信息化觀察網(wǎng)

本文來自微信公眾號“互聯(lián)網(wǎng)與社會(huì)發(fā)展研究中心”，作者/朱芹瑾，寧波大學(xué)法學(xué)院2022級法律碩士。

《個(gè)人信息保護(hù)法》第55條

——個(gè)人信息保護(hù)影響評估制度

在《個(gè)人信息保護(hù)法》制定前，個(gè)人信息保護(hù)影響評估制度僅見于《個(gè)人信息安全規(guī)范》《個(gè)人信息安全影響評估指南》等國家標(biāo)準(zhǔn)中。本條與本法第56條首次在立法層面建立起較為完整統(tǒng)一的個(gè)人信息保護(hù)影響評估機(jī)制。

一、個(gè)人信息保護(hù)影響評估制度的概述

個(gè)人信息保護(hù)影響評估制度是對特定類型的可能對個(gè)人權(quán)益造成重大影響的高風(fēng)險(xiǎn)信息處理活動(dòng)進(jìn)行合規(guī)及風(fēng)險(xiǎn)等評估，以實(shí)現(xiàn)對侵害個(gè)人信息行為的事先預(yù)防，提前消除危險(xiǎn)，預(yù)防侵害個(gè)人權(quán)益后果的發(fā)生。

與本條“個(gè)人信息保護(hù)影響評估”概念類似的，是《個(gè)人信息安全影響評估指南》《個(gè)人信息安全規(guī)范》規(guī)定的“安全影響評估”。其中，《個(gè)人信息安全影響評估指南》對“個(gè)人信息安全影響評估的定義為“針對個(gè)人信息處理活動(dòng)，檢驗(yàn)其合法合規(guī)程度，判斷其對個(gè)人信息主體合法權(quán)益造成損害的各種風(fēng)險(xiǎn)，以及評估用于保護(hù)個(gè)人信息主體的各項(xiàng)措施有效性的過程”。

二、個(gè)人信息保護(hù)影響評估制度的功能

1.檢驗(yàn)對個(gè)人信息處理是否合規(guī)。個(gè)人信息保護(hù)影響評估的功能之一就在于通過對擬開展的個(gè)人信息處理活動(dòng)進(jìn)行事前合規(guī)評估，能夠及時(shí)發(fā)現(xiàn)違規(guī)之處，從而提升個(gè)人信息處理合規(guī)水平，達(dá)到減少高額罰款等后果。

2.識別并降低個(gè)人信息安全風(fēng)險(xiǎn)。在對個(gè)人信息處理過程中會(huì)存在或高或低的安全風(fēng)險(xiǎn)，而關(guān)鍵在于將風(fēng)險(xiǎn)控制到可接受的低水平。如果對個(gè)人信息流通進(jìn)行嚴(yán)格的限制，不符合數(shù)據(jù)時(shí)代要求。個(gè)人信息保護(hù)影響評估是有效的風(fēng)險(xiǎn)評估工具，通過前移保護(hù)關(guān)口，有利于提早發(fā)現(xiàn)個(gè)人信息處理行為可能存在的風(fēng)險(xiǎn)和造成的不利影響，從而有針對性地設(shè)計(jì)業(yè)務(wù)流程并采取防范措施。

3.減輕或免除個(gè)人信息處理責(zé)任。通過實(shí)施個(gè)人信息保護(hù)影響評估，不僅可以增強(qiáng)個(gè)人信息處理者的風(fēng)險(xiǎn)管理能力，而且還有助于減輕或免除個(gè)人信息處理責(zé)任。對于民事責(zé)任，《個(gè)人信息保護(hù)法》第69條確立了個(gè)人信息侵權(quán)的過錯(cuò)推定責(zé)任，即個(gè)人信息處理者不能證明自己沒有過錯(cuò)的，應(yīng)當(dāng)承擔(dān)損害賠償?shù)惹謾?quán)責(zé)任；對于行政責(zé)任，《個(gè)人信息保護(hù)法》沒有確立歸責(zé)原則，一般應(yīng)適用《行政處罰法》確立的過錯(cuò)推定原則，即當(dāng)事人有證據(jù)足以證明沒有主觀過錯(cuò)的就不予處罰。如果個(gè)人信息處理者能證明自己過錯(cuò)較小或沒有過錯(cuò)，相應(yīng)的民事責(zé)任或行政責(zé)任就應(yīng)當(dāng)減輕或免除。個(gè)人信息保護(hù)影響評估處理記錄，是證明個(gè)人信息處理者合規(guī)處理個(gè)人信息的重要證據(jù)，在發(fā)生糾紛或損害時(shí)，可以通過調(diào)取記錄，發(fā)現(xiàn)個(gè)人信息處理者進(jìn)行了有效的個(gè)人信息保護(hù)影響評估，對識別的風(fēng)險(xiǎn)采取了相應(yīng)的保護(hù)措施，能夠減輕或免除個(gè)人信息處理者的責(zé)任。