歐盟GDPR對個人信息保護影響評估實踐研究

王樂梟 李凱 張曉晴

摘要：近年來，個人信息保護和數據安全是各國網絡空間治理的監管重點，在歐盟《一般數據保護條例》與中國《個人信息保護法》的法律背景下，本文介紹了歐盟GDPR的背景及監管實施特點，從個人信息保護影響評估實踐的三種角色立場，針對海外個人信息保護影響評估與國內個人信息保護影響評估實踐方面進行簡要分析。

關鍵詞：個人信息保護；數據合規；隱私安全

一、歐盟GDPR的背景及現狀

歐盟于2016年4月正式通過了《一般數據保護條例》（以下簡稱GDPR）。2018年5月，GDPR取代原有的《數據保護指示》（Data Protection Directive 95/46/EC），在歐盟成員統一實施生效。GDPR是歐盟發布的針對數據保護的法律規范，統一了歐盟成員國關于數據保護的法律法規，是有史以來最嚴格的條例。該條例詳細規定了個人數據的權利，并敦促公司履行保護歐盟公民個人數據的責任。違法企業將被處以1000萬歐元或全球營業收入的2%（兩者取較高者），重罰高達2000萬歐元或占監管機構全部收入的4%。自頒布以來，大多數互聯網公司在業務領域都受到了GDPR的影響，需要對GDPR規定的內容進行相應的修正。世界上主要的互聯網公司已經響應了GDPR的要求，升級了自己的產品。例如，在Azure云計算平臺上，微軟特別強調隱私保護和聲明。一些設備制造商，包括安全保護，數據行為分析，安全漏洞，安全配置檢測及安全認證企業，在他們的產品中加入了與GDPR相關的功能。功能項目包括針對隱私數據的保護策略和組件（如檢查點）、隱私數據流監測和分析及GDPR安全基線評估項目，并輸出一份專業的分析報告。在修訂有關數據隱私的法律方面，全球數據保護條例的頒布也是世界各國具有里程碑意義的參考。

二、GDPR實施操作特點

（一）收集個人數據要合法有依據。

根據GDPR的要求，處理個人資料必須有法律上的依據，“合法”的定義非常嚴格。首先，必須事先征得數據主體的同意，而且“同意”必須由用戶在完全知情的情況下具體、明確和自由地作出。例如，歐盟合作伙伴被要求在其用戶協議或隱私條款中明確告知數據共享的范圍，披露第三方（企業）的保留時間、存儲位置和安全機制。同時，在企業與合作方之間的合作協議中，接受方與提供方之間的責任分工也在用戶協議中作了規定。無論數據是提供給第三方，還是作為公司對外服務的一部分（如提供廣告公司作為營銷推廣對象），數據主體都必須重新授權和同意。

（二）數據泄露文檔化詳細記錄

在進行數據泄露報告時，還應注意數據泄露報告中至少應當包含以下內容：①數據泄露事件的性質及描述、所涉及的資料主體總數、類別及數據記錄的總量；②數據保護管理人員的姓名和聯系方式，可能造成個人信息侵權的結果泄露，以及企業采取或者預期采取的止損措施。此外，企業還應注意記錄個人資料的泄露流程記錄，包括與披露個人資料有關的事實、影響和減損行動。這一記錄是監管機構核實數據管理是否遵守GDPR的重要依據。

（三）數據泄露72小時報告義務

GDPR第32條規定，數據管理者和處理者應采取適當的技術和組織措施，以確保與風險相稱的數據安全水平。企業應對所收集的個人數據進行匿名化和加密處理，并確保其在遭受黑客攻擊等技術事件后有能力恢復個人數據管理控制，切實履行數據安全保護義務。當個人數據泄露可能對自然人的權利和自由造成較大影響時，管理人員應當及時向個人信息主體報告泄露事件。在英國Ticketmaster數據泄露案中，個人信息管理者Ticketmaster延遲向客戶和監管機構通報和報告數據泄露事件，這是英國信息專員辦公室（ICO）在其出入境處罰中適用GDPR的重要事實依據。

（四）個人數據收集的最小化原則

GDPR將個人數據定義為自然人提供的任何可用于識別其身份的信息，即只要該信息能夠直接或間接識別特定個人，瀏覽痕跡、Cookies等間接數據也可以屬于GDPR。已識別的個人數據。企業在使用或提供網絡服務或技術支持時不可避免地會收集和使用個人信息，但可以定期清理此類數據，以減輕企業的數據管理責任和合規義務。此類數據也可以通過使用匿名化技術進行匿名，使其無法識別特定個人，并采用有效的加密措施來保護此類數據。值得注意的是，ODR第30條要求數據處理活動以書面形式記錄和保存。因此，當企業匿名或刪除數據時，應注意記錄數據處理活動。記錄可以通過多種記錄方法進行備份。如電子記錄、紙質記錄等。

