揭秘GDPR中数据保护影响评估制度的应用

《欧盟一般数据保护条例》（GDPR）带给企业的不仅是隐私政策的更新，而且是要求企业对整体数据治理文化和数据安全制度进行梳理和制定，其中数据保护影响评估（DPIA）制度被此次GDPR上升为特定情形下的强制性要求。《欧盟一般数据保护条例》（GDPR）带给企业的不仅是隐私政策的更新，而且是要求企业对整体数据治理文化和数据安全制度进行梳理和制定，其中数据保护影响评估（DPIA）制度被此次GDPR上升为特定情形下的强制性要求。

如果用一句话概括，DPIA就是对于即将使用新技术的处理行为 ，考虑到处理行为的性质、范围、内容和目的可能会对自然人的权利和自由产生高风险时,数据控制者应当在处理前完成一份拟进行的数据处理对个人数据保护影响的评估。因此，DPIA是GDPR项下针对高风险数据处理活动对数据控制者设置的预警自查义务。GDPR下DPIA的规定集中在 第35条，第36条，和前言条款（89）到（96）项。另外，根据GDPR的原则，第29条工作组于2017年10月也更新了DPIA指南。

通过对于数据处理活动的评估帮助数据控制者提前识别和减轻隐私风险，符合GDPR一直倡导的自证合规原则。而未能充分进行DPIA的数据控制者将导致直接违反GDPR，面临高达组织每年全球营业额的2%或1000万欧元的罚款 （以更高额为准）。

DPIA的内容

DPIA是数据控制者对于拟将进行的数据处理行为的一种事先评估，其中评估内容至少应包括：

(a)对于拟进行的处理行为和处理行为的目的说明；

(b)基于处理目的,对处理行为的必要性和（处理行为与处理目的）相称性的评估；

(c)处理行为对于GDPR赋予的数据主体权利和自由产生的风险的评估，包括风险的来源、性质，特殊性和严重性等；

(d)处理这些风险的预案,包括安全和保障措施；

(e)涉及的相关方的行为，比如DPIA需要征求DPO的意见，并在适当的情况下，征求数据主体或其代表的意见。

数据控制者需要本着以上的原则，通过细化问卷的模式（具体筛查问卷，DPIA指南以及一些成员国，例如英国和法国都有官方的指导模版）识别DPIA的必要性、识别处理行为会引发的隐私和相关风险，评估解决方案并签署和记录DPIA结果。最终DPIA 结果应整合到项目计划中，并在项目生命周期中持续使用以及定期审核DPIA。

同时针对DPIA的过程和结果，数据控制者承担着对公众和监管部门的披露义务。当进行DPIA 后无法确定有足够的措施降低高风险的情况下，数据控制者应当在处理前向监管机构咨询。

GDPR规定的DPIA适用原则

DPIA指南中的具体适用情形

DPIA指南对于DPIA的具体应用判断进行了拓展和补充，归纳成以下９种情形：

（1）评估或评分，包括画像和预测，特别是从“有关数据主体在工作中的表现、经济状况、健康状况、个人偏好或兴趣、可靠性或行为，地点或动作“ 。

例如：一个金融机构，其客户通过信贷参考数据库或反洗钱和反恐怖主义融资（AML/CTF）或反欺诈数据库来筛选客户，或一家生物技术公司为了评估和预测疾病/健康风险直接向消费者提供基因测试，或一家公司基于其网站上的使用或导航创建行为和营销画像。

（2）具有法律或类似重大影响的自动决策：基于该等分析产生的决策对自然人产生法律效力或者类似的显著影响的决定。对个人没有影响或影响小则不符合这一特定标准。

例如： 一项处理可能导致对自然人的排斥或歧视。

（3）系统性监控：用于观察、监测或控制数据主体的数据处理，包括通过网络收集的数据或“公共可访问区域的系统监视”。

（4）敏感数据或具有高度个人性质的数据：包括个人敏感数据和与刑事定罪或犯罪有关的个人资料。

例如，一般医院会保留病人的病历或私人医疗记录。调查人员保持罪犯的细节。

除了GDPR规定的两种个人数据，DPIA指南还扩展了其他对个人权利和自由的可能产生高风险的敏感个人数据：包括与家庭和私人活动（如具有保密性质的电子交流）相关，或因为影响了行使基本权利（如地点数据，影响自由行动权）或者违法使用会对数据主体造成严重影响日常生活（如财务数据可能用于支付欺诈）。这个标准还可以包括个人文档、电子邮件、日记，电子阅读器的笔记等数据以及生活日志程序中的个人私密信息。

