護(hù)影響評估的根本價值。個人信息保護(hù)影響評估所要保護(hù)的不僅僅是個人信息本身。人類已進(jìn)入數(shù)字時代，個人信息已同個人的人身權(quán)、財產(chǎn)權(quán)、平等權(quán)、政治權(quán)等幾乎所有權(quán)利緊密關(guān)聯(lián)，最終關(guān)涉?zhèn)€人的人格尊嚴(yán)。對個人信息的不當(dāng)侵犯，極易產(chǎn)生“牽一發(fā)而動全身”的效應(yīng)。例如，人臉識別技術(shù)可能嚴(yán)重威脅個人隱私，造成人身、財產(chǎn)以及心理上的安全隱憂，侵犯肖像權(quán)，造成自由危機。(5)石佳友，劉思齊.人臉識別技術(shù)中的個人信息保護(hù)： 兼論動態(tài)同意模式的建構(gòu)[J].財經(jīng)法學(xué)，2021(2)： 60-78.個人信息保護(hù)影響評估通過直接保障個人信息安全，最終有利于有效保護(hù)同個人信息相關(guān)聯(lián)的幾乎所有權(quán)利。

我國的個人信息保護(hù)影響評估制度源于對歐盟數(shù)據(jù)保護(hù)影響評估制度的借鑒，體現(xiàn)了基于風(fēng)險路徑的個人信息保護(hù)模式?！锻ㄓ脭?shù)據(jù)保護(hù)條例》(General Data Protection Regulation，簡稱GDPR)在隱私影響評估(Privacy Impact Assessment，簡稱PIA)的基礎(chǔ)上，確立了數(shù)據(jù)保護(hù)影響評估制度(Data Protection Impact Assessment，簡稱DPIA)。以知情同意為基本路徑的個人信息保護(hù)逐漸流于形式，歐盟數(shù)據(jù)保護(hù)影響評估制度拓展了傳統(tǒng)的數(shù)據(jù)保護(hù)模式，側(cè)重于事前的預(yù)防方法，通過對數(shù)據(jù)保護(hù)風(fēng)險的評估和管理，轉(zhuǎn)向了以風(fēng)險管理為路徑的新型數(shù)據(jù)保護(hù)模式。(6)崔聰聰，許智鑫.數(shù)據(jù)保護(hù)影響評估制度： 歐盟立法與中國方案[J].圖書情報工作，2020，64(5)： 41-49.通過識別、分析和歸類風(fēng)險，數(shù)據(jù)保護(hù)影響評估可以消除或減輕隱私和個人數(shù)據(jù)風(fēng)險。(7)Yordanov A. Nature and Ideal Steps of the Data Protection Impact Assessment under the General Data Protection Regulation[J]. European Data Protection Law Review，2017(4)： 486.數(shù)據(jù)保護(hù)影響評估的規(guī)范基礎(chǔ)在于，保護(hù)公民的基本權(quán)利與自由。(8)Hallinan D， Martin N. Fundamental Rights， the Normative Keystone of DPIA[J]. European Data Protection Law Review，2020(2)： 178.數(shù)據(jù)保護(hù)影響評估迫使數(shù)據(jù)處理者“識別、評估并最終管理數(shù)據(jù)處理給權(quán)利和自由帶來的高風(fēng)險”。(9)Demetzou K. Data Protection Impact Assessment： A Tool for Accountability and the Unclarified Concept of ‘High Risk’ in the General Data Protection Regulation[J]. Computer Law&Security Review，2019，35(6)： 105342.數(shù)據(jù)保護(hù)影響評估旨在將風(fēng)險評估的一般邏輯融入整個數(shù)據(jù)保護(hù)法之中，從而將系統(tǒng)化和闡明現(xiàn)有風(fēng)險作為評估邏輯。(10)B?r?cz I. Risk to the Right to the Protection of Personal Data： An Analysis through the Lenses of Hermagoras[J]. European Data Protection Law Review，2016(4)： 467-468.我國個人信息保護(hù)影響評估促使個人信息保護(hù)模式，從事后監(jiān)管向基于風(fēng)險管理為主的模式轉(zhuǎn)變。(11)楊合慶.中華人民共和國個人信息保護(hù)法釋義[M].北京： 法律出版社，2022： 139.

(二) 個人信息保護(hù)影響評估的制度功能

一是檢驗個人信息處理是否合規(guī)。個人信息保護(hù)影響評估的首要功能在于合規(guī)檢驗。違規(guī)處理個人信息，即使風(fēng)險可控，也是令人無法接受的。雖然合規(guī)處理也可能導(dǎo)致高風(fēng)險，但個人信息處理首先必須合規(guī)。通過對擬開展的個人信息處理活動進(jìn)行事前合規(guī)評估，及時發(fā)現(xiàn)違規(guī)之處，個人信息保護(hù)影響評估有利于提升個人信息處理合規(guī)水平，可以減少聲譽受損、高額罰款等相關(guān)成本。譬如，評估是否過度收集個人信息、對敏感個人信息的處理是否具有特定的目的和充分的必要性、是否進(jìn)行了有效的去標(biāo)志化和匿名化等內(nèi)容，可以使個人信息處理者事前發(fā)現(xiàn)違規(guī)問題，從而達(dá)到未雨綢繆的風(fēng)險預(yù)防作用。

歐盟第29條數(shù)據(jù)保護(hù)工作組在其制定的《數(shù)據(jù)保護(hù)影響評估和確定處理是否“可能導(dǎo)致高風(fēng)險”的指南》中指出，數(shù)據(jù)保護(hù)影響評估不僅有助于數(shù)據(jù)控制者遵守《通用數(shù)據(jù)保護(hù)條例》的要求，而且還能夠證明其采取了適當(dāng)?shù)拇胧M足合規(guī)要求。數(shù)據(jù)保護(hù)影響評估是建立和證明合規(guī)的過程。(12)Guidelines on Data Protection Impact Assessment (DPIA) and Determining Whether Processing is “Likely to Result in a High Risk” for the Purposes of Regulation 2016/679[EB/OL]. (2017-10-04)[2022-07-10]. https：//iapp.org/media/pdf/resource_center/WP29-GDPR-DPIA-guidance_final.pdf.《個人信息保護(hù)法》第56條規(guī)定的首要評估內(nèi)容是評估個人信息處理是否符合合法、正當(dāng)、必要原則，屬于合規(guī)評估。合法、正當(dāng)、必要原則是《個人信息保護(hù)法》《民法典》《網(wǎng)絡(luò)安全法》等確立的個人信息處理基本原則，是個人信息保護(hù)規(guī)則體系的靈魂。

