歐盟GDPR對個人信息保護(hù)影響評估實(shí)踐研究

王樂梟 李凱 張曉晴

摘要：近年來，個人信息保護(hù)和數(shù)據(jù)安全是各國網(wǎng)絡(luò)空間治理的監(jiān)管重點(diǎn)，在歐盟《一般數(shù)據(jù)保護(hù)條例》與中國《個人信息保護(hù)法》的法律背景下，本文介紹了歐盟GDPR的背景及監(jiān)管實(shí)施特點(diǎn)，從個人信息保護(hù)影響評估實(shí)踐的三種角色立場，針對海外個人信息保護(hù)影響評估與國內(nèi)個人信息保護(hù)影響評估實(shí)踐方面進(jìn)行簡要分析。

關(guān)鍵詞：個人信息保護(hù)；數(shù)據(jù)合規(guī)；隱私安全

一、歐盟GDPR的背景及現(xiàn)狀

歐盟于2016年4月正式通過了《一般數(shù)據(jù)保護(hù)條例》（以下簡稱GDPR）。2018年5月，GDPR取代原有的《數(shù)據(jù)保護(hù)指示》（Data Protection Directive 95/46/EC），在歐盟成員統(tǒng)一實(shí)施生效。GDPR是歐盟發(fā)布的針對數(shù)據(jù)保護(hù)的法律規(guī)范，統(tǒng)一了歐盟成員國關(guān)于數(shù)據(jù)保護(hù)的法律法規(guī)，是有史以來最嚴(yán)格的條例。該條例詳細(xì)規(guī)定了個人數(shù)據(jù)的權(quán)利，并敦促公司履行保護(hù)歐盟公民個人數(shù)據(jù)的責(zé)任。違法企業(yè)將被處以1000萬歐元或全球營業(yè)收入的2%（兩者取較高者），重罰高達(dá)2000萬歐元或占監(jiān)管機(jī)構(gòu)全部收入的4%。自頒布以來，大多數(shù)互聯(lián)網(wǎng)公司在業(yè)務(wù)領(lǐng)域都受到了GDPR的影響，需要對GDPR規(guī)定的內(nèi)容進(jìn)行相應(yīng)的修正。世界上主要的互聯(lián)網(wǎng)公司已經(jīng)響應(yīng)了GDPR的要求，升級了自己的產(chǎn)品。例如，在Azure云計(jì)算平臺上，微軟特別強(qiáng)調(diào)隱私保護(hù)和聲明。一些設(shè)備制造商，包括安全保護(hù)，數(shù)據(jù)行為分析，安全漏洞，安全配置檢測及安全認(rèn)證企業(yè)，在他們的產(chǎn)品中加入了與GDPR相關(guān)的功能。功能項(xiàng)目包括針對隱私數(shù)據(jù)的保護(hù)策略和組件（如檢查點(diǎn)）、隱私數(shù)據(jù)流監(jiān)測和分析及GDPR安全基線評估項(xiàng)目，并輸出一份專業(yè)的分析報告。在修訂有關(guān)數(shù)據(jù)隱私的法律方面，全球數(shù)據(jù)保護(hù)條例的頒布也是世界各國具有里程碑意義的參考。

二、GDPR實(shí)施操作特點(diǎn)

（一）收集個人數(shù)據(jù)要合法有依據(jù)。

根據(jù)GDPR的要求，處理個人資料必須有法律上的依據(jù)，“合法”的定義非常嚴(yán)格。首先，必須事先征得數(shù)據(jù)主體的同意，而且“同意”必須由用戶在完全知情的情況下具體、明確和自由地作出。例如，歐盟合作伙伴被要求在其用戶協(xié)議或隱私條款中明確告知數(shù)據(jù)共享的范圍，披露第三方（企業(yè)）的保留時間、存儲位置和安全機(jī)制。同時，在企業(yè)與合作方之間的合作協(xié)議中，接受方與提供方之間的責(zé)任分工也在用戶協(xié)議中作了規(guī)定。無論數(shù)據(jù)是提供給第三方，還是作為公司對外服務(wù)的一部分（如提供廣告公司作為營銷推廣對象），數(shù)據(jù)主體都必須重新授權(quán)和同意。

