□肖君擁 張雪亭

[北京理工大學(xué) 北京 100081]

引言

數(shù)字化為促進(jìn)經(jīng)濟(jì)發(fā)展提供了新的機(jī)會(huì)，但也增加了數(shù)據(jù)主體潛在的數(shù)據(jù)泄露風(fēng)險(xiǎn)。為幫助數(shù)據(jù)控制者或處理者評(píng)估其數(shù)據(jù)處理的必要性和適當(dāng)性，歐盟《通用數(shù)據(jù)保護(hù)條例》（以下簡稱“GDPR”）在隱私影響評(píng)估（Privacy Impact Assessment，以下簡稱“PIA”）的基礎(chǔ)上專門創(chuàng)設(shè)了數(shù)據(jù)影響評(píng)估（Data Protection Impact Assessment，以下簡稱“DPIA”）制度。DPIA制度作為歐盟數(shù)據(jù)保護(hù)框架中的核心內(nèi)容，不僅成為了各國個(gè)人數(shù)據(jù)安全治理的重要手段，而且為各國企業(yè)合規(guī)管理、經(jīng)濟(jì)數(shù)字化轉(zhuǎn)型以及數(shù)據(jù)安全治理法律體系的構(gòu)建提供了理想范本。據(jù)檢索，歐盟學(xué)術(shù)界目前僅有David Wright、Clarke Roger、F. Bieker等少數(shù)幾位學(xué)者對(duì)隱私影響評(píng)估( PIA)制度的必要性以及相關(guān)學(xué)理進(jìn)行了初步闡述，而國內(nèi)的相關(guān)研究僅停留在泛泛而談DPIA制度的演化背景、DPIA制度的理論基礎(chǔ)，相關(guān)研究還不夠深入細(xì)致。

歐盟GDPR框架下創(chuàng)設(shè)的DPIA制度，是否是給歐盟境內(nèi)外企業(yè)增加的又一項(xiàng)新的合規(guī)義務(wù)？落實(shí)DPIA制度僅是為了指引、強(qiáng)制企業(yè)遵守GDPR數(shù)據(jù)合規(guī)的相關(guān)規(guī)定？何種場(chǎng)景下企業(yè)應(yīng)當(dāng)進(jìn)行DPIA？如何開展DPIA的具體流程？本文聚焦于對(duì)歐盟的DPIA制度的演化、應(yīng)用場(chǎng)景及評(píng)估流程等全方位的介紹、分析與評(píng)論，佐以相關(guān)實(shí)踐案例說明落實(shí)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估制度的重要性。希望能為我國企業(yè)數(shù)據(jù)合規(guī)的思路轉(zhuǎn)換、數(shù)據(jù)安全保障、數(shù)字經(jīng)濟(jì)的轉(zhuǎn)型以及構(gòu)建具有中國特色的數(shù)據(jù)治理體系提供參考。

一、歐盟數(shù)據(jù)保護(hù)影響評(píng)估（DPIA）制度的起源與特點(diǎn)

（一）DPIA制度的源起：從PIA制度到DPIA制度

西方社會(huì)的隱私意識(shí)覺醒較早，對(duì)于隱私問題的較普遍關(guān)注，可以追溯到20世紀(jì)60年代末的歐洲的公平信息實(shí)踐（fair information practices，F(xiàn)IPs）運(yùn)動(dòng)[1]。為了提高公民福利水平，政府開始利用電子數(shù)據(jù)庫搜集和存儲(chǔ)大量的公民個(gè)人信息。FIPs運(yùn)動(dòng)的最初目的是確?！捌髽I(yè)和政府在進(jìn)行經(jīng)濟(jì)活動(dòng)時(shí)，信息技術(shù)之手不會(huì)導(dǎo)致對(duì)隱私的過度侵犯”[2]。FIPs運(yùn)動(dòng)在最初期關(guān)注的是組織的信息安全，隨著對(duì)隱私問題認(rèn)識(shí)的深入，人們關(guān)注的焦點(diǎn)才逐漸轉(zhuǎn)向個(gè)體隱私。FIPs運(yùn)動(dòng)成為人們開始關(guān)注個(gè)體隱私問題的導(dǎo)火索，由此確立的FIPs原則（即FIPP）也成為《OECD隱私指南》《APEC隱私框架》和“ISO/IEC 29100：2011《信息技術(shù)安全技術(shù)隱私框架》”《美國隱私法案》等后續(xù)世界各國（地區(qū)）的隱私保護(hù)立法的重要準(zhǔn)則。

盡管西方社會(huì)層面有隱私意識(shí)覺醒，但各國政府并未在立法層面給予及時(shí)回應(yīng)。直到20世紀(jì)90年代，隨著信息時(shí)代的到來，隱私泄露風(fēng)險(xiǎn)的遽增，隱私影響評(píng)估制度才應(yīng)運(yùn)而生并逐漸成為一種保護(hù)個(gè)體隱私的常規(guī)手段。

歐洲議會(huì)和歐盟理事會(huì)于1995年10月24日通過了《關(guān)于涉及個(gè)人數(shù)據(jù)處理的個(gè)人保護(hù)以及此類數(shù)據(jù)自由流通的第95/46/EC/號(hào)指令》（EU Data Protection Directive 95/46/EC，以下簡稱《95指令》）。該指令要求各成員國保護(hù)自然人各項(xiàng)基本權(quán)利和自由，尤其是加強(qiáng)與個(gè)人數(shù)據(jù)相關(guān)的隱私權(quán)的保護(hù)。《95指令》第20條要求信息系統(tǒng)需要通過“預(yù)先校驗(yàn)（prior checking）”以驗(yàn)證應(yīng)用標(biāo)準(zhǔn)的符合性，即要求商業(yè)機(jī)構(gòu)收集個(gè)人信息必須事先獲得個(gè)人的明確同意。為適應(yīng)《95指令》，英國在1998年出臺(tái)了《數(shù)據(jù)保護(hù)法》，其中規(guī)定事先審查這一合規(guī)性審查方式，該制度使得英國成為最早實(shí)施 PIA 制度的國家。2017年，國際標(biāo)準(zhǔn)化組織發(fā)布的ISO/IEC 29134：2017成為PIA最具代表性的標(biāo)準(zhǔn)之一。其將PIA定義為：在組織更廣泛的風(fēng)險(xiǎn)管理框架內(nèi)進(jìn)行的識(shí)別、分析、評(píng)估、咨詢、溝通和計(jì)劃處置與個(gè)人身份信息處理相關(guān)的潛在隱私影響的整個(gè)過程，還對(duì)PIA的評(píng)估過程、評(píng)估報(bào)告的結(jié)構(gòu)和內(nèi)容做了詳細(xì)的規(guī)定[3]。

大數(shù)據(jù)時(shí)代背景下，為進(jìn)一步保護(hù)數(shù)據(jù)主體的權(quán)利和自由，2009年，歐盟委員會(huì)啟動(dòng)對(duì)《95指令》的修訂。2012年，歐盟委員會(huì)出臺(tái)了替代《95指令》的歐盟《通用數(shù)據(jù)保護(hù)條例》（GDPR）草案。2016年，GDPR經(jīng)歐盟委員會(huì)投票通過，并于2018 年 5月25日生效。GDPR強(qiáng)化了數(shù)據(jù)主體的各項(xiàng)權(quán)利，同時(shí)對(duì)義務(wù)主體提出了更嚴(yán)格的要求，加重了后者的數(shù)據(jù)保護(hù)義務(wù)和責(zé)任。GDPR中增加了數(shù)據(jù)控制者或處理者的多項(xiàng)義務(wù)，其中旨在通過評(píng)估數(shù)據(jù)處理行為的必要性和適當(dāng)性，并通過評(píng)估內(nèi)容幫助企業(yè)最小化個(gè)人數(shù)據(jù)處理活動(dòng)風(fēng)險(xiǎn)的數(shù)據(jù)保護(hù)影響評(píng)估（DPIA）制度，在全球范圍內(nèi)引起了廣泛關(guān)注。

（二）歐盟DPIA制度的特點(diǎn)