二是識別并降低個人信息安全風(fēng)險。個人信息處理難免會導(dǎo)致或高或低的安全風(fēng)險，但不能由此阻止個人信息處理，關(guān)鍵在于將風(fēng)險控制到可接受的低水平。嚴(yán)格限制個人信息的流通利用不符合時代要求，數(shù)據(jù)已成為數(shù)字時代的關(guān)鍵生產(chǎn)要素，而個人信息屬于重要的數(shù)據(jù)類型，不僅具有重要的個人價值，而且具有重要的社會價值。數(shù)字經(jīng)濟(jì)的基本模式是通過平臺這樣的生產(chǎn)組織增加各類要素的流動性，并采取有效措施降低流動性風(fēng)險。(13)胡凌.互聯(lián)網(wǎng)的開放與封閉及其法律回應(yīng)[J].交大法學(xué)，2022(2)： 7-16.個人信息保護(hù)影響評估是有效的風(fēng)險評估工具，通過將保護(hù)關(guān)口前移，有利于及早發(fā)現(xiàn)個人信息處理行為可能存在的風(fēng)險和可能造成的不利影響，從而可以有針對性地設(shè)計業(yè)務(wù)流程并采取防范措施。《個人信息保護(hù)法》第56條規(guī)定的第2項評估內(nèi)容即評估“對個人權(quán)益的影響及安全風(fēng)險”，屬于風(fēng)險評估，有利于發(fā)現(xiàn)風(fēng)險的類型與大?。坏?項評估內(nèi)容即評估“所采取的保護(hù)措施是否合法、有效并與風(fēng)險程度相適應(yīng)”，有利于降低風(fēng)險。基于風(fēng)險路徑的個人信息保護(hù)影響評估并不是要消除所有風(fēng)險，但可以使個人信息處理者盡到更大的責(zé)任?？偠灾?，個人信息保護(hù)影響評估有助于識別并降低個人信息處理風(fēng)險，實現(xiàn)風(fēng)險可控，從而有利于最大程度高效利用個人信息。

三是減輕或免除個人信息處理責(zé)任。通過有效實施個人信息保護(hù)影響評估，不僅可以增強個人信息處理者的風(fēng)險管理能力，對外展示保護(hù)個人信息的努力，有利于提升企業(yè)聲譽，而且還有助于減輕或免除個人信息處理責(zé)任。對于民事責(zé)任，《個人信息保護(hù)法》第69條確立了個人信息侵權(quán)的過錯推定責(zé)任，即個人信息處理者不能證明自己沒有過錯的，應(yīng)當(dāng)承擔(dān)損害賠償?shù)惹謾?quán)責(zé)任。對于行政責(zé)任，《個人信息保護(hù)法》沒有確立歸責(zé)原則，一般應(yīng)適用《行政處罰法》確立的過錯推定原則，即當(dāng)事人有證據(jù)足以證明沒有主觀過錯的就不予處罰。如果個人信息處理者能證明自己過錯較小或沒有過錯，相應(yīng)的民事責(zé)任或行政責(zé)任就應(yīng)當(dāng)減輕或免除。個人信息保護(hù)影響評估報告和處理記錄，是證明個人信息處理者合規(guī)處理個人信息的重要證據(jù)。在發(fā)生糾紛或損害時，如果通過調(diào)取記錄，發(fā)現(xiàn)個人信息處理者進(jìn)行了有效的個人信息保護(hù)影響評估，對識別的風(fēng)險采取了相應(yīng)的保護(hù)措施，就可以減輕或免除個人信息處理者的責(zé)任。

綜上，由個人信息安全影響評估制度演變而來的個人信息保護(hù)影響評估，源于對歐盟數(shù)據(jù)保護(hù)影響評估制度的借鑒。個人信息保護(hù)影響評估是數(shù)字時代政府強化個人信息處理者進(jìn)行自我規(guī)制的體現(xiàn)，屬于合規(guī)評估和風(fēng)險評估程序。個人信息處理者有效開展個人信息保護(hù)影響評估，可以事前檢驗個人信息處理是否合規(guī)，有助于識別并降低個人信息安全風(fēng)險，有利于減輕或免除個人信息處理責(zé)任。

二、 個人信息保護(hù)影響評估適用范圍的反思

個人信息保護(hù)影響評估具有重要的時代價值，但應(yīng)科學(xué)合理設(shè)定其適用范圍。無論適用范圍過寬還是過窄，都會導(dǎo)致安全與效率的失衡，從而不利于實現(xiàn)《個人信息保護(hù)法》第1條規(guī)定的“保護(hù)個人信息權(quán)益”和“促進(jìn)個人信息合理利用”的雙重立法目的。在適用的事項范圍上，當(dāng)前我國個人信息保護(hù)影響評估的范圍過于寬泛，缺乏必要的限制條件，可能對互聯(lián)網(wǎng)企業(yè)帶來過大的評估壓力，同時極易導(dǎo)致評估流于形式。在適用的義務(wù)主體范圍上，《個人信息保護(hù)法》沒有規(guī)定個人信息保護(hù)影響評估是否適用于國家機關(guān)，需要予以明確。

(一) 評估的適用事項范圍過于寬泛

個人信息處理者幾乎每天都進(jìn)行著種類繁多的個人信息處理活動，雖然都可能給個人帶來或大或小的風(fēng)險，但如果全部都要求進(jìn)行個人信息保護(hù)影響評估，則企業(yè)將不堪重負(fù)。對于個人信息保護(hù)影響評估的適用范圍，我國采用的是列舉式?！秱€人信息保護(hù)法》第55條列舉了應(yīng)當(dāng)進(jìn)行個人信息保護(hù)影響評估的五大類情形： (1) 處理敏感個人信息；(2) 利用個人信息進(jìn)行自動化決策；(3) 委托處理個人信息、向其他個人信息處理者提供個人信息、公開個人信息；(4) 向境外提供個人信息；(5) 其他對個人權(quán)益有重大影響的個人信息處理活動。雖然沒有從抽象層面進(jìn)行概括規(guī)定，但從兜底條款可以發(fā)現(xiàn)，個人信息保護(hù)影響評估的適用范圍為對個人權(quán)益有重大影響的個人信息處理活動。換言之，是否對個人權(quán)益具有重大影響，是判斷是否需要進(jìn)行個人信息保護(hù)影響評估的標(biāo)準(zhǔn)。

我國的個人信息保護(hù)影響評估適用范圍過于寬泛，缺乏必要的限定條件。譬如，只要是處理敏感個人信息，不論數(shù)量多少和范圍寬窄，都應(yīng)事前進(jìn)行個人信息保護(hù)影響評估，可能導(dǎo)致企業(yè)負(fù)擔(dān)過重。如果只是少量或小范圍處理敏感個人信息，就可能不會對個人權(quán)益產(chǎn)生重大影響，或許就沒必要一定要進(jìn)行影響評估。況且《個人信息保護(hù)法》已設(shè)專節(jié)“敏感個人信息的處理規(guī)則”，對敏感個人信息的類型、處理條件、單獨同意等作了具體規(guī)定。再如隨著智能科技的發(fā)展，利用個人信息進(jìn)行自動化決策會日益普遍，一律要求進(jìn)行事前影響評估，可能事實上難以完全做到，最終不利于便利用戶。《信息安全技術(shù) 個人信息安全規(guī)范》中個人信息安全影響評估適用范圍較窄，主要限于“在產(chǎn)品或服務(wù)發(fā)布前，或業(yè)務(wù)功能發(fā)生重大變化時”，或“在法律法規(guī)有新的要求時，或在業(yè)務(wù)模式、信息系統(tǒng)、運行環(huán)境發(fā)生重大變更時，或發(fā)生重大個人信息安全事件時”。(14)國家市場監(jiān)督管理總局，國家標(biāo)準(zhǔn)化管理委員會.信息安全技術(shù) 個人信息安全規(guī)范： GB/T 35273—2020[S].北京： 中國標(biāo)準(zhǔn)出版社，2020.