（五）數據的跨境處理

GDPR第五章規定對個人數據向第三國或國際組織傳輸的要求。GDPR第45條規定了兩種“官方”處理模式：一是根據具體國家、地區和國際組織是否對個人資料提供“充分保護”，制定一份全面保護對象的白色清單。對于此類主體，相關數據傳輸不需要特別授權。二是相關主體直接與歐盟有關機構協商、締結具有法律約束力、可執行的隱私保護協議。然而，我國不在提供充分保護的“白名單”之內，尚未與歐盟簽署類似的官方合作協議。因此，當中國企業向歐盟企業或歐盟內部提供數據云存儲服務時，如果它們的服務器在中國，而業務需求要求跨境傳輸歐盟數據，就應該注意跨境傳輸過程中的數據合規點?？赡艿暮弦幋胧┦牵海?）使用標準合同，根據協議的規定，選擇兩種由歐盟委員會標準合同條款提供的合并規格，數據的安全措施是為了達到GDPR的“充分保護水平”。（2）試圖建立有約束力的公司規則（GDPR第47條）（Binding Corporate Rules簡稱BCRs）。BCRs是一種內部的數據傳輸規則。

（六）保證用戶隨時可撤回權利

GDPR賦予數據主體隨時撤回同意的權利，數據管理者應明確告知用戶該權利，并方便用戶方便行使該權利。當用戶依法撤回同意，或者數據管理者不再有正當理由繼續處理數據時，用戶有權要求刪除數據。數據控制者公開傳播個人數據的，應當采取一切合理手段予以刪除，并有責任通知其他處理該數據的數據控制者刪除數據主體主張的個人數據的鏈接或副本。

根據GDPR第7條第3款，數據主體應有權隨時撤回其同意?？杀籊DPR認定為數據主體的企業在設計產品或提供服務時，應注意賦予用戶便捷、免費的數據提取權。為保護數據主體對其信息和數據的控制權，還應注意給予用戶的撤銷通道應與獲得授權時一樣自由，不得要求發送郵件或書面寄件通知的方式，增加用戶對數據授權進行撤銷的阻礙。

三、個人信息保護影響評估實踐的三種立場分析

（一）技術人員角度的個人信息保護影響評估實踐

在項目評審階段，需要業務人員提供以下三類材料：業務設計規范、系統進出參數說明、上下游盡職調查。第一類素材業務設計規范包括業務場景及相關功能、領域描述、第三方合作等。第二種材質系統進出參數描述是第三方輸出/輸入的字段和方法（如API接口、SDK等）。第三類材料的上下游盡職調查一般是評估者自己的模板，評估者根據合作伙伴填寫的材料確定后者的安全環境。

首先對業務進行合法、合理性評估和業務邏輯漏洞評估，前者包括數據來源、使用和交互合規，后者包括是否有漏洞、產生漏洞的可能性和具體環節。然后進入個人信息風險識別環節，此過程將對具體場景的風險進行識別和評估，如判斷和識別數據處理各方（數據主體、處理者、受托人）的角色、分析業務場景，個人信息的具體處理活動（收集、存儲、使用、訪問和存儲）和相應的領域。在個人信息影響評估中，參照《信息安全技術個人信息安全影響評估指南》（GB/T39335-2020），將個人信息影響的可能性乘以影響關于數據主體，取最大值。風險源參考因素包括網絡安全和技術措施（NT）、個人信息處理過程（SP）、參與者和第三方（PT）、業務特征和規模、安全態勢（BS）四個方面。根據風險源的四個方面設定控制項目，并一一比較所需控制措施與現有控制措施的差距，從而確定風險等級。在完成第二階段風險等級判斷后，根據等級確定風險處置方案和風險接受標準。

（二）律師角度的個人信息保護影響評估實踐

從律師立場來看，在個人信息保護影響評估實踐中可以為企業提供的服務主要集中在三個模塊。首先，根據《個人信息保護法》，為客戶提供配套的個人信息保護影響評估體系，包括體系的制定和實施方、個人信息保護影響評價流程、監督整改措施。其次是個人信息保護影響評估工具表，最后根據評估向客戶發出報告。

就具體的個人信息保護影響評估實踐而言，公司既可以對某個場景進行整體評估，也可以對特定場景進行具體評估，比如對產品的人臉識別功能模塊進行評估。目前很多企業還沒有做個人信息保護影響評估，或將等待產品功能上線，針對此情況可以在產品設計之初就結合隱私保護設計（PbD）的概念，對產品進行隱私評估。在為客戶提供個人信息保護影響評估服務時，也會遇到個人信息保護影響評估難以實施或執行的情況，如缺乏統一負責人等。從律師個人的角度來看，僅僅依靠單一的內部部門來推動個人信息保護的影響評估確實很難，要與法務、安全、技術等多個部門合作，確定合作機制，牽頭部門進行協調。資源和人員為個人信息保護影響評估的實施提供相應的支持。牽頭部門可根據自身實際業務情況確定。此外，在風險源識別方面，律師和法務更傾向于與個人信息保護相關的模塊，本模塊內容可結合App治理、人身保護法、行業標準等法律法規要求。