歐盟GDPR中沒有正式周詳定義DPIA制度。GDPR僅在第35條第（1）款規(guī)定：當(dāng)某種類型的處理—特別是使用新技術(shù)進(jìn)行的處理—很可能會(huì)對(duì)自然人的權(quán)利與自由帶來高風(fēng)險(xiǎn)時(shí)，在考慮了處理的性質(zhì)、范圍、語境與目的后，控制者應(yīng)當(dāng)在處理之前評(píng)估計(jì)劃的處理進(jìn)程對(duì)個(gè)人數(shù)據(jù)保護(hù)的影響。若多項(xiàng)高風(fēng)險(xiǎn)處理活動(dòng)屬于同一種類，那么此時(shí)僅對(duì)其中某一項(xiàng)活動(dòng)進(jìn)行評(píng)估即可①。即DPIA旨在成為一種靈活的、能夠幫助數(shù)據(jù)控制者或處理者分析、識(shí)別和最小化數(shù)據(jù)保護(hù)風(fēng)險(xiǎn)的事前審查工具，或者可以說DPIA是建立和證明數(shù)據(jù)控制者或處理者數(shù)據(jù)處理合規(guī)的過程，它能幫助管理數(shù)據(jù)控制者或處理者處理個(gè)人數(shù)據(jù)對(duì)自然人權(quán)利和自由造成的風(fēng)險(xiǎn)。歐盟DPIA制度有以下三方面特點(diǎn)：

第一，規(guī)制對(duì)象的變化。需要注意的是，作為PIA制度的延伸，DPIA的規(guī)制對(duì)象不再是“個(gè)人隱私”，規(guī)制主體變成了“個(gè)人數(shù)據(jù)”。GDPR第4條規(guī)定：“個(gè)人數(shù)據(jù)”是指與已識(shí)別或可識(shí)別的自然人（“數(shù)據(jù)主體”）相關(guān)的任何信息①?！皵?shù)據(jù)”作為接近事實(shí)的最小單元，作為網(wǎng)絡(luò)中由各種設(shè)備存儲(chǔ)、傳輸?shù)母黝愋畔⒌妮d體，其范圍要遠(yuǎn)遠(yuǎn)大于隱私。由此可見，與以往的隱私規(guī)則相比，GDPR對(duì)“個(gè)人數(shù)據(jù)”的范圍進(jìn)行定義，相較于PIA的規(guī)制對(duì)象“個(gè)人隱私”來說有所擴(kuò)大。GDPR對(duì)獲取和管理數(shù)據(jù)的一整條數(shù)據(jù)供應(yīng)鏈自上而下都提出了更為嚴(yán)格的要求，并賦予數(shù)據(jù)主體明確的權(quán)利，為強(qiáng)化個(gè)人數(shù)據(jù)安全和保護(hù)邁出了重要的一步。

第二，法律義務(wù)的強(qiáng)化。GDPR第35條第1款對(duì)數(shù)據(jù)控制者或處理者執(zhí)行DPIA這里用的是“應(yīng)當(dāng)”而不是“可以”，當(dāng)其數(shù)據(jù)處理行為有可能對(duì)數(shù)據(jù)主體的數(shù)據(jù)權(quán)利和自由帶來高風(fēng)險(xiǎn)時(shí)，數(shù)據(jù)控制者或處理者必須進(jìn)行事前評(píng)估。也就是說，DPIA不再像PIA一樣僅僅作為一項(xiàng)商業(yè)風(fēng)險(xiǎn)防控的手段或監(jiān)管部門的建議，而是上升為數(shù)據(jù)控制者或處理者的一項(xiàng)強(qiáng)制性法定義務(wù)。

第三，加強(qiáng)問責(zé)的合規(guī)導(dǎo)向。盡管DPIA僅僅能夠幫助數(shù)據(jù)控制者或處理者最小化風(fēng)險(xiǎn)，不能幫助數(shù)據(jù)控制者或處理者消除風(fēng)險(xiǎn)，且DPIA是在GDPR下履行問責(zé)義務(wù)的關(guān)鍵部分，但DPIA不應(yīng)當(dāng)僅僅被視為一種加重?cái)?shù)據(jù)控制者或處理者義務(wù)的工具。在Facebook深陷“劍橋分析”數(shù)據(jù)泄密丑聞事件，認(rèn)罰50億美元與美國聯(lián)邦貿(mào)易委員會(huì)達(dá)成和解后，F(xiàn)acebook首席產(chǎn)品隱私官米歇爾?普羅蒂（Michel Protti）在公司官方博客中寫道：“這項(xiàng)協(xié)議已經(jīng)給我們公司帶來了根本性的變化，在保護(hù)用戶隱私方面，我們?nèi)〉昧饲八从械倪M(jìn)步。更重要的是，它帶來了一種新的問責(zé)制，同時(shí)確保隱私問題成為了Facebook每位員工所肩負(fù)的責(zé)任。”[4]可見，施行DPIA制度，可以倒逼企業(yè)內(nèi)部數(shù)據(jù)合規(guī)制度的完善。數(shù)據(jù)控制者或處理者可以根據(jù)其數(shù)據(jù)處理過程的特點(diǎn)，開發(fā)符合自身特點(diǎn)的DPIA模板和流程。盡管DPIA模板和流程的設(shè)計(jì)不是一次性的練習(xí)，需要定期審核、持續(xù)更新以及動(dòng)態(tài)監(jiān)管，但數(shù)據(jù)控制者或處理者如果將DPIA制度落實(shí)到位，不僅可以幫助企業(yè)證明合規(guī)性，甚至可以為企業(yè)帶來良好的社會(huì)聲譽(yù)進(jìn)而為其帶來其所期待的商業(yè)利益。

二、歐盟數(shù)據(jù)保護(hù)影響評(píng)估（DPIA）制度的啟動(dòng)與要求

（一）數(shù)據(jù)控制者或處理者啟動(dòng)DPIA的場(chǎng)景

通過上文對(duì)GDPR第35條第（1）款分析可知，并非數(shù)據(jù)控制者或處理者的每個(gè)數(shù)據(jù)處理操作都需要執(zhí)行DPIA，只有涉及高風(fēng)險(xiǎn)數(shù)據(jù)處理過程時(shí)，數(shù)據(jù)控制者或處理者才需要進(jìn)行事前評(píng)估。那么究竟什么是高風(fēng)險(xiǎn)數(shù)據(jù)處理過程呢？由表1可以看出DPIA風(fēng)險(xiǎn)評(píng)價(jià)的兩個(gè)維度，縱坐標(biāo)是影響層面的維度，橫坐標(biāo)是風(fēng)險(xiǎn)交叉可能性的維度，二者交叉便可得出是否構(gòu)成高風(fēng)險(xiǎn)的綜合結(jié)論。GDPR對(duì)于何為數(shù)據(jù)控制者或處理者的“高風(fēng)險(xiǎn)”活動(dòng)，并未采取傳統(tǒng)的下定義的方式，而是列舉了尤其需要進(jìn)行DPIA的三種高風(fēng)險(xiǎn)典型場(chǎng)景。

GDPR第35條第（3）款規(guī)定了需要進(jìn)行事前評(píng)估的三種情形：（1）對(duì)自然人進(jìn)行系統(tǒng)性和廣泛性的個(gè)人情況評(píng)估，且該評(píng)估基于自動(dòng)化處理（包括數(shù)據(jù)畫像）并且基于該評(píng)估作出對(duì)該自然人產(chǎn)生法律效力或類似重要影響的決定；（2）大規(guī)模處理本條例第9條第1款規(guī)定的特定類型的數(shù)據(jù)，或者第10條規(guī)定的有關(guān)刑事定罪和犯罪的個(gè)人數(shù)據(jù)；（3）對(duì)公共區(qū)域的大規(guī)模系統(tǒng)性監(jiān)控①。

此外關(guān)于何種場(chǎng)景下需要進(jìn)行DPIA，GDPR還從正反兩個(gè)方面進(jìn)行規(guī)制，第35條第（4）款規(guī)定，監(jiān)管機(jī)構(gòu)應(yīng)建立一份歐盟通用的需要強(qiáng)制執(zhí)行DPIA的處理操作清單。需要DPIA的數(shù)據(jù)處理如：銀行根據(jù)信用參考數(shù)據(jù)庫對(duì)其客戶進(jìn)行篩選；一家醫(yī)院即將實(shí)施一個(gè)新的健康信息數(shù)據(jù)庫，其中包含患者的健康數(shù)據(jù)；公交運(yùn)營商即將實(shí)施車載攝像頭，以監(jiān)控駕駛員和乘客的行為。第35條第（5）款規(guī)定，監(jiān)管機(jī)構(gòu)還應(yīng)當(dāng)建立一份不需要進(jìn)行DPIA操作的歐盟通用公開性的列表。例如：社區(qū)醫(yī)生處理患者的個(gè)人數(shù)據(jù)不需要DPIA，因?yàn)樯鐓^(qū)醫(yī)生處理的患者數(shù)量不是大規(guī)模的。當(dāng)數(shù)據(jù)控制者或處理者不確定是否需要進(jìn)行DPIA時(shí)，GDPR第35條第（2）款和第36條第（1）款共同規(guī)定了數(shù)據(jù)控制者或處理者應(yīng)當(dāng)向數(shù)據(jù)保護(hù)官咨詢以及數(shù)據(jù)控制者或處理者何時(shí)事前咨詢監(jiān)管機(jī)構(gòu)的標(biāo)準(zhǔn)。