《通用數(shù)據(jù)保護(hù)條例》通過概括和列舉并存的方式，規(guī)定了數(shù)據(jù)保護(hù)影響評估的適用范圍。第35條首先規(guī)定，當(dāng)某種類型的處理尤其是在運用新技術(shù)可能給自然人的權(quán)利與自由帶來高風(fēng)險時，在考慮處理的性質(zhì)、范圍、背景和目的基礎(chǔ)上，應(yīng)進(jìn)行個人數(shù)據(jù)保護(hù)影響評估。《通用數(shù)據(jù)保護(hù)條例》第35條特別列舉了三種必須進(jìn)行數(shù)據(jù)保護(hù)影響評估的情形： (1) 對自然人的個人情況進(jìn)行系統(tǒng)、廣泛評估的自動化處理(包括數(shù)據(jù)畫像)，且該處理會對自然人產(chǎn)生法律效力或造成類似的重大影響。(2) 處理大規(guī)模的特殊類型數(shù)據(jù)，或涉及犯罪記錄和違法行為的數(shù)據(jù)。(3) 公共區(qū)域大規(guī)模的系統(tǒng)性監(jiān)控活動。在此基礎(chǔ)上，歐盟要求成員國監(jiān)管機構(gòu)制定數(shù)據(jù)保護(hù)影響評估的肯定清單和否定清單。對于如何判斷“可能導(dǎo)致高風(fēng)險”，《數(shù)據(jù)保護(hù)影響評估和確定處理是否“可能導(dǎo)致高風(fēng)險”的指南》提出應(yīng)當(dāng)考慮以下9個標(biāo)準(zhǔn)： (1) 評價或評分，特別是從“有關(guān)數(shù)據(jù)主體的工作表現(xiàn)、經(jīng)濟(jì)狀況、健康、個人喜好或興趣、可靠性或行為、地點或移動等方面”進(jìn)行的分析和預(yù)測；(2) 具有法律或類似重大影響的自動決策；(3) 系統(tǒng)性監(jiān)控；(4) 敏感數(shù)據(jù)或具有高度個人性質(zhì)的數(shù)據(jù)；(5) 大規(guī)模的數(shù)據(jù)處理；(6) 匹配或組合數(shù)據(jù)集；(7) 易受攻擊數(shù)據(jù)主體的數(shù)據(jù)；(8) 創(chuàng)新性的使用或應(yīng)用新的技術(shù)或組織方案；(9) 數(shù)據(jù)處理本身“阻止數(shù)據(jù)主體行使權(quán)利或使用服務(wù)或合同”。大多數(shù)情形下，如果滿足兩個標(biāo)準(zhǔn)，就應(yīng)當(dāng)進(jìn)行數(shù)據(jù)保護(hù)影響評估。如果滿足的標(biāo)準(zhǔn)越多，就表明對個人權(quán)利與自由越可能產(chǎn)生高風(fēng)險。少數(shù)情形下，如果滿足一個標(biāo)準(zhǔn)，也需要進(jìn)行數(shù)據(jù)保護(hù)影響評估。由上述考察可知，歐盟數(shù)據(jù)保護(hù)影響評估適用于“高風(fēng)險”行為。雖然是法定強制義務(wù)，但歐盟的數(shù)據(jù)保護(hù)影響評估涉及范圍有限，而且從數(shù)據(jù)類型、處理數(shù)量、處理范圍等方面進(jìn)行了條件限定。譬如，敏感個人數(shù)據(jù)的處理，并不必然屬于高風(fēng)險行為，但如果是大規(guī)模處理，則需要進(jìn)行數(shù)據(jù)保護(hù)影響評估。

設(shè)定個人信息保護(hù)影響評估的適用范圍，應(yīng)注重安全與效率的平衡。如果個人信息保護(hù)影響評估的適用范圍過于寬泛，不僅會給個人信息處理者尤其是對中小微互聯(lián)網(wǎng)企業(yè)帶來過大的運營壓力，不利于營商環(huán)境的優(yōu)化，而且還易導(dǎo)致評估流于形式。如果評估范圍設(shè)定得過窄，則不利于控制風(fēng)險，從而使個人信息權(quán)益得不到有效保障。法律首先需要進(jìn)行概括規(guī)定，將高風(fēng)險行為作為個人信息保護(hù)影響評估的基本條件。對個人信息權(quán)益有重大影響的行為，并不一定是高風(fēng)險行為，而可能是完全可控的無風(fēng)險行為，所以不必然需要進(jìn)行個人信息保護(hù)影響評估。除了強制規(guī)定必須進(jìn)行個人信息保護(hù)影響評估的法定情形，還應(yīng)通過激勵機制引導(dǎo)個人信息處理者自愿開展更廣范圍的個人信息保護(hù)影響評估。

(二) 個人信息保護(hù)影響評估應(yīng)適用于國家機關(guān)

《個人信息保護(hù)法》沒有明確規(guī)定個人信息保護(hù)影響評估是否適用于國家機關(guān)，相關(guān)條款似乎主要是針對私主體的個人信息處理者設(shè)計的。雖然國家機關(guān)在個人信息處理的范圍和頻率上，可能比不上互聯(lián)網(wǎng)企業(yè)，但國家機關(guān)的很多個人信息處理行為同樣也會導(dǎo)致高風(fēng)險。由于國家機關(guān)具有強制性的公權(quán)力，如果缺乏必要的約束，一旦濫用個人信息處理權(quán)力，必將會對個人的權(quán)利與自由造成重大損害。一些個人信息泄露事件暴露出有些國家機關(guān)存在個人信息保護(hù)意識不強、處理流程不規(guī)范、安全保護(hù)措施不到位等問題，將監(jiān)管者納入監(jiān)管，有助于在全社會起到示范效應(yīng)，形成數(shù)字法治的良好氛圍。(15)蔣紅珍.《個人信息保護(hù)法》中的行政監(jiān)管[J].中國法律評論，2021(5)： 48-58.(16)王利明，丁曉東.論《個人信息保護(hù)法》的亮點、特色與適用[J].法學(xué)家，2021(6)： 1-16.作為重要的合規(guī)評估和風(fēng)險評估機制，個人信息保護(hù)影響評估應(yīng)同樣適用于國家機關(guān)，否則對個人信息的保護(hù)就是不全面的。數(shù)字時代的國家機關(guān)既是個人信息處理者，也是個人信息保護(hù)監(jiān)管者。作為個人信息處理者的國家機關(guān)，應(yīng)當(dāng)同作為私主體的個人信息處理者一樣，有效履行個人信息保護(hù)影響評估義務(wù)。