（二）數(shù)據(jù)泄露文檔化詳細(xì)記錄

在進(jìn)行數(shù)據(jù)泄露報告時，還應(yīng)注意數(shù)據(jù)泄露報告中至少應(yīng)當(dāng)包含以下內(nèi)容：①數(shù)據(jù)泄露事件的性質(zhì)及描述、所涉及的資料主體總數(shù)、類別及數(shù)據(jù)記錄的總量；②數(shù)據(jù)保護(hù)管理人員的姓名和聯(lián)系方式，可能造成個人信息侵權(quán)的結(jié)果泄露，以及企業(yè)采取或者預(yù)期采取的止損措施。此外，企業(yè)還應(yīng)注意記錄個人資料的泄露流程記錄，包括與披露個人資料有關(guān)的事實(shí)、影響和減損行動。這一記錄是監(jiān)管機(jī)構(gòu)核實(shí)數(shù)據(jù)管理是否遵守GDPR的重要依據(jù)。

（三）數(shù)據(jù)泄露72小時報告義務(wù)

GDPR第32條規(guī)定，數(shù)據(jù)管理者和處理者應(yīng)采取適當(dāng)?shù)募夹g(shù)和組織措施，以確保與風(fēng)險相稱的數(shù)據(jù)安全水平。企業(yè)應(yīng)對所收集的個人數(shù)據(jù)進(jìn)行匿名化和加密處理，并確保其在遭受黑客攻擊等技術(shù)事件后有能力恢復(fù)個人數(shù)據(jù)管理控制，切實(shí)履行數(shù)據(jù)安全保護(hù)義務(wù)。當(dāng)個人數(shù)據(jù)泄露可能對自然人的權(quán)利和自由造成較大影響時，管理人員應(yīng)當(dāng)及時向個人信息主體報告泄露事件。在英國Ticketmaster數(shù)據(jù)泄露案中，個人信息管理者Ticketmaster延遲向客戶和監(jiān)管機(jī)構(gòu)通報和報告數(shù)據(jù)泄露事件，這是英國信息專員辦公室（ICO）在其出入境處罰中適用GDPR的重要事實(shí)依據(jù)。

（四）個人數(shù)據(jù)收集的最小化原則

GDPR將個人數(shù)據(jù)定義為自然人提供的任何可用于識別其身份的信息，即只要該信息能夠直接或間接識別特定個人，瀏覽痕跡、Cookies等間接數(shù)據(jù)也可以屬于GDPR。已識別的個人數(shù)據(jù)。企業(yè)在使用或提供網(wǎng)絡(luò)服務(wù)或技術(shù)支持時不可避免地會收集和使用個人信息，但可以定期清理此類數(shù)據(jù)，以減輕企業(yè)的數(shù)據(jù)管理責(zé)任和合規(guī)義務(wù)。此類數(shù)據(jù)也可以通過使用匿名化技術(shù)進(jìn)行匿名，使其無法識別特定個人，并采用有效的加密措施來保護(hù)此類數(shù)據(jù)。值得注意的是，ODR第30條要求數(shù)據(jù)處理活動以書面形式記錄和保存。因此，當(dāng)企業(yè)匿名或刪除數(shù)據(jù)時，應(yīng)注意記錄數(shù)據(jù)處理活動。記錄可以通過多種記錄方法進(jìn)行備份。如電子記錄、紙質(zhì)記錄等。

（五）數(shù)據(jù)的跨境處理

GDPR第五章規(guī)定對個人數(shù)據(jù)向第三國或國際組織傳輸?shù)囊?。GDPR第45條規(guī)定了兩種“官方”處理模式：一是根據(jù)具體國家、地區(qū)和國際組織是否對個人資料提供“充分保護(hù)”，制定一份全面保護(hù)對象的白色清單。對于此類主體，相關(guān)數(shù)據(jù)傳輸不需要特別授權(quán)。二是相關(guān)主體直接與歐盟有關(guān)機(jī)構(gòu)協(xié)商、締結(jié)具有法律約束力、可執(zhí)行的隱私保護(hù)協(xié)議。然而，我國不在提供充分保護(hù)的“白名單”之內(nèi)，尚未與歐盟簽署類似的官方合作協(xié)議。因此，當(dāng)中國企業(yè)向歐盟企業(yè)或歐盟內(nèi)部提供數(shù)據(jù)云存儲服務(wù)時，如果它們的服務(wù)器在中國，而業(yè)務(wù)需求要求跨境傳輸歐盟數(shù)據(jù)，就應(yīng)該注意跨境傳輸過程中的數(shù)據(jù)合規(guī)點(diǎn)。可能的合規(guī)措施是：（1）使用標(biāo)準(zhǔn)合同，根據(jù)協(xié)議的規(guī)定，選擇兩種由歐盟委員會標(biāo)準(zhǔn)合同條款提供的合并規(guī)格，數(shù)據(jù)的安全措施是為了達(dá)到GDPR的“充分保護(hù)水平”。（2）試圖建立有約束力的公司規(guī)則（GDPR第47條）（Binding Corporate Rules簡稱BCRs）。BCRs是一種內(nèi)部的數(shù)據(jù)傳輸規(guī)則。