由此可見，監(jiān)管機(jī)構(gòu)不僅要建立需要進(jìn)行DPIA義務(wù)的清單，還要制定無需進(jìn)行DPIA的清單。只有數(shù)據(jù)控制者或處理者的行為滿足了主管部門規(guī)定的正面清單要求，才能夠被豁免不需履行DPIA義務(wù)，否則數(shù)據(jù)處理行為均需要執(zhí)行DPIA方法。盡管GDPR竭盡全力從正反兩方面描述了需要進(jìn)行DPIA和不需進(jìn)行DPIA的情形，且建立了一系列具體的清單，但相較于數(shù)據(jù)控制者或處理者紛繁復(fù)雜的數(shù)據(jù)處理過程來說，DPIA在具體適用過程中的規(guī)定仍然較為模糊和有限，企業(yè)在實(shí)際數(shù)據(jù)處理過程中究竟何時(shí)需要進(jìn)行DPIA在法律框架內(nèi)仍需結(jié)合監(jiān)管機(jī)構(gòu)和數(shù)據(jù)保護(hù)官的意見。

（二）數(shù)據(jù)控制者或處理者實(shí)施DPIA的基本要求

歐盟GDPR框架數(shù)據(jù)控制者或處理者主動(dòng)執(zhí)行DPIA的基本流程主要包含以下四個(gè)步驟（見圖1）：（1）對(duì)是否可能造成高風(fēng)險(xiǎn)的判斷；（2）對(duì)是否適用于例外情形的判斷；（3）執(zhí)行 DPIA方法；（4）對(duì)剩余風(fēng)險(xiǎn)是否仍然高的判斷，而后數(shù)據(jù)控制者或處理者再?zèng)Q定是否執(zhí)行DPIA。

圖1 DPIA 制度的基本流程

首先，在進(jìn)行DPIA之前，數(shù)據(jù)控制者或處理者應(yīng)當(dāng)充分考慮其數(shù)據(jù)處理行為是否屬于GDPR第35條第（1）（3）（4）款所提到的高風(fēng)險(xiǎn)行為。若數(shù)據(jù)處理過程不涉及高風(fēng)險(xiǎn)行為，則無需進(jìn)行DPIA。即便屬于高風(fēng)險(xiǎn)行為，若數(shù)據(jù)處理過程被列入GDPR第35條第（5）（10）款中監(jiān)管機(jī)構(gòu)制定的無需進(jìn)行DPIA清單，數(shù)據(jù)控制者或處理者也無需進(jìn)行DPIA。這種情況的前提是數(shù)據(jù)處理過程嚴(yán)格在清單所提及的程序范圍內(nèi)，且繼續(xù)數(shù)據(jù)處理過程應(yīng)完全符合GDPR的所有相關(guān)要求。

其次，若存在以下三種情形，也應(yīng)當(dāng)進(jìn)行DPIA：（1）數(shù)據(jù)保護(hù)官及監(jiān)管機(jī)構(gòu)認(rèn)為數(shù)據(jù)處理過程需要進(jìn)行DPIA時(shí)，且數(shù)據(jù)控制者或處理者應(yīng)當(dāng)將相關(guān)建議如實(shí)記錄在DPIA中；（2）數(shù)據(jù)控制者或處理者在進(jìn)行DPIA時(shí)，應(yīng)當(dāng)合理考慮其對(duì)第40條所規(guī)定的已生效的行為準(zhǔn)則的遵守，比如已經(jīng)生效的歐盟成員國、行業(yè)協(xié)會(huì)等機(jī)構(gòu)制定的行為準(zhǔn)則等；（3）在不影響商業(yè)利益公共利益、數(shù)據(jù)處理操作的安全性的前提下，數(shù)據(jù)主體預(yù)期數(shù)據(jù)處理進(jìn)行DPIA時(shí)，應(yīng)當(dāng)充分考慮、咨詢數(shù)據(jù)主體對(duì)于數(shù)據(jù)處理的觀點(diǎn)，如果數(shù)據(jù)控制者或處理者的最終決定與數(shù)據(jù)主體的觀點(diǎn)不同，則應(yīng)記錄其進(jìn)行或不進(jìn)行DPIA的原因。

最后，執(zhí)行DPIA并不是一勞永逸的，而是一個(gè)動(dòng)態(tài)監(jiān)管的過程。為了管理關(guān)于自然人的權(quán)利和自由的風(fēng)險(xiǎn)，在對(duì)風(fēng)險(xiǎn)進(jìn)行一次識(shí)別、分析、評(píng)估、處理后還應(yīng)當(dāng)進(jìn)行定期審查。數(shù)據(jù)控制者或處理者并不能以已經(jīng)執(zhí)行DPIA來抗辯其數(shù)據(jù)保護(hù)義務(wù)和責(zé)任。因此，若進(jìn)行DPIA后仍顯示出較高的剩余風(fēng)險(xiǎn)，如數(shù)據(jù)控制者或處理者涉及數(shù)據(jù)的共享、數(shù)據(jù)跨境傳輸或軟件更新后，他們可能進(jìn)行DPIA后仍會(huì)顯示高風(fēng)險(xiǎn)。此時(shí)數(shù)據(jù)控制者或處理者需要咨詢監(jiān)管機(jī)構(gòu)。在數(shù)據(jù)控制者或處理者提供DPIA后，監(jiān)管機(jī)構(gòu)應(yīng)在規(guī)定限期內(nèi)向其提供書面建議。

三、歐盟建構(gòu)DPIA制度的實(shí)踐與動(dòng)因解析

（一）基于企業(yè)合規(guī)的需要

DPIA制度堪稱一項(xiàng)保障企業(yè)數(shù)據(jù)合規(guī)的工具。企業(yè)向數(shù)據(jù)主體展示數(shù)據(jù)控制者或處理者的責(zé)任制度，甚至向數(shù)據(jù)主體公開DPIA模板，有利于獲取數(shù)據(jù)主體的信任。試舉兩例如下：

Knuddels.de是德國的一家社交平臺(tái)。2018年，因未采取任何保障措施，80萬封電子郵件地址和180多萬個(gè)用戶名和密碼被黑客以明文形式公布在互聯(lián)網(wǎng)上。Knuddels.de平臺(tái)在處理大量用戶數(shù)據(jù)前，未進(jìn)行數(shù)據(jù)保護(hù)影響評(píng)估，德國數(shù)據(jù)保護(hù)當(dāng)局決定對(duì)其處2萬歐元的罰款[5]。

2020年芬蘭數(shù)據(jù)保護(hù)申訴專員辦公室對(duì)違規(guī)處理員工位置數(shù)據(jù)的開曼?韋西公司處以16 000歐元的罰款。該公司使用車輛信息系統(tǒng)跟蹤車輛來分析其員工的位置數(shù)據(jù)，且在處理之前未進(jìn)行DPIA，其數(shù)據(jù)處理過程涉嫌侵犯員工隱私[6]。根據(jù)不同的違規(guī)使用數(shù)據(jù)行為，GDPR第83條定義了兩類處罰標(biāo)準(zhǔn)，第一等級(jí)最高可處以1 000萬歐元，或上一財(cái)年全球營業(yè)額2%的行政處罰，以較高者為準(zhǔn)；第二等級(jí)最高可處以2 000萬歐元，或上一財(cái)年全球營業(yè)額4%的行政處罰，以較高者為準(zhǔn)①。

可見，數(shù)據(jù)處理過程中若企業(yè)需要進(jìn)行DPIA時(shí)未履行相關(guān)義務(wù)，可能會(huì)因違反GDPR而面臨十分嚴(yán)厲的執(zhí)法處罰?？梢哉f，進(jìn)行DPIA并發(fā)布數(shù)據(jù)評(píng)估報(bào)告是證明企業(yè)遵守了GDPR的一種廣泛性合規(guī)手段。因此，對(duì)可能個(gè)人數(shù)據(jù)造成高風(fēng)險(xiǎn)的數(shù)據(jù)處理過程開展DPIA，不僅能夠降低對(duì)數(shù)據(jù)主體合法權(quán)益的不利影響，而且出于審慎經(jīng)營的目的，執(zhí)行DPIA能夠?yàn)槠髽I(yè)的聲譽(yù)維護(hù)和品牌建設(shè)等帶來更為廣泛的利益。