實際上，域外同個人信息保護(hù)影響評估類似的數(shù)據(jù)保護(hù)影響評估、隱私影響評估、算法影響評估等評估制度，均適用于國家機關(guān)。在歐盟，無論是私主體還是公共機構(gòu)，都有義務(wù)進(jìn)行數(shù)據(jù)保護(hù)影響評估。(17)Yordanov A. Nature and Ideal Steps of the Data Protection Impact Assessment under the General Data Protection Regulation[J]. European Data Protection Law Review， 2017(4)： 486.《通用數(shù)據(jù)保護(hù)條例》對公私主體具有同等效力，其第4條將數(shù)據(jù)控制者、處理者界定為控制或處理數(shù)據(jù)的自然人、法人、公共機構(gòu)、代理機構(gòu)或其他機構(gòu)；第2條適用范圍只是否定了部分公共機構(gòu)的數(shù)據(jù)處理行為，如排除適用于有權(quán)機關(guān)為預(yù)防、調(diào)查、偵查、起訴刑事犯罪，或為執(zhí)行刑罰的目的(包括預(yù)防與抵御公共安全風(fēng)險)所進(jìn)行的個人數(shù)據(jù)處理。

隱私影響評估是政府應(yīng)對隱私風(fēng)險和實現(xiàn)隱私保護(hù)目標(biāo)的重要工具，在域外有著二十多年的應(yīng)用與發(fā)展歷程。1999年新西蘭發(fā)布《信息匹配隱私影響評估指南》，標(biāo)志著隱私影響評估在政府管理領(lǐng)域正式應(yīng)用。(18)陳朝兵，郝文強.作為政府工具的隱私影響評估： 緣起、價值、實施與啟示[J].中國行政管理，2020(2)： 145.2002年加拿大發(fā)布《隱私影響評估政策》，要求對產(chǎn)生隱私風(fēng)險的政府行為進(jìn)行隱私影響評估，同年發(fā)布《隱私影響評估指南： 管理隱私風(fēng)險的框架》；2010年加拿大發(fā)布《隱私影響評估指令》，2020年發(fā)布新的《隱私影響評估暫行指令》。(19)陳美，梁乙凱.加拿大隱私影響評估政策： 歷程、內(nèi)容、分析與啟示[J].圖書情報工作，2021，65(17)： 143.2007年英國發(fā)布《隱私影響評估手冊》，旨在為公共和私人組織在使用涉及個人信息或侵入性技術(shù)的新系統(tǒng)時提供指導(dǎo)?！峨[私影響評估手冊》先后于2009年、2013年獲得修正，2014年英國發(fā)布《隱私影響評估實務(wù)守則》。(20)梁乙凱，陳美.英國數(shù)據(jù)保護(hù)影響評估制度及其啟示[J].情報理論與實踐，2022，45(7)： 202-209.近些年隱私影響評估在政府?dāng)?shù)據(jù)開放領(lǐng)域得到了廣泛適用。以美國、英國、澳大利亞、新西蘭等為代表的開放政府聯(lián)盟成員國，紛紛將隱私影響評估納入政府?dāng)?shù)據(jù)開放實踐。(21)陳朝兵，郝文強.國外政府?dāng)?shù)據(jù)開放隱私影響評估的政策考察與啟示： 以美英澳新四國為例[J].情報資料工作，2019，40(5)： 24.

算法影響評估在域外很多國家都率先在公共事業(yè)場景適用，因為攸關(guān)公共利益的公共事業(yè)領(lǐng)域的算法一旦發(fā)生決策失誤，就可能帶來系統(tǒng)性社會風(fēng)險。譬如，2018年美國紐約市頒布《算法問責(zé)法》，明確規(guī)定行政機構(gòu)以及慈善團(tuán)體應(yīng)用自動化決策系統(tǒng)時，應(yīng)接受自動化決策系統(tǒng)工作組的算法影響評估。華盛頓州、加利福尼亞州等州也規(guī)定公共機構(gòu)在公共事業(yè)場景應(yīng)用自動化決策系統(tǒng)時應(yīng)進(jìn)行算法影響評估。(22)張欣.算法影響評估制度的構(gòu)建機理與中國方案[J].法商研究，2021，38(2)： 107.2019年加拿大政府頒布《自動化決策指令》，規(guī)定了算法影響評估制度，旨在對各政府機構(gòu)運用的算法自動決策系統(tǒng)加以管理和規(guī)范。(23)張恩典.算法影響評估制度的反思與建構(gòu)[J].電子政務(wù)，2021(11)： 62.2021年我國發(fā)布的《互聯(lián)網(wǎng)信息服務(wù)算法推薦管理規(guī)定》對公共機構(gòu)的算法影響評估沒有作出明確規(guī)定，第27條只是要求“具有輿論屬性或者社會動員能力的算法推薦服務(wù)提供者應(yīng)當(dāng)按照國家有關(guān)規(guī)定開展安全評估”，第28條規(guī)定“有關(guān)部門對算法推薦服務(wù)依法開展安全評估和監(jiān)督檢查工作”。(24)互聯(lián)網(wǎng)信息服務(wù)算法推薦管理規(guī)定[EB/OL]. (2022-01-04)[2022-08-02]. http：//www.cac.gov.cn/2022-01/04/c_1642894606364259.htm.

綜上，個人信息保護(hù)影響評估應(yīng)適用于國家機關(guān)。通過個人信息保護(hù)影響評估，國家機關(guān)可以評估其個人信息處理行為是否合規(guī)，可以發(fā)現(xiàn)風(fēng)險的大小并采取相應(yīng)的安全保障措施。實際上，我國在政府?dāng)?shù)據(jù)開放領(lǐng)域，已明確要求國家機關(guān)開展風(fēng)險評估、安全評估等評估。譬如，《貴州省政府?dāng)?shù)據(jù)共享開放條例》第33條要求“做好政府?dāng)?shù)據(jù)保密審查和風(fēng)險防范，定期開展安全培訓(xùn)、風(fēng)險評估等工作”。(25)貴州省政府?dāng)?shù)據(jù)共享開放條例[EB/OL]. (2022-04-06)[2022-08-02]. http：//dsj.guizhou.gov.cn/ztzl/pszl/202204/t20220406_73257108.html.《上海市公共數(shù)據(jù)開放暫行辦法》第35條要求公共數(shù)據(jù)開放主體“在數(shù)據(jù)開放前評估安全風(fēng)險”。(26)上海市公共數(shù)據(jù)開放暫行辦法[EB/OL]. (2019-08-29)[2022-08-02]. https：//www.shanghai.gov.cn/nw48156/20200825/0001-48156_62825.html.由于國家機關(guān)受到相對較多的監(jiān)督，如紀(jì)檢監(jiān)察監(jiān)督、行政監(jiān)督、人大監(jiān)督，且為了不造成過大的評估負(fù)擔(dān)，可以適當(dāng)限縮國家機關(guān)應(yīng)當(dāng)進(jìn)行個人信息保護(hù)影響評估的范圍。為了更好地保障國家機關(guān)履行法定職責(zé)，對個人信息保護(hù)影響評估的適用范圍可以做一些排除性規(guī)定，如出于維護(hù)國家安全、追究刑事犯罪責(zé)任、行政執(zhí)法調(diào)查，可以不進(jìn)行評估。國家機關(guān)應(yīng)采廣義，除了通常的國家機關(guān)外，還應(yīng)包括法律、法規(guī)授權(quán)提供公共服務(wù)的組織和規(guī)章授權(quán)的組織。(27)彭錞.論國家機關(guān)處理個人信息的合法性基礎(chǔ)[J].比較法研究，2022(1)： 162-176.