（5）大规模数据处理：应考虑如下因素：

✦有关的数据主体数量，或者是特定数字或者是对相关人口的比例描述；

✦数据的体量及/或处理的不同数据的范围；

✦数据处理活动的持续时间，或持久性；

✦处理活动的地理范围。

（6）匹配或组合数据集，例如源自于为不同目的及/或由不同数据主体进行的两个或多个数据处理行为，该等处理超出数据主体的合理预期。

（7）脆弱数据主体的数据：包括儿童、员工，需要特殊保护的脆弱人群（精神病患者、寻求庇护者或老年人、病人等），原因是该等数据打破了数据主体和数据控制者的平衡，个体无法轻易给予同意或反对数据处理或实施权利。

（8）创新使用或应用新的技术性或结构性解决方案 ，如组合使用用于改进物理访问控制的指纹和人脸识别等。因为该等技术涉及数据收集和使用的创新，可能对个人权利和自由具有高风险。

例如，某些“物联网”应用程序可能对个人日常生活和隐私的产生严重的影响，因此需要DPIA。

（9）当处理本身“阻止数据主体行使权利或使用服务或合同”。包括处理操作旨在允许、修改或拒绝数据主体对服务的访问或签署合同。

例如： 银行通过参考信用数据库来筛选客户，以决定是否提供贷款。

多数情况下，数据控制者满足两项以上标准就需要进行DPIA，有些情况满足一项标准就需要，要视具体情形分析。比如个体药师、其他健康专家或律师进行的病患或客户的数据处理，虽然涉及到敏感数据或高度个人性质的数据和脆弱主体数据，但是由于不具有大规模的要求，所以无需强制性DPIA。但医院利用整体医院信息系统处理病患的基因和健康数据，则会导致DPIA的要求。

DPIA指南中规定的无需进行DPIA的数据处理行为原则包括：(1)数据处理不会导致对自然人的权利和自由产生高风险；(2)数据处理性质、范围、内容和目的与已经完成DPIA的处理行为非常相似；(3)GDPR生效前已经由监管当局确认过且具体条件（范围、目的、收集的个人数据、数据控制者和接受方的身份、数据保存期限，技术和组织性方式）没有变更；（4）依据其他欧盟法律和成员国法律进行的必要性数据处理；以及（5）监管机构公布的可选择无需DPIA的数据处理清单中的情形。

就最后一项原则，GDPR要求数据监管机构（“DPA”）须依据GDPR的原则向欧洲数据保护委员会（EDPB）列举不需要进行数据保护影响评估的处理行为。目前几个国家的DPA已经开始发布处理操作的“白名单”和“黑名单”。例如，在GDPR生效当天，奥地利DPA列出了22项不需要DPIA的流程，其中比较突出的是：

✓客户与供应商的管理，会计，物流，和簿记；

✓人力资源管理工作, 这种类型的处理有时涉及敏感数据或犯罪历史数据，所以奥地利DPA指出，如果经过“法律许可“或”法定义务“，处理这类数据是可以不必进行DPIA的；

✓CMR和为业务目的的营销；

✓建立访问控制，是指通过自动化系统监控对建筑和受限区域设置的访问权限，但不包括处理生物识别数据的系统；

✓IT用户访问权限管理；

✓在有限情况下的CCTV监控，奥地利为业主和房主提供一些严格限制的不用进行DPIA而安设CCTV摄像机的权利；

✓活动策划，包括为了邀请和注册参会者，与参会者交流，组织旅行和住宿，管理活动相关费用，以及制造活动记录，对视频和照片的数据处理。

奥地利DPA白名单还包括额外免除进行DPIA义务的一些特例，像是独立工作的专业人士（比如医生，药剂师，和律师），库存管理，根据法定条款进行的科学研究和统计，和为“记录目的”制作的视频和音频。

基于其适用原则，DPIA制度将覆盖大部分从事大数据处理、医疗、教育、公共安保等领域的企业。从责任主体的层面看，DPIA也涉及多方主体的义务和责任，首先数据控制者一定是首要责任方，负责确保执行DPIA，如果控制者指定了数据保护（DPO），DPO必须对DPIA建设提出建议并在DPIA中记录该等建议，同时 DPO负责监督DPIA实施的责任方。另外，如果数据处理涉及数据处理者，处理者也应协助控制者执行DPIA并且提供任何必要的信息。

写在最后

GDPR将DPIA责任和处罚直接落地后，企业和负责人员更应提高对DPIA的重视和建设。德和衡一直致力于数据合规和治理有关境内外政策法规研究和企业合规实操服务。有关DPIA制度建设以及更多GDPR相关合规问题，可直接咨询德和衡互联网合规业务部（享法）。

让我们为您保驾护航

微信：享法互联网JoyLegal

微博：享法互联网法律

电话：010-81050766

邮箱：info@joy-legal.com

24小时内答复咨询