（六）保證用戶隨時可撤回權(quán)利

GDPR賦予數(shù)據(jù)主體隨時撤回同意的權(quán)利，數(shù)據(jù)管理者應(yīng)明確告知用戶該權(quán)利，并方便用戶方便行使該權(quán)利。當(dāng)用戶依法撤回同意，或者數(shù)據(jù)管理者不再有正當(dāng)理由繼續(xù)處理數(shù)據(jù)時，用戶有權(quán)要求刪除數(shù)據(jù)。數(shù)據(jù)控制者公開傳播個人數(shù)據(jù)的，應(yīng)當(dāng)采取一切合理手段予以刪除，并有責(zé)任通知其他處理該數(shù)據(jù)的數(shù)據(jù)控制者刪除數(shù)據(jù)主體主張的個人數(shù)據(jù)的鏈接或副本。

根據(jù)GDPR第7條第3款，數(shù)據(jù)主體應(yīng)有權(quán)隨時撤回其同意?？杀籊DPR認(rèn)定為數(shù)據(jù)主體的企業(yè)在設(shè)計(jì)產(chǎn)品或提供服務(wù)時，應(yīng)注意賦予用戶便捷、免費(fèi)的數(shù)據(jù)提取權(quán)。為保護(hù)數(shù)據(jù)主體對其信息和數(shù)據(jù)的控制權(quán)，還應(yīng)注意給予用戶的撤銷通道應(yīng)與獲得授權(quán)時一樣自由，不得要求發(fā)送郵件或書面寄件通知的方式，增加用戶對數(shù)據(jù)授權(quán)進(jìn)行撤銷的阻礙。

三、個人信息保護(hù)影響評估實(shí)踐的三種立場分析

（一）技術(shù)人員角度的個人信息保護(hù)影響評估實(shí)踐

在項(xiàng)目評審階段，需要業(yè)務(wù)人員提供以下三類材料：業(yè)務(wù)設(shè)計(jì)規(guī)范、系統(tǒng)進(jìn)出參數(shù)說明、上下游盡職調(diào)查。第一類素材業(yè)務(wù)設(shè)計(jì)規(guī)范包括業(yè)務(wù)場景及相關(guān)功能、領(lǐng)域描述、第三方合作等。第二種材質(zhì)系統(tǒng)進(jìn)出參數(shù)描述是第三方輸出/輸入的字段和方法（如API接口、SDK等）。第三類材料的上下游盡職調(diào)查一般是評估者自己的模板，評估者根據(jù)合作伙伴填寫的材料確定后者的安全環(huán)境。

首先對業(yè)務(wù)進(jìn)行合法、合理性評估和業(yè)務(wù)邏輯漏洞評估，前者包括數(shù)據(jù)來源、使用和交互合規(guī)，后者包括是否有漏洞、產(chǎn)生漏洞的可能性和具體環(huán)節(jié)。然后進(jìn)入個人信息風(fēng)險識別環(huán)節(jié)，此過程將對具體場景的風(fēng)險進(jìn)行識別和評估，如判斷和識別數(shù)據(jù)處理各方（數(shù)據(jù)主體、處理者、受托人）的角色、分析業(yè)務(wù)場景，個人信息的具體處理活動（收集、存儲、使用、訪問和存儲）和相應(yīng)的領(lǐng)域。在個人信息影響評估中，參照《信息安全技術(shù)個人信息安全影響評估指南》（GB/T39335-2020），將個人信息影響的可能性乘以影響關(guān)于數(shù)據(jù)主體，取最大值。風(fēng)險源參考因素包括網(wǎng)絡(luò)安全和技術(shù)措施（NT）、個人信息處理過程（SP）、參與者和第三方（PT）、業(yè)務(wù)特征和規(guī)模、安全態(tài)勢（BS）四個方面。根據(jù)風(fēng)險源的四個方面設(shè)定控制項(xiàng)目，并一一比較所需控制措施與現(xiàn)有控制措施的差距，從而確定風(fēng)險等級。在完成第二階段風(fēng)險等級判斷后，根據(jù)等級確定風(fēng)險處置方案和風(fēng)險接受標(biāo)準(zhǔn)。