三、 個人信息保護(hù)影響評估程序和內(nèi)容的完善

個人信息保護(hù)影響評估程序直接決定著評估結(jié)果的客觀性和有效性，但《個人信息保護(hù)法》并沒有規(guī)定評估程序，亟待予以明確。個人信息保護(hù)影響評估是一種合規(guī)評估和風(fēng)險評估機制，評估內(nèi)容不應(yīng)局限于評估風(fēng)險。

(一) 科學(xué)合理設(shè)定個人信息保護(hù)影響評估程序

如果評估程序不夠科學(xué)合理，必將無法有效消除評估的內(nèi)在不確定性和外部不確定性。特定時空條件下人類知識與信息的有限性，如科技知識有限、數(shù)據(jù)有限、風(fēng)險本身的隨機性、風(fēng)險受體的差異性，使得風(fēng)險評估存在內(nèi)在不確定性。由于風(fēng)險評估并非由機器在真空中進(jìn)行，可能受到外部因素影響，如專業(yè)分工導(dǎo)致的“井蛙之見”“被捕獲”、逐利的私人動機，因而風(fēng)險評估存在外部不確定性。(28)金自寧.風(fēng)險評估內(nèi)在不確定性的法律規(guī)制[J].中國法律評論，2022(2)： 200-208.無論是減少內(nèi)在不確定性還是外部不確定性，都需要設(shè)定科學(xué)合理的評估程序?！锻ㄓ脭?shù)據(jù)保護(hù)條例》沒有規(guī)定數(shù)據(jù)保護(hù)影響評估程序，《通用數(shù)據(jù)保護(hù)條例指南》提出了九步分析法： (1) 識別是否需要實施數(shù)據(jù)保護(hù)影響評估；(2) 描述所涉及的處理行為；(3) 考慮是否需要咨詢；(4) 評估處理的必要性和合比例性；(5) 識別并評估風(fēng)險；(6) 識別減輕風(fēng)險的措施；(7) 簽署并保存評估結(jié)果；(8) 將評估結(jié)果融入處理計劃；(9) 持續(xù)復(fù)查。(29)Information Commissioner’s Office. Guide to the General Data Protection Regulation (GDPR)[EB/OL]. (2021- 01-01) [2022-07-18].https：//ico.org.uk/media/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr-1-1.pdf.

《信息安全技術(shù) 個人信息安全影響評估指南》規(guī)定了個人信息安全影響評估實施流程的九個步驟： (1) 評估必要性分析。根據(jù)組織的個人信息安全目標(biāo)，選取需要啟動評估的業(yè)務(wù)場景，可分為合規(guī)差距評估和盡責(zé)性風(fēng)險評估。(2) 評估準(zhǔn)備工作。包括組建評估團(tuán)隊、制定評估計劃、確定評估對象和范圍、制定相關(guān)方咨詢計劃。(3) 數(shù)據(jù)映射分析。對個人信息處理過程進(jìn)行全面調(diào)研后，形成清晰的數(shù)據(jù)清單和數(shù)據(jù)映射圖表。(4) 風(fēng)險源識別。分析個人信息處理活動面臨哪些威脅，是否缺乏足夠的安全措施。(5) 個人權(quán)益影響分析。(6) 安全風(fēng)險綜合分析。(7) 評估報告。(8) 風(fēng)險處置和持續(xù)改進(jìn)。(9) 制定報告發(fā)布策略。個人信息保護(hù)影響評估可以部分參考此前制定的個人信息安全影響評估程序，但應(yīng)特別重視參與程序、復(fù)審程序、事先咨詢程序和公開程序。

1. 參與程序

個人信息處理可能對相關(guān)主體產(chǎn)生重大影響，特定情形下利益相關(guān)者的參與程序必不可少?？赡苁艿絺€人信息處理影響的組織或個人都是利益相關(guān)者，既包括內(nèi)部相關(guān)者如業(yè)務(wù)人員、系統(tǒng)開發(fā)和運維人員，也包括外部相關(guān)者如個人信息主體、消費者代表、業(yè)務(wù)合作伙伴。個人信息保護(hù)影響評估參與程序，至少具有以下價值。首先，讓受到不利影響的相關(guān)主體在個人信息保護(hù)影響評估中表達(dá)意見，是自然正義的基本要求。如果缺乏必要的參與程序，閉門進(jìn)行個人信息保護(hù)影響評估，就會使得利益相關(guān)者的利益得不到表達(dá)，從而使個人信息處理喪失了一定的合法性基礎(chǔ)。其次，參與程序通過集思廣益而有利于提升商業(yè)決策質(zhì)量。通過咨詢利益相關(guān)者，可以幫助識別尚未發(fā)現(xiàn)的安全風(fēng)險，得出防范風(fēng)險的可能策略，進(jìn)而有利于形成獲得廣泛認(rèn)同的評估報告。(30)馬曉慧，相麗玲.我國個人信息安全影響評估的流程分析與模板設(shè)計[J].情報理論與實踐，2021，44(8)： 75-81.個人信息處理者通過利益相關(guān)者的意見協(xié)助定義本組織的信息化項目，可以提高組織的項目質(zhì)量，減少項目實施的失敗率。利益相關(guān)者還可以幫助組織獲取更多資源如人員、時間、金錢，從而使項目更有可能成功。(31)梁乙凱，陳美.英國數(shù)據(jù)保護(hù)影響評估制度及其啟示[J].情報理論與實踐，2022，45(7)： 202-209.最后，參與程序可以制約個人信息處理者。由于是自己評估自己的行為，評估結(jié)果不夠客觀在所難免，何況風(fēng)險大小的判斷本身就是一項極其主觀的認(rèn)知活動。個人信息處理危害后果的發(fā)生及具體影響具有不確定性，基于既有知識和信息往往無法充分證明危害的程度與范圍。(32)蘇宇.風(fēng)險預(yù)防原則的結(jié)構(gòu)化闡釋[J].法學(xué)研究，2021，43(1)： 35-53.為了追求利潤最大化，個人信息處理者可能歪曲事實，將風(fēng)險嚴(yán)重的個人信息處理行為鋌而走險地評估為低風(fēng)險或沒有風(fēng)險。如果有利益相關(guān)者的必要參與，則可以大大提升個人信息保護(hù)影響評估的客觀性。