（二）基于人權(quán)保護(hù)的需要

進(jìn)行DPIA不僅是基于企業(yè)合規(guī)的要求，更是保障特殊群體人權(quán)的重要措施。2018年7月17日，葡萄牙數(shù)據(jù)監(jiān)管機(jī)構(gòu)（CNPD）對(duì)違反了“數(shù)據(jù)最小化原則”的Barreiro醫(yī)院處以40萬歐元的罰款。Barreiro因?yàn)閷⑴R床數(shù)據(jù)的訪問權(quán)限分開，在傳送患者醫(yī)療數(shù)據(jù)前未進(jìn)行DPIA，導(dǎo)致患者臨床數(shù)據(jù)泄露[7]。

2020年，挪威數(shù)據(jù)保護(hù)局對(duì)Raelingen市處以47,500歐元的行政罰款。該市市政當(dāng)局使用了一款名為Showbie的app處理有特殊需要的兒童健康數(shù)據(jù)，但在應(yīng)用程序投入使用之前，未盡到數(shù)據(jù)安全保障義務(wù)，導(dǎo)致未被處理的其他兒童的個(gè)人數(shù)據(jù)大面積泄露。早在2018年12月，挪威數(shù)據(jù)監(jiān)察局就因卑爾根市違反挪威隱私條例對(duì)其處以了17萬歐元的處罰。挪威數(shù)據(jù)監(jiān)察局認(rèn)為卑爾根市小學(xué)使用的計(jì)算機(jī)系統(tǒng)中的個(gè)人數(shù)據(jù)安全性不夠，導(dǎo)致卑爾根市35 000多名用戶（主要是兒童）的用戶名和密碼文件被泄露。2019年4月29日，挪威數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)對(duì)奧斯陸市教育局做出200萬挪威克朗（約20.3萬歐元或153萬人民幣）處罰決定[8]。

2019年8月20日，瑞典數(shù)據(jù)檢查局對(duì)Anderstorps高中處以20萬瑞典克朗，約合2萬歐元的罰款。盡管Anderstorps高中在處理學(xué)生人臉識(shí)別信息時(shí)已經(jīng)征得了其監(jiān)護(hù)人的同意，但依舊有導(dǎo)致學(xué)生出勤信息被泄露的風(fēng)險(xiǎn)。學(xué)校的數(shù)據(jù)處理行為既未進(jìn)行事前評(píng)估，也沒有事先咨詢?nèi)鸬鋽?shù)據(jù)保護(hù)機(jī)構(gòu)。因此，瑞典數(shù)據(jù)檢查局認(rèn)為，學(xué)校不能以監(jiān)護(hù)人事前同意作為其數(shù)據(jù)處理行為合法性的基礎(chǔ)[9]。

綜上，對(duì)待特殊主體的數(shù)據(jù)尤其是弱勢(shì)群體如兒童數(shù)據(jù)、健康醫(yī)療數(shù)據(jù)的安全，歐洲國家的監(jiān)管當(dāng)局的態(tài)度相當(dāng)嚴(yán)厲。數(shù)據(jù)控制者或處理者在對(duì)弱勢(shì)群體的相關(guān)數(shù)據(jù)進(jìn)行處理前應(yīng)當(dāng)格外謹(jǐn)慎，包括但不限于實(shí)施對(duì)數(shù)據(jù)進(jìn)行DPIA、匿名化處理、通過區(qū)塊鏈等技術(shù)對(duì)共享數(shù)據(jù)進(jìn)行保護(hù)、定期測(cè)試和評(píng)估處理過程的有效性等措施，以防止重大安全漏洞。

（三）基于經(jīng)濟(jì)高質(zhì)量發(fā)展的需要

2022年4月21日，美國商務(wù)部宣布將成立全球跨境隱私規(guī)則論壇（CBPR）。CBPR宣言聲明建立的論壇“以促進(jìn)互操作性”，并“在數(shù)據(jù)保護(hù)和隱私的不同監(jiān)管方法之間架起橋梁”。目標(biāo)包括基于亞太經(jīng)合組織CBPR和PRP系統(tǒng)的認(rèn)證體系，定期審查成員的數(shù)據(jù)保護(hù)和隱私標(biāo)準(zhǔn)，以及促進(jìn)與其他數(shù)據(jù)保護(hù)和隱私框架的互操作性。根據(jù)其運(yùn)營目標(biāo)，論壇成員將進(jìn)行磋商和交換意見，并分享研究、分析和政策想法。宣言指出，參與“原則上旨在向那些接受論壇目標(biāo)的司法管轄區(qū)開放”，成員共識(shí)將決定未來的參與。

可見，全球化經(jīng)濟(jì)時(shí)代，企業(yè)若想走向國際市場(chǎng)，實(shí)現(xiàn)長足發(fā)展，將世界各國的數(shù)據(jù)保護(hù)規(guī)則合規(guī)落地是必不可少的環(huán)節(jié)。如GDPR適用長臂管轄原則，若信息的采集和處理過程均是在歐盟境外完成，則GDPR不適用。但是，如果數(shù)據(jù)是企業(yè)通過提供面向歐盟的服務(wù)而在線收集而來的，則受到GDPR的管轄。例如，某App有德語版本，并在德國宣傳其可為德國游客在中國的旅行提供服務(wù)，則該德國用戶的數(shù)據(jù)需受GDPR管轄。

由此推論，我國外向型涉數(shù)字類企業(yè)應(yīng)實(shí)行數(shù)據(jù)保護(hù)的思路轉(zhuǎn)換，協(xié)調(diào)各國數(shù)據(jù)保護(hù)法律的一致性。在處理敏感數(shù)據(jù)、利用數(shù)據(jù)進(jìn)行自動(dòng)化決策等高風(fēng)險(xiǎn)處理活動(dòng)時(shí)，嚴(yán)格依法落實(shí)事前數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估制度，對(duì)于企業(yè)和相關(guān)監(jiān)管部門發(fā)現(xiàn)潛在的數(shù)據(jù)安全風(fēng)險(xiǎn)，具有十分重要的意義。

2021年7月22日，荷蘭數(shù)據(jù)保護(hù)局決定對(duì)短視頻社交平臺(tái)TikTok（“抖音”國際版）處以75萬歐元的罰款。這一事件意味著GDPR實(shí)施三年以來，中國企業(yè)（包括其控制的海外平臺(tái)）第一次因違反GDPR相關(guān)條款而遭受處罰，具有一定標(biāo)志性意義[10]。

本案中，罰金之所以為75萬歐元，是因?yàn)楹商m為執(zhí)行GDPR而制定了適用本國企業(yè)的認(rèn)定規(guī)則《2019年行政處罰管理規(guī)則》，相對(duì)于GDPR的處罰規(guī)定優(yōu)先適用。如果荷蘭沒有制定此類處罰管理規(guī)則，Tiktok理論上將自動(dòng)適用GDPR第83條第（4）款的規(guī)定，即高達(dá)1 000萬歐元或前一年全球營業(yè)額總額的2%的行政罰款。實(shí)際上，歐盟成員國制定這類在本國適用的處罰管理規(guī)則并不多見。同時(shí)，荷蘭對(duì)Tiktok進(jìn)行處罰后，引起了一系列的連鎖反應(yīng)，歐盟其他成員國對(duì)Tiktok是否侵害其境內(nèi)兒童的隱私問題也開始進(jìn)行調(diào)查，所有調(diào)查結(jié)束后，Tiktok所面臨的處罰總額可能更大。

因此，上市公司對(duì)可能出現(xiàn)的數(shù)據(jù)違規(guī)行為進(jìn)行總結(jié)，在公布隱私政策時(shí)，考慮不同數(shù)據(jù)主體的特殊性進(jìn)而進(jìn)行事前的數(shù)據(jù)風(fēng)險(xiǎn)評(píng)估，加強(qiáng)內(nèi)部合規(guī)管理的制度建設(shè)，不僅是企業(yè)在海外市場(chǎng)長足發(fā)展的重要舉措，同時(shí)，對(duì)我國有效防控市場(chǎng)風(fēng)險(xiǎn)、提高經(jīng)濟(jì)發(fā)展質(zhì)量、打造有韌性有活力的資本市場(chǎng)也具有重要而深遠(yuǎn)的意義。

（四）基于國家安全的需要

2007年Facebook增加了開放應(yīng)用接口以增加用戶App使用時(shí)間，用戶授權(quán)后可對(duì)用戶的姓名、性別、政治立場(chǎng)等個(gè)人信息進(jìn)行收集。劍橋分析（Cambridge Analytica）是英國一家數(shù)據(jù)分析公司，其開發(fā)了一款針對(duì)選民的測(cè)試軟件，在用戶不知情的情況下對(duì)政治立場(chǎng)信息進(jìn)行收集，利用該測(cè)試軟件，劍橋分析公司獲得了用于分析預(yù)測(cè)用戶政治立場(chǎng)的高達(dá) 3 000 萬份問卷。受雇于特朗普的劍橋分析公司利用Facebook的用戶數(shù)據(jù)，通過客戶政治立場(chǎng)的精準(zhǔn)畫像，進(jìn)行相關(guān)廣告投放，對(duì)特朗普贏得美國總統(tǒng)大選起到了至關(guān)重要的作用。