（三）法務角度的個人信息保護影響評估實踐

個人信息保護影響評估內容包括業務背景及數據處理情況（如合法性基礎、公平透明、最小必要等處理原則、PbD及數據主體權利等）、數據流、數據處理中各方角色、風險評估、風險定級及處置措施等。海外個人信息保護影響評估與國內個人信息保護影響評估區別在于：海外個人信息保護影響評估的適用條件相對較窄且觸發后的審批機制也更為嚴格。個人信息保護影響評估包括以下四類典型適用場景（GDPR 35條第3款）：1.自動化處理進行大規模廣泛的畫像分析；2.大規模處理特殊類別或刑事犯罪數據；3.自動化大規模監控公共場所；4.歐盟以外的跨境傳輸。企業觸發個人信息保護影響評估后，需集團DPO簽字審批，同時后續個人信息保護影響評估報告將面臨每年至少復審一次的頻率。

在啟動個人信息保護影響評估后，目前的最大痛點是企業數據處理現狀的事實確認。例如，自動化處理和輪廓分析場景下的數據研究可能涉及跨多個部門的數據合作。需要逐場評估必要性和最小化，算法是黑盒的。比如業務部門配合個性化推薦、風控、廣告等媒體投放類型時，可能會涉及用戶畫像。此時評估的難點在于如何明確用戶畫像的形成和輸入所使用的數據，以及通過算法分析得到的用戶畫像標簽；其次，在理清了數據之后，如何逐場評估必要性和最小化。綜上所述，對于上述挑戰，如果單純用訪談的形式來厘清企業數據處理現狀的事實，難免會出現疏漏、時效性差、缺乏驗證等問題，個人的基本工作環節信息保護影響評估和評估可能僅限于被動。并且效率低下。針對以上問題，可以手動進行數據盤點和數據流程圖，并推回自動化解決方案。解決方案包括在數據吞吐量的關鍵處設置卡點，如API網關、數據存儲（包括在線和離線存儲）位置等，通過MySQL解析數據字段、HIVE標記和自動掃描，解決數據存儲和增量變化問題。

（四）例行隱私評估實踐

在一般企業實踐中，觸發正式的個人信息保護影響評估、出具評估報告、DPO簽名批準等業務場景并不多。在日常的海量業務場景中，需要一個標準化的評測環節，對產研業務方提出的需求進行審核，并對技術方提出的相關問題進行回復。首先，對于日常隱私評估，建立六個適用場景和條件：產品設計、活動運營、數據收集、數據對外傳輸/合作、引入第三方供應商、內部和跨部門傳輸的新要求數據的。二是建立在線評審評價系統。評價系統設置了產品需求池卡點。合規節點放置在產品開發之初，審核涉及產品需求階段。企業正在接收基本的合規輸入。PRD文件形成后，提交給隱私審查。日常隱私審查以定期審查的方式進行，主要包括以下內容：業務背景說明、數據類型和數據流向（服務器到客戶端）、數據使用情況、合作伙伴等。我們根據數據處理原則進行風險分析和數據主體權利，給出風險項、風險等級和相關方，提出產品設計等解決方案。

四、數據保護影響評估（DPIA）與個人信息保護影響評估（PIA）異同分析

歐盟《一般數據保護條例》與中國《個人信息保護法》背景下，個人信息保護影響評估二者在文理內容上方向一致，? ?但各有傾向。其中PIA評估在呈現上更顯體系化和邏輯化，覆蓋面更廣也更為細致。在務實方面，在個人信息處理背景陳述、個人信息風險的分析和個人信息處理的描述方面，二者非常接近。但PIA突出了個人影響權益的分析并側重數據泄露后對數據主體的影響，且更側重于安全維度，而DPIA則側重于數據主體權益保障的分析。結果上看，中國PIA方法基本足以支撐GDPR下的DPIA要求對于安全技術人員來說，更關注數據全生命周期的過程，以及實際數據處理和流通過程中的安全保障和保護。對于法務人員來說，在進行評估時，更應該根據業務需求，更加關注業務本身的合法性和合規性評估，這也是隱私和數據審查的前提。此外，法務部門在與外部數據合作伙伴的合作過程中，也更加注重雙方的角色和職責分工。

作者單位：王樂梟? ? 李凱? ? 張曉晴? ? 國家計算機網絡

應急技術處理協調中心遼寧分中心

參? 考? 文? 獻

[1]毛逸瀟.數據保護合規體系研究[J].國家檢察官學院學報，2022.

[2]楊瑞仙，毛春蕾，左澤. 國內外政府數據開放現狀比較研究[J].情報雜志，2016（5）：167-172.