《信息安全技術(shù) 個人信息安全影響評估指南》簡要規(guī)定了應(yīng)制定相關(guān)方咨詢計劃，提出為了保證評估流程的透明，實現(xiàn)降低風(fēng)險的目標(biāo)，需詳細(xì)確認(rèn)進(jìn)入評估程序的內(nèi)部或外部相關(guān)方。《數(shù)據(jù)保護(hù)影響評估和確定處理是否“可能導(dǎo)致高風(fēng)險”的指南》認(rèn)為，數(shù)據(jù)控制者應(yīng)通過多種手段聽取意見，以使數(shù)據(jù)處理具有合法性基礎(chǔ)，但征求意見顯然不是為了獲得同意。如果數(shù)據(jù)控制者的最終決定不同于數(shù)據(jù)主體的意見，應(yīng)當(dāng)記錄原因，并說明正當(dāng)理由。例如，如果這樣做會損害公司商業(yè)計劃的機密性，或不成比例，或不切實際。此外，如果適當(dāng)，建議聽取外部獨立專家的意見，如律師、IT專家、安全專家、社會學(xué)家、倫理學(xué)家等?！锻ㄓ脭?shù)據(jù)保護(hù)條例》第35條第2項還要求進(jìn)行數(shù)據(jù)保護(hù)影響評估時，應(yīng)向數(shù)據(jù)保護(hù)官尋求建議。數(shù)據(jù)保護(hù)官應(yīng)當(dāng)全程參與數(shù)據(jù)保護(hù)影響評估，以便能夠給出及時和可靠的建議。(33)Yordanov A. Nature and Ideal Steps of the Data Protection Impact Assessment under the General Data Protection Regulation[J]. European Data Protection Law Review，2017(4)： 493.我國存在類似的個人信息保護(hù)負(fù)責(zé)人，個人信息處理者在開展個人信息保護(hù)影響評估時應(yīng)聽取其意見，接受其全程監(jiān)督。(34)《個人信息保護(hù)法》第52條第1款：“處理個人信息達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者應(yīng)當(dāng)指定個人信息保護(hù)負(fù)責(zé)人，負(fù)責(zé)對個人信息處理活動以及采取的保護(hù)措施等進(jìn)行監(jiān)督?！眳⒁娭腥A人民共和國個人信息保護(hù)法[EB/OL]. (2021-08-20)[2022-08-02]. http：//www.npc.gov.cn/npc/c30834/202108/a8c4e3672c74491a80b53a172bb753fe.shtml.

雖然參與程序有利于保障個人信息保護(hù)影響評估的質(zhì)量，可以制約個人信息處理者，但不宜無限擴大化，否則不僅可能因為費時耗財而妨礙商業(yè)效率，而且可能導(dǎo)致被評估的個人信息面臨新的風(fēng)險。《通用數(shù)據(jù)保護(hù)條例》第35條第9項要求在適當(dāng)情形下，在不損害商業(yè)或公共利益或處理操作安全性的原則下，數(shù)據(jù)控制者應(yīng)當(dāng)聽取數(shù)據(jù)主體或其代表人對擬進(jìn)行的數(shù)據(jù)處理的意見。個人信息保護(hù)影響評估的參與者越多，參與群體越復(fù)雜，個人信息被泄露的風(fēng)險就越大。對于參與程序的適用范圍和條件，不適宜參與的情形，參與過程中的保密機制，均應(yīng)作出明確規(guī)定。

2. 復(fù)審程序

個人信息保護(hù)影響評估不是一次性的，而應(yīng)是一個持續(xù)的動態(tài)過程。必要時通過復(fù)審程序，有利于保障個人信息處理根據(jù)此前的評估結(jié)果進(jìn)行。尤其是在風(fēng)險發(fā)生變化時，復(fù)審尤為重要。復(fù)審并非在所有情形下都是必須的，但是是必要的。數(shù)據(jù)處理越復(fù)雜，復(fù)審就應(yīng)越深入。(35)Yordanov A. Nature and Ideal Steps of the Data Protection Impact Assessment under the General Data Protection Regulation[J]. European Data Protection Law Review，2017(4)： 494.數(shù)據(jù)控制者在必要時應(yīng)核實數(shù)據(jù)處理是否按照評估結(jié)果采取了相應(yīng)的保障措施，且必須確保所選擇的保障措施能夠適應(yīng)新變化。復(fù)審的目的在于持續(xù)監(jiān)測，以保證項目在整個生命周期得到持續(xù)監(jiān)督。(36)肖冬梅，譚禮格.歐盟數(shù)據(jù)保護(hù)影響評估制度及其啟示[J].中國圖書館學(xué)報，2018，44(5)： 83.《通用數(shù)據(jù)保護(hù)條例》第35條第11項規(guī)定，必要時，至少在處理操作的風(fēng)險發(fā)生變化時，數(shù)據(jù)控制者應(yīng)當(dāng)進(jìn)行復(fù)審，以評估數(shù)據(jù)處理是否符合數(shù)據(jù)保護(hù)影響評估。

3. 事先咨詢程序

事先咨詢程序是應(yīng)對剩余風(fēng)險的重要方式，但我國《個人信息保護(hù)法》對此沒有規(guī)定。通過個人信息保護(hù)影響評估識別出風(fēng)險后，個人信息處理者應(yīng)采取必要措施降低風(fēng)險。當(dāng)個人信息處理者無法有效應(yīng)對高風(fēng)險而將其降低到可接受的低水平時，在進(jìn)行個人信息處理前通過咨詢監(jiān)管機構(gòu)，可以獲得有效的專業(yè)建議。由于具有專門的人財物，再加上日常的執(zhí)法經(jīng)驗積累，監(jiān)管機構(gòu)在處理風(fēng)險上可能更專業(yè)。尤其是對于中小微型的個人信息處理者而言，必要時通過咨詢監(jiān)管機構(gòu)，可以彌補技術(shù)和知識缺陷而有效應(yīng)對剩余風(fēng)險。對于個人信息處理者的事先咨詢，監(jiān)管機構(gòu)應(yīng)當(dāng)提供實質(zhì)性的操作指引建議，而不能簡單地禁止個人信息處理活動。個人信息處理者不應(yīng)將事先咨詢程序作為逃避個人信息保護(hù)責(zé)任的手段，獲得了監(jiān)管機構(gòu)的建議，并不表明責(zé)任就轉(zhuǎn)嫁到了監(jiān)管機構(gòu)。發(fā)生個人信息安全事件，個人信息處理者為第一責(zé)任人，應(yīng)承擔(dān)主體責(zé)任。如果無法采取有效措施降低風(fēng)險，但又不咨詢監(jiān)管機構(gòu)而冒著高風(fēng)險處理個人信息，應(yīng)承擔(dān)較重的責(zé)任。

