十国/地区数据保护法十大合规要点对比 | #6 数据影响评估（DPIA/PIA）要求

Original 王捷资深出海法律顾问出海互联网法律观察

2024-08-25

必读收藏

十国/地区个人信息保护法十大合规要点大比对

本文是“十国/地区数据保护法十大合规要点对比”系列的第六部分，主要是围绕数据影响评估或事前风险评估（DPIA/PIA）的要求进行解读、对比与分析。

第一部分请参见：十国/地区数据保护法十大合规要点对比 | #1 法律适用范围与域外适用效力

第二部分请参见：十国/地区数据保护法十大合规要点对比 | #2 个人信息处理规则与特别注意事项

第三部分请参见：十国/地区数据保护法十大合规要点对比 | #3 数据本地化存储要求

第四部分请参见：十国/地区数据保护法十大合规要点对比 | #4 数据跨境传输规则与要求

第五部分请参见：十国/地区数据保护法十大合规要点对比 | #5 数据主体在个人信息处理活动中的权利

第六部分：数据影响评估或事前风险评估（DPIA/PIA）的要求

“数据保护影响评估”是引用自GDPR的规定，要求数据控制者需要对“可能会对自然人的权利和自由造成高风险”的操作进行数据保护影响评估，英文为Data Protection Impact Assessment,简称DPIA，有些国家或地区也称为“隐私影响评估”（Privacy Impact Assessment，简称PIA），主要是指在开始数据处理活动之前和在部分特定的情况下，数据控制者有义务对数据处理的行为进行不同维度的影响评估，对个人信息主体合法权益是否可能会造成损害的不同风险进行评估，以帮助企业对数据处理过程中可能涉及的风险进行识别与系统分析。

鉴于篇幅有限，本文仅就需要进行DPIA/PIA的情况进行基础对比，暂不就如何开展DPIA/PIA进行论述，我们或会通过其他文章就怎样进行数据影响评估进行分析。

（一）我国个人信息保护法解读：

在我国个保法出台前，我国已经有相关的法律以及国家标准指南等文件对“个人信息安全影响评估”作出了规定，例如《网络安全法》要求“关键信息基础设施的运营者在中国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估”；又例如，《数据安全法》对“重要数据的处理者”作出了“应当按照规定对其数据处理活动定期开展风险评估，并向有关主管部门报送风险评估报告”的要求；以及国家市场监督管理总局、国家标准化管理委员会也通过正式发布《信息安全技术个人信息安全影响评估指南（GB/T39335-2020国家标准）》，来对如何进行个人信息保护影响评估提出了具体的评估规则和参考内容，以便为企业提供更有效的实务参考工具和标准。

虽然个保法出台前已经有前述关于“个人信息安全影响评估”的规定内容，但对于大部分非CIIO亦非重要数据处理者的企业来说，由于进行数据影响评估属于非强制性要求，因此较多企业可能还没将需要进行数据影响评估作为内部合规机制之一。而本次个保法则明确将数据影响评估的要求作为强制性法律要求列入，对企业内部合规制度的建设提出了更为严格的要求。

本次个保法没有就笼统性的场景对需要进行数据影响评估作出规定，而是针对具体的处理活动作为判断是否需要进行DPIA/PIA的基准点，个人信息处理者应当在数据处理活动之前进行数据影响评估的情况（事前风险评估）包括：

处理敏感个人信息

利用个人信息进行自动化决策

委托处理个人信息

向其他个人信息处理者提供个人信息

公开个人信息

向境外提供个人信息

以及其他对个人权益有重大影响的个人信息处理活动

不管是否是CIIO，还是重要的数据处理者，只要是落入我国个保法立法语境下“个人信息处理者”的范畴，就可以根据上述法定的情况来判断是否需要执行DPIA/PIA。

同时，个保法还对DPIA/PIA应当包括的内容作出了明确的规定：

个人信息的处理目的、处理方式等是否合法、正当、必要；

对个人权益的影响及安全风险；

所采取的保护措施是否合法、有效并与风险程度相适应。

另外，在企业档案保管制度要求方面，个保法亦通过明确的法律规定对企业提出了具体的保存期限要求，即，个人信息处理者应当对个人信息保护影响报告和处理情况的记录至少保存三年。

（二）海外主要个人信息保护法律对比：

总体来说

笔者认为，当企业涉及处理敏感的、重要的的数据时候，将进行数据影响评估作为必备的内部合规制度，还是非常必要的。即便通过DPIA/PIA并不能为企业消除所有的数据合规风险，但却能在较大程度上帮助企业最小化与数据合规相关的风险，以及可以帮助企业判断对应的数据风险等级，并作出是否接受该等风险的判断。从GDPR角度而言，DPIA是履行GDPR问责制义务的关键体现之一；从我国个保法来看，是企业在部分法定情形下应当进行事前风险评估的强制性要求。

总体而言，企业通过实施并较好地完成数据影响评估，不仅能降低各类数据潜在风险的发生，而且能帮助企业自我证明其在业务运营过程中遵守了属地国/地区的数据保护法律的规定和要求，企业亦能根据数据影响评估的结果采取有效的合规策略与保障措施。

作者介绍

王捷

执业律师，垦丁W&W国际法律团队创始人，联合国世界丝绸之路委员会专家，广东省法学会信息通讯法学研究会理事，荷兰RuG国际经济法与商法硕士，专注于网络法领域的研究和实务，特别是互联网产品合规、出海合规以及全球数据保护与个人信息保护合规，已为多家知名互联网公司及大中型外资企业提供专业法律服务，覆盖智能终端制造、IOT、人工智能、云计算与服务、社交网络平台、移动互联网、电子商务及平台、短视频视听直播、网络游戏、以及个人信息保护、数据安全等行业领域。

王捷律师曾在阿里巴巴大文娱集团、国际律所与海外仲裁委员会工作，拥有10年的科技型公司实务经验与中外律所从业背景，深耕海内外多条业务线。专业能力模块包括产品风险管控、业务流程搭建、风险分析评估、数据保护与合规、纠纷案件处理、竞对攻防布局、政府监管合规、海外公司治理、投资项目管理等。她能更准确理解客户核心需求，快速响应并提供基础到战略的有效支持，并为各类出海互联网企业拓展印度、东南亚、中东、非洲、欧美等新兴及重要市场提供有效的合规解决方案与落地支持。

同时为出海互联网法律观察公众号主理人，合著《互联网全球数据合规法律观察报告》，并输出多篇专业互联网与数据合规文章，部分文章刊登于威科先行专业数据库中。

联系方式：

夏律

垦丁律师事务所W&W国际法律团队律师助理。

协助全球数据合规资讯周刊编写，追踪各国数据合规执法状况。

十国/地区数据保护法十大合规要点对比 | #4 数据跨境传输规则与要求

十国/地区数据保护法十大合规要点对比 | #3 数据本地化存储要求

十国/地区数据保护法十大合规要点对比 | #2 个人信息处理规则与特别注意事项

十国/地区数据保护法十大合规要点对比 | #1 法律适用范围与域外适用效力

大数据杀熟-互联网法律人的周末私享会

佛罗里达州众议院通过了《佛罗里达隐私保护法》

爱尔兰数据保护委员会：Facebook5.33亿用户数据泄露

欧盟委员会提出AI专门立法提案