截至2021年3月31日，作為最大出行平臺(tái)的滴滴擁有全球年活躍用戶近 5 億，平均日交易量達(dá)到4 100 萬單，每天新增數(shù)據(jù)超過108TB。而在赴美上市的審計(jì)底稿里，所有數(shù)據(jù)都是未經(jīng)過脫敏的原始數(shù)據(jù)。滴滴的用戶數(shù)據(jù)、會(huì)議記錄、電子郵件以及政府部門往來的所有機(jī)密信息的數(shù)量都是其行業(yè)中當(dāng)之無愧的第一名。2021年7月1日，滴滴在官網(wǎng)未發(fā)布任何公告、未敲鐘的情況下，在美悄悄上市。隨即中央網(wǎng)信辦以“防范風(fēng)險(xiǎn)擴(kuò)大”為由對(duì)滴滴啟動(dòng)調(diào)查程序的深入，滴滴事件一時(shí)間引爆輿論[11]。

隨著國際環(huán)境的日益復(fù)雜，實(shí)行類似DPIA制度也是貫徹落實(shí)總體國家安全觀的需要。各國數(shù)據(jù)安全保護(hù)影響評(píng)估制度都強(qiáng)調(diào)，DPIA不是一個(gè)靜態(tài)的過程，出具評(píng)估報(bào)告也不是DPIA的終結(jié)，識(shí)別和控制風(fēng)險(xiǎn)應(yīng)當(dāng)貫穿數(shù)據(jù)處理過程程序或系統(tǒng)開發(fā)生命周期的始終。對(duì)于擁有海量數(shù)據(jù)的企業(yè)來說，內(nèi)部在進(jìn)行系統(tǒng)更新或數(shù)據(jù)跨境傳輸?shù)雀唢L(fēng)險(xiǎn)處理活動(dòng)前，應(yīng)當(dāng)設(shè)立DPIA內(nèi)部審核機(jī)制，對(duì)后續(xù)的數(shù)據(jù)處理過程持續(xù)跟進(jìn)評(píng)估。對(duì)于我國相關(guān)監(jiān)管機(jī)構(gòu)來說，加強(qiáng)第三方監(jiān)督工作力度，對(duì)企業(yè)數(shù)據(jù)合規(guī)采取包括但不限于DPIA手段在內(nèi)的更加嚴(yán)格的監(jiān)管手段，探索出一條大數(shù)據(jù)時(shí)代的企業(yè)合規(guī)監(jiān)管路徑不僅是建立數(shù)據(jù)安全治理體系的需要，更是貫徹落實(shí)總體國家安全觀的必由之路。

四、歐盟DPIA制度與我國PISIA制度的異同

（一）歐盟DPIA制度與我國PISIA制度適用條件的異同

我國在個(gè)人信息安全影響評(píng)估領(lǐng)域起步較晚，從2017年開始實(shí)施的《網(wǎng)絡(luò)安全法》開始，《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》以及從民事權(quán)利角度強(qiáng)化對(duì)個(gè)人信息的保護(hù)的《民法典》相繼出臺(tái)，呈現(xiàn)出“山頂千門次第開”的景象。

2020年發(fā)布的 《信息安全技術(shù)個(gè)人信息安全影響評(píng)估指南》（GB/T 39335—2020，以下簡稱《評(píng)估指南》）在充分借鑒了美、歐等國家和地區(qū)最新法律規(guī)定、制度設(shè)計(jì)和實(shí)踐做法后，為《個(gè)人信息保護(hù)法》的實(shí)施提供了堅(jiān)實(shí)且科學(xué)的基礎(chǔ)。

《網(wǎng)絡(luò)安全法》在第17條、26條、29條、38條、53條、54條規(guī)定開展網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估活動(dòng)，對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施進(jìn)行，建立健全網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估機(jī)制，對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)信息進(jìn)行分析評(píng)估，但僅有模糊性的原則性規(guī)定，無具體的實(shí)施細(xì)則。2017年由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)制定并發(fā)布的《信息安全技術(shù)個(gè)人信息安全規(guī)范》（GB/T 35273—2017）（以下簡稱《規(guī)范》）首次提出開展 “個(gè)人信息安全影響評(píng)估”的要求，在信安標(biāo)委制定的諸多信息安全技術(shù)國家標(biāo)準(zhǔn)中，《評(píng)估指南》為數(shù)據(jù)安全影響評(píng)估提供了更為具體的方法論和指引。

2021年11月1日起施行的《個(gè)人信息保護(hù)法》為我國數(shù)據(jù)保護(hù)影響評(píng)估制度提供了法律依據(jù)?！秱€(gè)人信息保護(hù)法》第61條第（4）款規(guī)定，推進(jìn)個(gè)人信息保護(hù)社會(huì)化服務(wù)體系建設(shè)，支持有關(guān)機(jī)構(gòu)開展個(gè)人信息保護(hù)評(píng)估、認(rèn)證服務(wù)，為監(jiān)管部門執(zhí)法以及企業(yè)合規(guī)工作提供了評(píng)估原理、實(shí)施流程、評(píng)估要點(diǎn)以及參考方法?！秱€(gè)人信息保護(hù)法》及《評(píng)估指南》的出臺(tái)使我國首次有了較為權(quán)威的評(píng)估個(gè)人信息安全的方法論與路線圖。

從二者的主要內(nèi)容來看（見表2），歐盟DPIA制度側(cè)重于判斷是否可能導(dǎo)致自然人權(quán)利與自由的高風(fēng)險(xiǎn)，我國PISIA制度則列舉了更多評(píng)估場(chǎng)景的細(xì)分，如《評(píng)估指南》中列舉了4種場(chǎng)景：（1）業(yè)務(wù)模式、互聯(lián)網(wǎng)安全環(huán)境、外部環(huán)境發(fā)生重大變化；（2）發(fā)生重大個(gè)人信息安全事件；（3）發(fā)生收購、兼并、重組等；（4）其他。二者適用情況相似，并具有部分重疊，僅在側(cè)重點(diǎn)方面略有不同。

（二）歐盟DPIA制度與我國PISIA制度適用階段的異同

從二者的適用階段來看（見表3），我國PISIA制度和歐盟DPIA制度的適宜階段傾向略有不同。歐盟DPIA制度側(cè)重于個(gè)人信息處理活動(dòng)前以及持續(xù)關(guān)注風(fēng)險(xiǎn)的態(tài)度，來發(fā)現(xiàn)隨時(shí)可能發(fā)生潛在對(duì)自然人權(quán)利和自由帶來高度風(fēng)險(xiǎn)的情況。我國PISIA制度其核心思路是從四個(gè)可能存在風(fēng)險(xiǎn)或發(fā)生安全事件的維度出發(fā)，評(píng)估可能對(duì)個(gè)人權(quán)益造成的影響以及風(fēng)險(xiǎn)。

（三）歐盟DPIA制度與我國PISIA制度評(píng)估目標(biāo)的異同

從二者的評(píng)估目標(biāo)來看（見表4），歐盟DPIA制度與我國PISIA制度側(cè)重的適用階段傾向不同。歐盟DPIA制度側(cè)重于個(gè)人信息處理活動(dòng)前以及持續(xù)關(guān)注風(fēng)險(xiǎn)的態(tài)度來發(fā)現(xiàn)隨時(shí)可能發(fā)生潛在對(duì)自然人權(quán)利和自由帶來高度風(fēng)險(xiǎn)的情況。我國PISIA制度根據(jù)適用條件，按需進(jìn)行，包括不限于個(gè)人信息處理活動(dòng)的事前事中定期持續(xù)、外部因素變化等情況。

（四）歐盟DPIA制度與我國PISIA制度評(píng)估步驟對(duì)比

從二者的評(píng)估步驟來看（見圖2），歐盟DPIA制度與我國PISIA制度在評(píng)估步驟的流程上大致相同。從評(píng)估的發(fā)起主體來看，我國PISIA制度分為兩種，一種是數(shù)據(jù)控制者或處理者自行發(fā)起對(duì)個(gè)人信息處理過程的自評(píng)估，一種企業(yè)等上級(jí)組織或監(jiān)管部門對(duì)數(shù)據(jù)控制者或處理者發(fā)起的檢查評(píng)估。從評(píng)估的實(shí)施主體來看，企業(yè)既可以在內(nèi)部設(shè)置專門的法務(wù)或合規(guī)部門負(fù)責(zé)評(píng)估，也可以委托第三方專業(yè)機(jī)構(gòu)進(jìn)行評(píng)估，如網(wǎng)絡(luò)安全評(píng)估機(jī)構(gòu)、律師事務(wù)所等。