《通用數(shù)據(jù)保護(hù)條例》第36條專門規(guī)定了事先咨詢監(jiān)管機構(gòu)的程序。根據(jù)數(shù)據(jù)保護(hù)影響評估結(jié)果，數(shù)據(jù)控制者無法采取有效措施減輕風(fēng)險時，在處理前應(yīng)咨詢監(jiān)管機構(gòu)的意見?！稊?shù)據(jù)保護(hù)影響評估和確定處理是否“可能導(dǎo)致高風(fēng)險”的指南》認(rèn)為，無論何時，只要數(shù)據(jù)控制者無法找到足夠的措施將風(fēng)險降低到可接受的水平，即剩余風(fēng)險仍然很高，數(shù)據(jù)控制者就必須咨詢監(jiān)管機構(gòu)。監(jiān)管機構(gòu)應(yīng)當(dāng)在收到咨詢請求后8周內(nèi)出具書面建議，并可以行使調(diào)查權(quán)，情況復(fù)雜的可以延長6周?！锻ㄓ脭?shù)據(jù)保護(hù)條例指南》規(guī)定，如果識別出自己無法減輕的高風(fēng)險，在處理前必須咨詢信息保護(hù)專員。信息保護(hù)專員可以發(fā)出不要處理數(shù)據(jù)的正式警告，或完全禁止處理數(shù)據(jù)。

4. 公開程序

《個人信息保護(hù)法》并沒有明確規(guī)定個人信息保護(hù)影響評估過程和結(jié)果是否應(yīng)當(dāng)公開，只是要求保存評估報告和處理記錄至少三年。如果完全不公開，就會使得個人信息保護(hù)影響評估處于暗箱操作中，從而無法接受有效的外部監(jiān)督；如果要求完全公開，則不僅可能損害個人隱私、商業(yè)秘密，增加個人信息處理者的運營成本，而且還會影響評估效率。《通用數(shù)據(jù)保護(hù)條例》沒有規(guī)定數(shù)據(jù)保護(hù)影響評估公開程序，《數(shù)據(jù)保護(hù)影響評估和確定處理是否“可能導(dǎo)致高風(fēng)險”的指南》認(rèn)為，數(shù)據(jù)控制者沒有義務(wù)公開數(shù)據(jù)保護(hù)影響評估報告，但如果公開概要，則可以培養(yǎng)公眾信心。數(shù)據(jù)控制者可以公開數(shù)據(jù)保護(hù)影響評估的主要發(fā)現(xiàn)，或只是公開開展過評估的事實。但如果符合事先咨詢程序的條件，或監(jiān)管機構(gòu)請求提供，數(shù)據(jù)控制者必須提供完整的數(shù)據(jù)保護(hù)影響評估報告。公共機構(gòu)實施數(shù)據(jù)保護(hù)影響評估時予以公開，將是一個良好的實踐?！缎畔踩夹g(shù) 個人信息安全影響評估指南》認(rèn)為，監(jiān)管機構(gòu)通過要求組織提供個人信息安全影響評估報告，可以督促組織開展安全評估并采取有效的安全控制措施，可以將報告作為執(zhí)法證據(jù)。

透明度對于數(shù)字經(jīng)濟(jì)的規(guī)范健康可持續(xù)發(fā)展具有日益重要的價值，在不嚴(yán)重影響商業(yè)效率和不損害商業(yè)秘密的前提下，個人信息處理者應(yīng)對個人信息保護(hù)影響評估的過程和結(jié)果進(jìn)行必要的公開，如公開評估的時間、參與人數(shù)、評估的主要結(jié)論、評估次數(shù)。提供的互聯(lián)網(wǎng)平臺服務(wù)越重要、用戶數(shù)量越巨大、業(yè)務(wù)類型越復(fù)雜的個人信息處理者，就越應(yīng)當(dāng)公開更多的評估信息。除了規(guī)定必須公開的情形外，還應(yīng)設(shè)計激勵機制，促進(jìn)個人信息處理者主動自愿公開評估的相關(guān)信息。有必要通過軟法性質(zhì)的規(guī)則，引導(dǎo)組織自身進(jìn)行有效的數(shù)據(jù)治理。(37)沈巋.數(shù)據(jù)治理與軟法[J].財經(jīng)法學(xué)，2020(1)： 3-12.

(二) 個人信息保護(hù)影響評估的內(nèi)容： 合規(guī)評估和風(fēng)險評估

個人信息保護(hù)影響評估不限于評估風(fēng)險。從“個人信息安全影響評估”到“風(fēng)險評估”，再到“個人信息保護(hù)影響評估”的名稱變化，可以發(fā)現(xiàn)評估內(nèi)容實際上是在不斷發(fā)展變化的。個人信息保護(hù)影響評估既應(yīng)評估確定的影響，也應(yīng)評估不確定的影響即風(fēng)險；既應(yīng)評估個人信息處理行為，也應(yīng)評估個人信息處理者采取的保護(hù)措施。歐盟《通用數(shù)據(jù)保護(hù)條例》第35條規(guī)定，數(shù)據(jù)保護(hù)影響評估至少應(yīng)當(dāng)包括以下內(nèi)容： (1) 對計劃的處理操作和處理目的進(jìn)行系統(tǒng)性闡釋，適當(dāng)情況下還應(yīng)當(dāng)闡釋數(shù)據(jù)控制者追求的合法利益。(2) 對與處理目的相關(guān)的處理操作的必要性和合比例性的評估。(3) 對該條第1款所述的數(shù)據(jù)主體權(quán)利和自由產(chǎn)生的風(fēng)險的評估。(4) 應(yīng)對風(fēng)險的預(yù)想方案，包括考慮數(shù)據(jù)主體和其他相關(guān)人的權(quán)利與合法利益，從而確保對個人數(shù)據(jù)的保護(hù)以及證明符合該條例的保障、安全措施和機制。我國的個人信息保護(hù)影響評估的內(nèi)容涉及合規(guī)評估和風(fēng)險評估，主要包括三方面。

一是評估個人信息處理是否合法、正當(dāng)、必要。合法、正當(dāng)、必要原則已成為個人信息處理的基本原則，事關(guān)個人信息處理的形式合法性和實質(zhì)合法性?！昂戏ㄔ瓌t”屬于形式合法性范疇，“正當(dāng)、必要原則”是對個人信息處理目的和手段的實質(zhì)合法性評價，可以矯正個人信息處理者同個人之間日益嚴(yán)重失衡的不平等態(tài)勢，屬于比例原則的體現(xiàn)。(38)劉權(quán).論個人信息處理的合法、正當(dāng)、必要原則[J].法學(xué)家，2021(5)： 1-15.《通用數(shù)據(jù)保護(hù)條例》第35條規(guī)定了類似的評估內(nèi)容：“對與處理目的相關(guān)的處理操作的必要性和合比例性的評估?！狈彩墙?jīng)評估后發(fā)現(xiàn)不符合合法、正當(dāng)、必要原則的個人信息處理行為，都不應(yīng)得到實施。《信息安全技術(shù) 個人信息安全規(guī)范》中的“個人信息安全影響評估”，要求評估處理活動遵循個人信息安全基本原則的情況?！秱€人信息保護(hù)法》還規(guī)定了誠信原則、目的限制原則、公開透明原則、質(zhì)量原則、責(zé)任原則、安全原則，是否也應(yīng)成為評估內(nèi)容呢？由于合法、正當(dāng)、必要原則是總體原則，“在各項基本原則中發(fā)揮統(tǒng)領(lǐng)作用”，(39)張新寶.個人信息處理的基本原則[J].中國法律評論，2021(5)： 18-27.《個人信息保護(hù)法》第56條雖然沒有明確要求評估個人信息處理是否符合其他原則，但在具體評估時必然會涉及。