（二）律師角度的個人信息保護(hù)影響評估實(shí)踐

從律師立場來看，在個人信息保護(hù)影響評估實(shí)踐中可以為企業(yè)提供的服務(wù)主要集中在三個模塊。首先，根據(jù)《個人信息保護(hù)法》，為客戶提供配套的個人信息保護(hù)影響評估體系，包括體系的制定和實(shí)施方、個人信息保護(hù)影響評價流程、監(jiān)督整改措施。其次是個人信息保護(hù)影響評估工具表，最后根據(jù)評估向客戶發(fā)出報告。

就具體的個人信息保護(hù)影響評估實(shí)踐而言，公司既可以對某個場景進(jìn)行整體評估，也可以對特定場景進(jìn)行具體評估，比如對產(chǎn)品的人臉識別功能模塊進(jìn)行評估。目前很多企業(yè)還沒有做個人信息保護(hù)影響評估，或?qū)⒌却a(chǎn)品功能上線，針對此情況可以在產(chǎn)品設(shè)計(jì)之初就結(jié)合隱私保護(hù)設(shè)計(jì)（PbD）的概念，對產(chǎn)品進(jìn)行隱私評估。在為客戶提供個人信息保護(hù)影響評估服務(wù)時，也會遇到個人信息保護(hù)影響評估難以實(shí)施或執(zhí)行的情況，如缺乏統(tǒng)一負(fù)責(zé)人等。從律師個人的角度來看，僅僅依靠單一的內(nèi)部部門來推動個人信息保護(hù)的影響評估確實(shí)很難，要與法務(wù)、安全、技術(shù)等多個部門合作，確定合作機(jī)制，牽頭部門進(jìn)行協(xié)調(diào)。資源和人員為個人信息保護(hù)影響評估的實(shí)施提供相應(yīng)的支持。牽頭部門可根據(jù)自身實(shí)際業(yè)務(wù)情況確定。此外，在風(fēng)險源識別方面，律師和法務(wù)更傾向于與個人信息保護(hù)相關(guān)的模塊，本模塊內(nèi)容可結(jié)合App治理、人身保護(hù)法、行業(yè)標(biāo)準(zhǔn)等法律法規(guī)要求。

（三）法務(wù)角度的個人信息保護(hù)影響評估實(shí)踐

個人信息保護(hù)影響評估內(nèi)容包括業(yè)務(wù)背景及數(shù)據(jù)處理情況（如合法性基礎(chǔ)、公平透明、最小必要等處理原則、PbD及數(shù)據(jù)主體權(quán)利等）、數(shù)據(jù)流、數(shù)據(jù)處理中各方角色、風(fēng)險評估、風(fēng)險定級及處置措施等。海外個人信息保護(hù)影響評估與國內(nèi)個人信息保護(hù)影響評估區(qū)別在于：海外個人信息保護(hù)影響評估的適用條件相對較窄且觸發(fā)后的審批機(jī)制也更為嚴(yán)格。個人信息保護(hù)影響評估包括以下四類典型適用場景（GDPR 35條第3款）：1.自動化處理進(jìn)行大規(guī)模廣泛的畫像分析；2.大規(guī)模處理特殊類別或刑事犯罪數(shù)據(jù)；3.自動化大規(guī)模監(jiān)控公共場所；4.歐盟以外的跨境傳輸。企業(yè)觸發(fā)個人信息保護(hù)影響評估后，需集團(tuán)DPO簽字審批，同時后續(xù)個人信息保護(hù)影響評估報告將面臨每年至少復(fù)審一次的頻率。

在啟動個人信息保護(hù)影響評估后，目前的最大痛點(diǎn)是企業(yè)數(shù)據(jù)處理現(xiàn)狀的事實(shí)確認(rèn)。例如，自動化處理和輪廓分析場景下的數(shù)據(jù)研究可能涉及跨多個部門的數(shù)據(jù)合作。需要逐場評估必要性和最小化，算法是黑盒的。比如業(yè)務(wù)部門配合個性化推薦、風(fēng)控、廣告等媒體投放類型時，可能會涉及用戶畫像。此時評估的難點(diǎn)在于如何明確用戶畫像的形成和輸入所使用的數(shù)據(jù)，以及通過算法分析得到的用戶畫像標(biāo)簽；其次，在理清了數(shù)據(jù)之后，如何逐場評估必要性和最小化。綜上所述，對于上述挑戰(zhàn)，如果單純用訪談的形式來厘清企業(yè)數(shù)據(jù)處理現(xiàn)狀的事實(shí)，難免會出現(xiàn)疏漏、時效性差、缺乏驗(yàn)證等問題，個人的基本工作環(huán)節(jié)信息保護(hù)影響評估和評估可能僅限于被動。并且效率低下。針對以上問題，可以手動進(jìn)行數(shù)據(jù)盤點(diǎn)和數(shù)據(jù)流程圖，并推回自動化解決方案。解決方案包括在數(shù)據(jù)吞吐量的關(guān)鍵處設(shè)置卡點(diǎn)，如API網(wǎng)關(guān)、數(shù)據(jù)存儲（包括在線和離線存儲）位置等，通過MySQL解析數(shù)據(jù)字段、HIVE標(biāo)記和自動掃描，解決數(shù)據(jù)存儲和增量變化問題。