圖2 歐盟DPIA制度與我國PISIA制度評(píng)估步驟對(duì)比

（五）歐盟DPIA制度與我國PISIA制度評(píng)估產(chǎn)物的異同

從二者的評(píng)估產(chǎn)物—評(píng)估報(bào)告來看（見表5），二者的評(píng)估報(bào)告十分相似甚至有相當(dāng)部分的重疊，僅在某些細(xì)節(jié)上略有區(qū)別。歐盟DPIA制度中的評(píng)估報(bào)告對(duì)數(shù)據(jù)主體權(quán)益和自由的合規(guī)評(píng)估更加突出，而我國PISIA制度中均衡了隱私權(quán)益和信息安全保護(hù)措施，視情況會(huì)有實(shí)際安全測(cè)試、安全審計(jì)報(bào)告。相比于歐盟的DPIA制度，我國PISIA制度的評(píng)估報(bào)告的側(cè)重點(diǎn)更加突出“安全”，信息安全要素權(quán)重占比更高。在數(shù)據(jù)控制者或處理者發(fā)生數(shù)據(jù)安全事件時(shí)，盡管出具數(shù)據(jù)評(píng)估報(bào)告不能豁免企業(yè)的相關(guān)責(zé)任，但評(píng)估報(bào)告及其形成報(bào)告過程中的相關(guān)記錄，有助于減輕企業(yè)的相關(guān)責(zé)任和名譽(yù)損失，更重要的是有利于進(jìn)一步查找企業(yè)的數(shù)據(jù)安全風(fēng)險(xiǎn)的漏洞所在。

表5 歐盟DPIA制度與我國PISIA制度評(píng)估報(bào)告內(nèi)容對(duì)比

（六）歐盟DPIA制度與我國PISIA制度執(zhí)行力度的異同

從二者的執(zhí)行力度來看（見表6），我國PISIA制度的執(zhí)行力度稍顯不足。GDPR第83條定義了兩類處罰標(biāo)準(zhǔn)，第一等級(jí)最高可處以1 000萬歐元，或上一財(cái)年全球營業(yè)額2%的行政處罰，以較高者為準(zhǔn)；第二等級(jí)最高可處以2 000萬歐元，或上一財(cái)年全球營業(yè)額4%的行政處罰，以較高者為準(zhǔn)①。我國《個(gè)人信息保護(hù)法》第66條也規(guī)定了兩類處罰標(biāo)準(zhǔn)，第一種：情節(jié)較輕的，由相關(guān)部門責(zé)令改正，給予警告，沒收違法所得，責(zé)令暫停或者終止提供服務(wù)；拒不改正的，并處100萬元以下罰款；對(duì)相關(guān)責(zé)任人處1萬元以上10萬元以下罰款。第二種：情節(jié)嚴(yán)重的，由相關(guān)部門責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓或吊銷相關(guān)許可、營業(yè)執(zhí)照；并處以5 000萬元以下或者上一年度營業(yè)額5%以下罰款。對(duì)相關(guān)人員處10萬元以上100元以下罰款?！秱€(gè)人信息保護(hù)法》第68條規(guī)定了監(jiān)管機(jī)構(gòu)未履行相關(guān)責(zé)任對(duì)懲罰機(jī)制，第69條規(guī)定了數(shù)據(jù)控制者或處理者的侵權(quán)責(zé)任歸責(zé)原則采用過錯(cuò)推定原則，即個(gè)人信息處理者不能證明自己沒有過錯(cuò)的，應(yīng)當(dāng)承擔(dān)損害賠償?shù)惹謾?quán)責(zé)任。

表6 我國《個(gè)人信息保護(hù)法》相關(guān)執(zhí)法案例

僅從法律責(zé)任的規(guī)定來看，我國《個(gè)人信息保護(hù)法》通過專章設(shè)置了較為嚴(yán)格法律責(zé)任，并對(duì)違法行為實(shí)施分類處罰，為監(jiān)管執(zhí)法提供了更為明確的上位法依據(jù)。但由于《個(gè)人信息保護(hù)法》實(shí)施時(shí)間短，執(zhí)法層面相對(duì)落實(shí)不到位的情況仍然普遍存在。

盡管隨著《個(gè)人信息保護(hù)法》《規(guī)范》《評(píng)估指南》等文件的出臺(tái)，清晰地表明了我國在整體合規(guī)趨勢(shì)上的立法態(tài)度，但通過威科先行?法律信息庫對(duì)違法《個(gè)人信息保護(hù)法》的實(shí)務(wù)案件進(jìn)行搜索，我們發(fā)現(xiàn)相比于歐盟DPIA制度來說，我國相關(guān)執(zhí)法案例仍然較少，且處罰基本以警告為主，責(zé)令停產(chǎn)停業(yè)為輔，仍存在處罰過輕、執(zhí)行力度不足等問題。

五、歐盟DPIA制度對(duì)我國的鏡鑒

（一）聚焦數(shù)據(jù)安全，加快數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)的研制

隨著數(shù)字經(jīng)濟(jì)時(shí)代的到來，數(shù)據(jù)作為推動(dòng)全球經(jīng)濟(jì)高質(zhì)量增長的資源性要素，已經(jīng)成為國際競(jìng)爭(zhēng)的戰(zhàn)略制高點(diǎn)。21世紀(jì)以來，歐美等西方國家都開始著手建立本國的數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)。習(xí)近平總書記認(rèn)為“數(shù)字技術(shù)正以新理念、新業(yè)態(tài)、新模式全面融入人類經(jīng)濟(jì)、政治、文化、社會(huì)、生態(tài)文明建設(shè)各領(lǐng)域和全過程，給人類生產(chǎn)生活帶來廣泛而深刻的影響”。2022年6月22日，中央全面深化改革委員會(huì)第二十六次會(huì)議審議通過了《關(guān)于構(gòu)建數(shù)據(jù)基礎(chǔ)制度更好發(fā)揮數(shù)據(jù)要素作用的意見》，習(xí)近平總書記強(qiáng)調(diào)，數(shù)據(jù)基礎(chǔ)制度建設(shè)事關(guān)國家發(fā)展和安全大局，要維護(hù)數(shù)據(jù)安全，保護(hù)個(gè)人信息和商業(yè)秘密，促進(jìn)數(shù)據(jù)高效流通使用、賦能實(shí)體經(jīng)濟(jì)，統(tǒng)籌推進(jìn)數(shù)據(jù)產(chǎn)權(quán)、流通交易、收益分配、安全治理，加快構(gòu)建數(shù)據(jù)基礎(chǔ)制度體系[12]。利用大數(shù)據(jù)技術(shù)手段提升國家治理體系和治理能力現(xiàn)代化是大勢(shì)所趨，統(tǒng)籌數(shù)據(jù)安全和發(fā)展并重，加快數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)的研制，已經(jīng)成為構(gòu)建中國特色數(shù)據(jù)安全治理體系的必然要求。

我國數(shù)據(jù)安全行業(yè)正處于高速發(fā)展期：2018～2021年，國內(nèi)網(wǎng)絡(luò)安全市場(chǎng)整體增速約20%～23%，同期數(shù)據(jù)安全市場(chǎng)增速約30%～35%，是同期網(wǎng)安整體增速的1.5倍以上，可見數(shù)據(jù)安全市場(chǎng)在網(wǎng)安整體市場(chǎng)中占有舉足輕重的地位。2021年數(shù)據(jù)安全市場(chǎng)規(guī)模已達(dá)近70億元，未來3～5年，數(shù)據(jù)安全市場(chǎng)規(guī)模將繼續(xù)保持繼續(xù)高速增長態(tài)勢(shì)[13]。盡管我國在法律層面，已有“3法+1條例”作為支撐，但遠(yuǎn)遠(yuǎn)不能滿足市場(chǎng)需求。