二是評估對個人權(quán)益的影響及安全風(fēng)險。個人信息承載了個人的多項權(quán)益，個人信息處理行為必將對其產(chǎn)生或多或少的影響。無論是確定性的影響還是不確定性的安全風(fēng)險，都應(yīng)當(dāng)進(jìn)行審慎評估?！缎畔踩夹g(shù) 個人信息安全影響評估指南》將個人權(quán)益影響分為限制個人自主決定權(quán)、引發(fā)差別性待遇、個人名譽受損或遭受精神壓力、人身財產(chǎn)受損四個維度。安全風(fēng)險是指個人信息發(fā)生泄露、篡改、丟失等安全事件的風(fēng)險，尤其是個人信息處理中因網(wǎng)絡(luò)攻擊、侵入、干擾、破壞或疏于內(nèi)部管理，導(dǎo)致個人信息的完整性、保密性和可用性面臨的威脅。(40)楊合慶.中華人民共和國個人信息保護(hù)法釋義[M].北京： 法律出版社，2022： 143.對個人權(quán)益的影響評估相對較容易，對安全風(fēng)險的評估則較為困難。

三是評估所采取的保護(hù)措施是否合法、有效，以及是否與風(fēng)險程度相適應(yīng)。個人信息處理者不是不可以從事高風(fēng)險的處理活動，但需要為此負(fù)責(zé)，承擔(dān)更高的注意義務(wù)，采取更嚴(yán)格的安全保障措施。(41)程嘯.個人信息保護(hù)法理解與適用[M].北京： 中國法制出版社，2021： 421.在評估對個人權(quán)益的影響及安全風(fēng)險的基礎(chǔ)上，個人信息處理者應(yīng)在合理成本范圍內(nèi)，采取必要的保護(hù)措施。所采取的個人信息處理方式應(yīng)造成最小損害，保護(hù)措施應(yīng)真正能夠預(yù)防相應(yīng)的風(fēng)險。如果只是為了應(yīng)付可能的檢查而表面上采取實效性差的保護(hù)措施，就難以有效保護(hù)個人信息。保護(hù)措施既包括基本的安全技術(shù)措施如去標(biāo)識化、匿名化，也包括組織措施如制定內(nèi)部管理制度和操作規(guī)程。個人信息處理者采取的保護(hù)措施，除了需要滿足個人信息保護(hù)影響評估結(jié)果的要求，還應(yīng)滿足相關(guān)評估結(jié)果的要求。譬如，網(wǎng)絡(luò)安全等級保護(hù)評估對個人信息安全具有重要影響，所采取的保護(hù)措施可能還需要滿足其要求。一旦通過評估認(rèn)定無法采取有效的保護(hù)措施控制安全水平，就需要選擇銷毀數(shù)據(jù)這一方式來控制數(shù)據(jù)生命周期最后階段的安全性，因為繼續(xù)持有個人信息只會加劇個人信息泄露的實際風(fēng)險。(42)趙精武.從保密到安全： 數(shù)據(jù)銷毀義務(wù)的理論邏輯與制度建構(gòu)[J].交大法學(xué)，2022(2)： 28-41.

綜上，科學(xué)合理的評估程序，有利于保障個人信息保護(hù)影響評估的客觀性和有效性。讓利益相關(guān)者參與評估是自然正義的要求，也有助于集思廣益。由于風(fēng)險可能不斷發(fā)生變化，個人信息保護(hù)影響評估復(fù)審程序尤為重要。為了有效應(yīng)對剩余風(fēng)險，當(dāng)個人信息處理者無法將高風(fēng)險行為降低到可接受的水平時，在進(jìn)行個人信息處理前可以咨詢監(jiān)管機構(gòu)。公開程序有助于個人信息保護(hù)影響評估接受外部監(jiān)督，除了應(yīng)明確必須公開的情形外，還應(yīng)設(shè)計激勵相容機制促進(jìn)個人信息保護(hù)影響評估過程和結(jié)果公開。個人信息保護(hù)影響評估的內(nèi)容包括個人信息處理活動和采取的保護(hù)措施，評估的影響包括確定的實際影響和潛在的不確定性影響。

四、 結(jié) 語

數(shù)字時代的個人信息處理無處不在，如何進(jìn)行有效的數(shù)據(jù)治理成為全球難題。作為個人信息處理者自我規(guī)制的合規(guī)評估和風(fēng)險評估工具，個人信息保護(hù)影響評估有利于彌補政府規(guī)制的不足。個人信息處理者通過有效開展個人信息保護(hù)影響評估，可以事前檢驗個人信息處理是否合規(guī)，有助于識別并降低個人信息安全風(fēng)險，有利于減輕或免除個人信息處理責(zé)任。通過保障個人信息安全而保護(hù)個人相關(guān)權(quán)利，最終有效保障人格尊嚴(yán)，是個人信息保護(hù)影響評估的根本價值追求。當(dāng)前我國個人信息保護(hù)影響評估的適用范圍過于寬泛，缺乏必要的限定條件，而且沒有明確規(guī)定應(yīng)否適用于國家機關(guān)。設(shè)定個人信息保護(hù)影響評估的適用范圍，應(yīng)注重安全與效率的平衡。為了更全面地保護(hù)個人信息，國家機關(guān)也應(yīng)履行個人信息保護(hù)影響評估義務(wù)。為了保障個人信息保護(hù)影響評估的客觀性和有效性，應(yīng)特別重視設(shè)計參與程序、復(fù)審程序、事先咨詢程序、公開程序等評估程序。

由于是一種自我規(guī)制機制，且評估本身屬于主觀認(rèn)知活動，個人信息保護(hù)影響評估的客觀性和有效性面臨巨大挑戰(zhàn)。雖然有效保護(hù)個人信息有利于促進(jìn)企業(yè)發(fā)展，但個人信息處理者利益同個人利益并不總是一致的，個人信息保護(hù)影響評估失靈必然會發(fā)生。盡管個人信息保護(hù)影響評估具有諸多價值，但其只是數(shù)據(jù)治理的一項重要工具?！丁笆奈濉睌?shù)字經(jīng)濟(jì)發(fā)展規(guī)劃》要求“建立健全數(shù)據(jù)安全治理體系”。只有與個人信息保護(hù)負(fù)責(zé)人、個人信息保護(hù)合規(guī)審計、個人信息保護(hù)行政執(zhí)法、個人信息保護(hù)公益訴訟等制度協(xié)同發(fā)力，個人信息保護(hù)影響評估制度才能更有效地保護(hù)個人信息，才能更有力地促進(jìn)數(shù)字經(jīng)濟(jì)規(guī)范健康可持續(xù)發(fā)展。