（四）例行隱私評估實(shí)踐

在一般企業(yè)實(shí)踐中，觸發(fā)正式的個人信息保護(hù)影響評估、出具評估報告、DPO簽名批準(zhǔn)等業(yè)務(wù)場景并不多。在日常的海量業(yè)務(wù)場景中，需要一個標(biāo)準(zhǔn)化的評測環(huán)節(jié)，對產(chǎn)研業(yè)務(wù)方提出的需求進(jìn)行審核，并對技術(shù)方提出的相關(guān)問題進(jìn)行回復(fù)。首先，對于日常隱私評估，建立六個適用場景和條件：產(chǎn)品設(shè)計(jì)、活動運(yùn)營、數(shù)據(jù)收集、數(shù)據(jù)對外傳輸/合作、引入第三方供應(yīng)商、內(nèi)部和跨部門傳輸?shù)男乱髷?shù)據(jù)的。二是建立在線評審評價系統(tǒng)。評價系統(tǒng)設(shè)置了產(chǎn)品需求池卡點(diǎn)。合規(guī)節(jié)點(diǎn)放置在產(chǎn)品開發(fā)之初，審核涉及產(chǎn)品需求階段。企業(yè)正在接收基本的合規(guī)輸入。PRD文件形成后，提交給隱私審查。日常隱私審查以定期審查的方式進(jìn)行，主要包括以下內(nèi)容：業(yè)務(wù)背景說明、數(shù)據(jù)類型和數(shù)據(jù)流向（服務(wù)器到客戶端）、數(shù)據(jù)使用情況、合作伙伴等。我們根據(jù)數(shù)據(jù)處理原則進(jìn)行風(fēng)險分析和數(shù)據(jù)主體權(quán)利，給出風(fēng)險項(xiàng)、風(fēng)險等級和相關(guān)方，提出產(chǎn)品設(shè)計(jì)等解決方案。

四、數(shù)據(jù)保護(hù)影響評估（DPIA）與個人信息保護(hù)影響評估（PIA）異同分析

歐盟《一般數(shù)據(jù)保護(hù)條例》與中國《個人信息保護(hù)法》背景下，個人信息保護(hù)影響評估二者在文理內(nèi)容上方向一致，? ?但各有傾向。其中PIA評估在呈現(xiàn)上更顯體系化和邏輯化，覆蓋面更廣也更為細(xì)致。在務(wù)實(shí)方面，在個人信息處理背景陳述、個人信息風(fēng)險的分析和個人信息處理的描述方面，二者非常接近。但PIA突出了個人影響權(quán)益的分析并側(cè)重?cái)?shù)據(jù)泄露后對數(shù)據(jù)主體的影響，且更側(cè)重于安全維度，而DPIA則側(cè)重于數(shù)據(jù)主體權(quán)益保障的分析。結(jié)果上看，中國PIA方法基本足以支撐GDPR下的DPIA要求對于安全技術(shù)人員來說，更關(guān)注數(shù)據(jù)全生命周期的過程，以及實(shí)際數(shù)據(jù)處理和流通過程中的安全保障和保護(hù)。對于法務(wù)人員來說，在進(jìn)行評估時，更應(yīng)該根據(jù)業(yè)務(wù)需求，更加關(guān)注業(yè)務(wù)本身的合法性和合規(guī)性評估，這也是隱私和數(shù)據(jù)審查的前提。此外，法務(wù)部門在與外部數(shù)據(jù)合作伙伴的合作過程中，也更加注重雙方的角色和職責(zé)分工。

作者單位：王樂梟? ? 李凱? ? 張曉晴? ? 國家計(jì)算機(jī)網(wǎng)絡(luò)

應(yīng)急技術(shù)處理協(xié)調(diào)中心遼寧分中心

參? 考? 文? 獻(xiàn)

[1]毛逸瀟.數(shù)據(jù)保護(hù)合規(guī)體系研究[J].國家檢察官學(xué)院學(xué)報，2022.

[2]楊瑞仙，毛春蕾，左澤. 國內(nèi)外政府?dāng)?shù)據(jù)開放現(xiàn)狀比較研究[J].情報雜志，2016（5）：167-172.