數(shù)據(jù)并非可靠，偽造數(shù)據(jù)、數(shù)據(jù)失真、數(shù)據(jù)失效不僅會(huì)使得數(shù)據(jù)分析、預(yù)測(cè)失真，而且會(huì)導(dǎo)致數(shù)據(jù)在傳輸、使用、共享等過程中引發(fā)敏感信息泄露風(fēng)險(xiǎn)。隨著企業(yè)數(shù)據(jù)量和復(fù)雜性的不斷增長，數(shù)據(jù)的應(yīng)用具有范圍廣、場(chǎng)景多、過程復(fù)雜等特點(diǎn)，一旦發(fā)生數(shù)據(jù)安全事件后造成的影響不可估量。為進(jìn)一步應(yīng)對(duì)日益嚴(yán)峻的國內(nèi)外數(shù)據(jù)安全形勢(shì)，適應(yīng)新形勢(shì)下新技術(shù)、新應(yīng)用、新業(yè)態(tài)帶來的評(píng)估對(duì)象范圍、方式方法的變化，規(guī)范企業(yè)數(shù)據(jù)安全產(chǎn)品互聯(lián)互通框架、提升數(shù)據(jù)安全服務(wù)能力，加強(qiáng)新技術(shù)新應(yīng)用帶來的安全問題的風(fēng)險(xiǎn)防控，因此，加快探索并建立并研制包括數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估在內(nèi)的等一批急需關(guān)鍵標(biāo)準(zhǔn)勢(shì)在必行。

（二）加強(qiáng)行業(yè)自律，建立內(nèi)外審相結(jié)合的數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估機(jī)制

大數(shù)據(jù)具有“大量、高速、多樣、價(jià)值、真實(shí)性”即“5V”的特點(diǎn)，區(qū)別于傳統(tǒng)的單線內(nèi)、外審操作，推進(jìn)將原有的單向規(guī)制轉(zhuǎn)變?yōu)閮?nèi)外審相結(jié)合的雙向數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估，有利于在信息化時(shí)代建立執(zhí)行力度更大、速度更快、縱深和延展性更好的數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估制度。從《評(píng)估指南》中描述的評(píng)估發(fā)起主體來看，評(píng)估工作既可以由企業(yè)專門部門負(fù)責(zé)也可以由外部專業(yè)機(jī)構(gòu)開展。但無論是企業(yè)指定的內(nèi)部責(zé)任部門還是外部專業(yè)獨(dú)立第三方機(jī)構(gòu)進(jìn)行數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估工作，我們都應(yīng)當(dāng)加強(qiáng)行業(yè)自律，應(yīng)當(dāng)充分保證該部門及相關(guān)人員的獨(dú)立性，保證實(shí)施過程的客觀性，以免受到被評(píng)估方法的影響而使評(píng)估過程流于形式。

此外，GDPR第35條第（1）款規(guī)定，“一次評(píng)估可能涉及一組具有類似高風(fēng)險(xiǎn)的類似處理操作”①。例如全國鐵路運(yùn)營商可以采用統(tǒng)一的數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估流程、全國售樓處可以使用統(tǒng)一的數(shù)據(jù)安全評(píng)析評(píng)估流程等，以減少對(duì)自然人的肖像權(quán)等權(quán)利造成高風(fēng)險(xiǎn)的情況發(fā)生。構(gòu)建不同行業(yè)數(shù)據(jù)的制式評(píng)估流程相比于企業(yè)對(duì)單個(gè)數(shù)據(jù)處理流程能夠大大提高數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估的效率。

在我國尚未研制出數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)以及建立起基本的數(shù)據(jù)保護(hù)法律體系框架之前，由各省市出臺(tái)因地制宜的政策，行業(yè)協(xié)會(huì)及頭部企業(yè)充分發(fā)揮其協(xié)調(diào)、帶頭作用，探索出針對(duì)行業(yè)共性問題的解決方案。相關(guān)行業(yè)協(xié)會(huì)應(yīng)帶頭建立起本行業(yè)的大數(shù)據(jù)審計(jì)平臺(tái)和數(shù)據(jù)運(yùn)營管理機(jī)制，利用數(shù)據(jù)湖架構(gòu)搜集和存儲(chǔ)企業(yè)內(nèi)、外部結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)，對(duì)行業(yè)數(shù)據(jù)全生命周期的風(fēng)險(xiǎn)進(jìn)行事前防控。如針對(duì)擁有客戶靜態(tài)資產(chǎn)數(shù)據(jù)以及動(dòng)態(tài)交易數(shù)據(jù)最多的銀行業(yè)，其涉及的業(yè)務(wù)之多、范圍之廣、關(guān)系之復(fù)雜是其他行業(yè)無法比擬的，行業(yè)協(xié)會(huì)在保障儲(chǔ)戶金融數(shù)據(jù)安全方面具有義不容辭的責(zé)任。行業(yè)協(xié)會(huì)應(yīng)當(dāng)帶頭建立起包括采集、加工、轉(zhuǎn)換、存儲(chǔ)、交換、關(guān)聯(lián)、共享和管理的全過程數(shù)據(jù)安全風(fēng)險(xiǎn)防控機(jī)制。

因此，行業(yè)協(xié)會(huì)可以建立本行業(yè)的數(shù)據(jù)處理統(tǒng)一平臺(tái)（見圖3）。此平臺(tái)應(yīng)加大人工智能、MySQL、HIVE打標(biāo)與自動(dòng)掃描、算法黑箱等流程自動(dòng)化工具的使用，以實(shí)現(xiàn)全面提升數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估質(zhì)效的目標(biāo)。相關(guān)人工智能技術(shù)可以幫助人員完成外部數(shù)據(jù)采集、比對(duì)分析、系統(tǒng)安全檢查以及數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估底稿采編等重復(fù)性的事務(wù)工作。通過相關(guān)技術(shù)采用文字識(shí)別、人臉識(shí)別、語音識(shí)別等技術(shù)還能夠?qū)?shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估中的海量文本、電子證照、錄音等非結(jié)構(gòu)化數(shù)據(jù)的全樣本檢查后，形成隱形的數(shù)據(jù)關(guān)系，為人工審核提供了一條基于數(shù)據(jù)的風(fēng)險(xiǎn)和識(shí)別路徑。此外，通過對(duì)機(jī)器學(xué)習(xí)模型后的結(jié)果展開進(jìn)一步分析，可以擴(kuò)展原有的行業(yè)各類數(shù)據(jù)模型的范圍并提高其數(shù)據(jù)風(fēng)險(xiǎn)識(shí)別精度。加強(qiáng)行業(yè)自律、發(fā)揮企業(yè)的主觀能動(dòng)性。采用國家標(biāo)準(zhǔn)與行業(yè)自律相結(jié)合的方式，才是我國建立內(nèi)外審相結(jié)合的數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估機(jī)制的最佳選擇。

圖3 行業(yè)統(tǒng)一平臺(tái)進(jìn)行全量風(fēng)險(xiǎn)排查示意圖

（三）推進(jìn)閾值分析，全面推進(jìn)數(shù)據(jù)分類分級(jí)制度的落地應(yīng)用

就我國而言，盡管《評(píng)估指南》規(guī)定了在開展評(píng)估前，需要對(duì)評(píng)估的對(duì)象形成清晰的數(shù)據(jù)清單及數(shù)據(jù)映射圖表，但尚未建立起提高PISIA可操作性的“小規(guī)?！睌?shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估機(jī)制。歐盟DPIA在英國應(yīng)用時(shí)，英國并未將其規(guī)定為一項(xiàng)強(qiáng)制性義務(wù)，而是用隱私閾值分析（PTA）工具來確定英國進(jìn)行“全面PIA”還是小規(guī)?！癙IA”[14]。通過PTA 發(fā)現(xiàn)，如果只有一個(gè)或兩個(gè)方面引起隱私問題，那么可以通過小規(guī)模 PIA來解決這些問題；如果多個(gè)問題的答案是肯定的，則需要全面的 PIA。

DPIA在實(shí)踐中最大的痛點(diǎn)和難點(diǎn)即在一般的企業(yè)場(chǎng)景中，觸發(fā)DPIA的概率并不算高，但啟動(dòng)DPIA的成本卻很高。若對(duì)于具體數(shù)據(jù)評(píng)估的必要性存在模糊性和較大的不確定性，就難免存在數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估疏漏、實(shí)效性差的情況，數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估就很有可能陷入被動(dòng)和低效。因此，我國可以借鑒英國經(jīng)驗(yàn)，通過 PTA 來記錄已經(jīng)進(jìn)行數(shù)據(jù)處理行為，進(jìn)行閾值分析，推動(dòng)數(shù)據(jù)分類分級(jí)制度的落地，不僅有利于全面提高數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估質(zhì)效，而且已經(jīng)成為數(shù)字經(jīng)濟(jì)時(shí)代數(shù)據(jù)治理的必選題。

