本文来自微信公众号“互联网与社会发展研究中心”,作者/朱芹瑾,宁波大学法学院2022级法律硕士。
《个人信息保护法》第55条
——个人信息保护影响评估制度
在《个人信息保护法》制定前,个人信息保护影响评估制度仅见于《个人信息安全规范》《个人信息安全影响评估指南》等国家标准中。本条与本法第56条首次在立法层面建立起较为完整统一的个人信息保护影响评估机制。
一、个人信息保护影响评估制度的概述
个人信息保护影响评估制度是对特定类型的可能对个人权益造成重大影响的高风险信息处理活动进行合规及风险等评估,以实现对侵害个人信息行为的事先预防,提前消除危险,预防侵害个人权益后果的发生。
与本条“个人信息保护影响评估”概念类似的,是《个人信息安全影响评估指南》《个人信息安全规范》规定的“安全影响评估”。其中,《个人信息安全影响评估指南》对“个人信息安全影响评估的定义为“针对个人信息处理活动,检验其合法合规程度,判断其对个人信息主体合法权益造成损害的各种风险,以及评估用于保护个人信息主体的各项措施有效性的过程”。
二、个人信息保护影响评估制度的功能
1.检验对个人信息处理是否合规。个人信息保护影响评估的功能之一就在于通过对拟开展的个人信息处理活动进行事前合规评估,能够及时发现违规之处,从而提升个人信息处理合规水平,达到减少高额罚款等后果。
2.识别并降低个人信息安全风险。在对个人信息处理过程中会存在或高或低的安全风险,而关键在于将风险控制到可接受的低水平。如果对个人信息流通进行严格的限制,不符合数据时代要求。个人信息保护影响评估是有效的风险评估工具,通过前移保护关口,有利于提早发现个人信息处理行为可能存在的风险和造成的不利影响,从而有针对性地设计业务流程并采取防范措施。
3.减轻或免除个人信息处理责任。通过实施个人信息保护影响评估,不仅可以增强个人信息处理者的风险管理能力,而且还有助于减轻或免除个人信息处理责任。对于民事责任,《个人信息保护法》第69条确立了个人信息侵权的过错推定责任,即个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任;对于行政责任,《个人信息保护法》没有确立归责原则,一般应适用《行政处罚法》确立的过错推定原则,即当事人有证据足以证明没有主观过错的就不予处罚。如果个人信息处理者能证明自己过错较小或没有过错,相应的民事责任或行政责任就应当减轻或免除。个人信息保护影响评估处理记录,是证明个人信息处理者合规处理个人信息的重要证据,在发生纠纷或损害时,可以通过调取记录,发现个人信息处理者进行了有效的个人信息保护影响评估,对识别的风险采取了相应的保护措施,能够减轻或免除个人信息处理者的责任。
