个人信息保护影响评估主要任务清单

一、整合不同情形下要求的个人信息保护影响评估

随着网信办对个人信息出境安全评估报批/备案设置了整改期限，出境安全评估成为当下的一个热点。但是值得注意的是，并不是只有在个人信息出境的情况下才需要进行个人信息保护影响评估。

根据《个人信息保护法》第55条，有下列情形之一的，个人信息处理者应当事前进行个人信息保护影响评估，并对处理情况进行记录：

处理敏感个人信息；
利用个人信息进行自动化决策；
委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息；
向境外提供个人信息；
其他对个人权益有重大影响的个人信息处理活动。

从合规的角度看，个人信息保护影响评估不仅局限于数据出境的情形。违反个人信息保护法可能会造成严重的法律责任，包括责令改正、警告、没收违法所得、高达5000万以下或者上一年度营业额百分之五以下罚款、吊销营业执照等处罚。

此外，从数据合规项目的全局看，同一个数据流转过程可能会涉及法律要求做出个人信息保护影响评估的不同情形，因此可以考虑是否同时进行出境评估和其他情形下的评估，这样就避免针对不同情形重复进行评估。

二、个人信息保护影响评估的主要任务

根据《个人信息保护法》第56条规定，个人信息保护影响评估应当包括下列内容：(1)个人信息的处理目的、处理方式等是否合法、正当、必要；(2)对个人权益的影响及安全风险；(3)所采取的保护措施是否合法、有效并与风险程度相适应。

这条规定构成了个人信息保护影响评估的一个主线，适用于上述各种情形下需要进行的评估。围绕着这条主线，笔者将个人信息保护影响评估的主要步骤和任务简述如下：

1. 梳理数据处理者和接收方的数据处理情况

公司首先要对不同场景中的数据处理进行梳理，针对个人信息保护法的评估要求和网信办的自评估模板准备问题清单，并收集有关信息。这些信息包括：数据种类、范围、数量和频率；信息主体的数量和种类；收集目的；信息的流转过程以及公司和信息接收方在信息处理过程中的角色等。

数据梳理是重要的一个基础环节，既是合规工作的一部分，也是判断是否需要进行个人信息保护影响评估、需要采取何种技术措施和合同措施、如何起草相关法律文件的一个重要依据。

2. 梳理数据处理者和接收方的技术措施和管理措施

梳理数据处理者和接收方的技术措施和管理措施不仅是个人信息保护影响评估中的必备内容，而且也有助于公司根据有关法律法规的规定对管理制度进行查漏补缺，并了解数据接收方的数据安全保障能力。

技术措施包括数据收集、存储、使用、加工、传输、提供、公开、删除等全流程所采取的安全技术措施（例如加密、去标识）等。数据安全保障措施有效性证明也可以作为安全技术能力的佐证，例如开展的数据安全风险评估、数据安全能力认证、数据安全检查测评、数据安全合规审计、网络安全等级保护测评等。

管理措施包括管理组织体系和制度建设情况，包括(1)建立便捷的个人行使权利的申请和受理机制；(2)对全流程管理、分类分级、应急处置、风险评估、合规审计等制定内部管理制度和操作规程；(3)处理个人信息达到网信办规定数量的个人信息处理者应当指定个人信息保护负责人；(4)定期对从业人员进行安全教育和培训。

3. 梳理合同措施

在个人信息梳理的基础上，公司需要进一步判断个人信息保护影响评估是否必要，是否需要履行告知、获得同意的义务，数据处理条款/合同是否符合个人信息保护法的要求并且适当分配各方的个人信息保护责任。一般而言，数据处理合同包括以下内容：

(1) 数据种类、数据处理的目的、方式和数据范围；

(2) 数据存储地点和期限；

(3) 在数据收集中的具体职责划分：明确数据处理者和非处理者的角色，明确谁向受试者披露个人信息保护规则和获取知情同意，回应受试者的权利请求等；

(4) 数据处理的具体要求，比如各方为确保数据安全应当采取的组织和技术措施；数据遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等风险时，妥善开展应急处置的要求和保障个人维护其个人信息权益的途径和方式；将数据向第三方提供或进行跨境传输的约束性约定；

(5) 违反法律文件约定的数据安全保护义务的补救措施、违约责任和争议解决方式。

此外，在数据出境的情况下，数据处理合同还需要包括有关出境的条款，具体包括：境外接收方处理数据的用途、方式；达到保存期限、完成约定目的或者法律文件终止后出境数据的处理措施等；境外接收方在实际控制权或者经营范围发生实质性变化，或者所在国家、地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形导致难以保障数据安全时，应当采取的安全措施。

4. 海外法律环境的评估和出境标准合同

上述第1、2、3点梳理措施都同样适用于数据出境的情形。在数据出境的情形下需要额外采取的主要措施包括：

(1) 通过网信办安全评估的途径向境外提供个人信息的，公司应及时了解境外接收方所在国家或地区数据安全保护政策法规和网络安全环境情况并对此进行评估。

(2) 通过订立标准合同的方式向境外提供个人信息的，公司应当按照网信办颁布的个人信息出境标准合同与境外接收方起草、谈判和签署合同。

5. 评估

(1) 评估事项

在完成基本信息梳理后，应当根据法律进行评估或者出境评估的，公司应对下列事项逐项说明风险评估情况，重点说明评估发现的问题和风险隐患，以及相应采取的整改措施及整改效果。下列事项适用于数据出境，其他情形的个人信息保护影响评估也可以参照适用，或者视具体情况，结合数据出境的情形制作同一份评估报告：

(a) 数据出境和境外接收方处理数据的目的、范围、方式等的合法性、 正当性、必要性；

(b) 出境数据的规模、范围、种类、敏感程度，数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险；[注：在通过签订标准合同的方式向境外提供个人信息的情形下，评估内容不包括对国家安全、公共利益的风险影响]

© 境外接收方承诺承担的责任义务，以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全；

(d) 数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险，个人信息权益维护的渠道是否通畅等；

(e) 与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件等，是否充分约定了数据安全保护责任义务；[注：在通过签订标准合同的方式向境外提供个人信息的情形下，该项评估内容为境外接收方所在国家或者地区的个人信息保护政策和法规对标准合同履行的影响]

(f) 其他可能影响数据出境安全的事项。

(2) 评估时间

由于《数据出境安全评估办法》和《个人信息出境标准合同办法》要求在规定的期限对已经开展的数据出境活动进行整改，目前在实践中的大多数数据安全评估是事后评估。但除了整改期限的特殊安排外，个人信息保护影响评估是一项事前评估，应当在开展业务前对个人信息保护影响评估，并从个人信息保护的角度对业务模式进行事先的考量，以达到确保公司合规的目的。

6. 评估的保存和重新评估

一般情况下，个人信息保护影响评估报告和处理情况记录应当至少保存三年。公司可以根据情况在有关的隐私保护政策中明确评估报告需要更改或重新评估的频率。

通过网信办安全评估的途径向境外提供个人信息的，出境安全评估结果的有效期为2年，自评估结果出具之日起计算。在有效期内出现法定情形时，数据处理者应当重新申报评估。有效期届满，需要继续开展数据出境活动的，数据处理者应当在有效期届满60个工作日前重新申报评估。

通过订立标准合同的方式向境外提供个人信息的，标准合同有效期内出现法定情形时，个人信息处理者应当重新开展个人信息保护影响评估，补充或者重新订立标准合同，并履行相应备案手续。