通過數(shù)據(jù)分類對(duì)不同數(shù)據(jù)資產(chǎn)進(jìn)行編目、標(biāo)準(zhǔn)化，為數(shù)據(jù)進(jìn)行確權(quán)、管理數(shù)據(jù)安全風(fēng)險(xiǎn)、責(zé)任數(shù)據(jù)安全落實(shí)等提供依據(jù)；通過數(shù)據(jù)分級(jí)將數(shù)據(jù)根據(jù)敏感程度和遭到篡改、破壞、泄露或非法利用后對(duì)社會(huì)的影響程度按照一定的原則和方法進(jìn)行排序，為數(shù)據(jù)資產(chǎn)的共享、利用、數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估提供依據(jù)。實(shí)施數(shù)據(jù)分類分級(jí)要以業(yè)務(wù)為基礎(chǔ)，以技術(shù)為支撐，利用數(shù)據(jù)標(biāo)簽技術(shù)、知識(shí)圖譜技術(shù)進(jìn)行系統(tǒng)自動(dòng)化掃描簡化數(shù)據(jù)分類分級(jí)的過程，根據(jù)預(yù)定參數(shù)對(duì)數(shù)據(jù)進(jìn)行分類分級(jí)。數(shù)據(jù)分類分級(jí)制度的落地，將對(duì)企業(yè)的數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估起到指引作用。哪些數(shù)據(jù)可以使用，哪些不可以使用，哪些能夠?qū)ν忾_放，哪些不能對(duì)外開放，不同等級(jí)的數(shù)據(jù)在不同場(chǎng)景使用哪種數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估策略將一目了然。

數(shù)據(jù)分類分級(jí)不僅是企業(yè)安全合規(guī)使用數(shù)據(jù)的基礎(chǔ)，更是提升數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估質(zhì)效的良方。最小化數(shù)據(jù)風(fēng)險(xiǎn)和提升數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估質(zhì)效之間采取保持一種復(fù)雜而微妙的動(dòng)態(tài)平衡，兼顧效率和公平，是推動(dòng)我國數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估機(jī)制建立的關(guān)鍵所在。

（四）建立咨詢制度，構(gòu)筑全方位立體化監(jiān)管體系

歐盟DPIA制度一改傳統(tǒng)數(shù)據(jù)保護(hù)的靜態(tài)監(jiān)管模式，由于存在數(shù)量可觀的數(shù)據(jù)處理行為，且信息傳播風(fēng)險(xiǎn)具有廣泛性和未知性，相比于事后懲戒機(jī)制，數(shù)據(jù)保護(hù)影響評(píng)估機(jī)制注重?fù)p害發(fā)生前的評(píng)估和管理，是數(shù)據(jù)保護(hù)的最佳方案。

相比于歐盟的 DPIA 制度，我國《評(píng)估指南》在評(píng)估流程設(shè)計(jì)上缺乏根據(jù)實(shí)際風(fēng)險(xiǎn)程度決定是否向監(jiān)管機(jī)構(gòu)進(jìn)行咨詢的事前咨詢制度?！秱€(gè)人信息保護(hù)法》第64條僅對(duì)執(zhí)法部門在發(fā)現(xiàn)個(gè)人信息處理活動(dòng)存在較大風(fēng)險(xiǎn)以及信息安全事件后的補(bǔ)救措施進(jìn)行規(guī)定，卻未對(duì)數(shù)據(jù)控制者或處理者在未發(fā)生數(shù)據(jù)安全事件前的事前咨詢、上報(bào)風(fēng)險(xiǎn)等作出相關(guān)規(guī)定。數(shù)據(jù)控制者或處理者向監(jiān)管機(jī)構(gòu)進(jìn)行事前咨詢、上報(bào)風(fēng)險(xiǎn)并尋求建議等過程，必然能夠大大提升數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估的實(shí)施過程的實(shí)效性[15]。盡管《個(gè)人信息保護(hù)法》第60條規(guī)定，由國家網(wǎng)信部門負(fù)責(zé)統(tǒng)籌，國務(wù)院相關(guān)部門以及縣級(jí)以上地方人民政府有關(guān)部門進(jìn)行監(jiān)督管理，但面對(duì)如此權(quán)責(zé)不清、管轄競(jìng)合，監(jiān)管主體缺位的問題依然存在。

從實(shí)踐來看，由于審計(jì)線索不足而導(dǎo)致的數(shù)據(jù)泄露是危害數(shù)據(jù)安全的重要因素之一，監(jiān)控整個(gè)組織中的數(shù)據(jù)操作是追查取證的重要手段。一旦無法監(jiān)視數(shù)據(jù)和操作合規(guī)性異常、無法收集數(shù)據(jù)活動(dòng)審計(jì)的詳細(xì)信息，就會(huì)造成數(shù)據(jù)泄露無法追溯，產(chǎn)生嚴(yán)重的組織風(fēng)險(xiǎn)。數(shù)據(jù)安全審計(jì)是指審計(jì)機(jī)關(guān)遵循大數(shù)據(jù)理念，運(yùn)用數(shù)據(jù)技術(shù)方法和工具，利用數(shù)量巨大、來源分散、格式多樣的經(jīng)濟(jì)社會(huì)運(yùn)行數(shù)據(jù)，開展跨層級(jí)、跨地域、跨系統(tǒng)、跨部門和跨業(yè)務(wù)的深入挖掘與分析，提升審計(jì)監(jiān)督能力和效率?！毒W(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例（征求意見稿）》第58條中提出，國家建立數(shù)據(jù)安全審計(jì)制度?？梢?，我國可以考慮建立通過委托第三方機(jī)構(gòu)對(duì)包括但不限于企業(yè)的數(shù)據(jù)安全情況、自身承諾執(zhí)行情況以及數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估情況進(jìn)行合規(guī)審計(jì)的數(shù)據(jù)安全審計(jì)制度。審計(jì)標(biāo)準(zhǔn)可以參考，如中國注冊(cè)會(huì)計(jì)師協(xié)會(huì)、國際標(biāo)準(zhǔn)化組織認(rèn)證制度或具有公認(rèn)的隱私數(shù)據(jù)認(rèn)證，以及符合國際標(biāo)準(zhǔn)化組織IEC17020質(zhì)量管理體系標(biāo)準(zhǔn)[16]。

因此，建議國家建立統(tǒng)一的數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估處理平臺(tái)，企業(yè)將具有法律效力的數(shù)據(jù)安全審計(jì)報(bào)告上傳至統(tǒng)一平臺(tái)，將負(fù)責(zé)個(gè)人信息保護(hù)的部門業(yè)務(wù)進(jìn)一步細(xì)化，構(gòu)筑一個(gè)廣泛使用、橫縱交織的數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估監(jiān)管體系，如此方能兼顧可操作性和經(jīng)濟(jì)性、效率和公平。

六、結(jié)語

區(qū)別于傳統(tǒng)的風(fēng)險(xiǎn)評(píng)估，歐盟DPIA制度通過直接設(shè)定個(gè)人數(shù)據(jù)處理環(huán)節(jié)的具體行為規(guī)范，即直接明確“規(guī)定動(dòng)作”，要求數(shù)據(jù)控制者或處理者通過事前評(píng)估“規(guī)定動(dòng)作”得出“自選動(dòng)作”。其超越“靜態(tài)底線式”的風(fēng)險(xiǎn)保護(hù)路徑，對(duì)日益復(fù)雜化、泛在化、鏈條化的數(shù)據(jù)處理活動(dòng)的數(shù)據(jù)風(fēng)險(xiǎn)防控起到了至關(guān)重要的作用，從而取得動(dòng)態(tài)優(yōu)化式的權(quán)益保護(hù)效果。在我國以數(shù)字經(jīng)濟(jì)轉(zhuǎn)型推動(dòng)經(jīng)濟(jì)高質(zhì)量發(fā)展的宏觀背景下，借鑒歐盟DPIA制度是我國完善數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)、構(gòu)建數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估制度的可行途徑。這也是強(qiáng)化安全等級(jí)保護(hù)、完善數(shù)字經(jīng)濟(jì)治理的必然要求。我國在實(shí)施《數(shù)據(jù)安全法》時(shí)，應(yīng)結(jié)合實(shí)踐情況不斷完善評(píng)估流程設(shè)計(jì)、構(gòu)建全方位監(jiān)管體系，以提升數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估質(zhì)效、全面維護(hù)國家數(shù)據(jù)安全。

注釋

① Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (GDPR).

② PbD 即“Privacy by Design”的縮寫，其字面意思是“隱私保護(hù)設(shè)計(jì)”。PbD是目前國際隱私保護(hù)實(shí)踐中所共同推崇的理念，它是個(gè)人信息保護(hù)鏈條上的第一環(huán)，要求以技術(shù)手段運(yùn)用到產(chǎn)品和服務(wù)的形態(tài)設(shè)計(jì)中。GDPR第25條明確要求，數(shù)據(jù)控制者應(yīng)須遵守“設(shè)計(jì)及默認(rèn)的數(shù)據(jù)保護(hù)”（data protection by design and by default,“DPbDD”）義務(wù)，并采取適當(dāng)?shù)拇胧┖捅匾谋Ｕ稀?/p>