1、從PIA與DPIA對比看我國和歐盟個(gè)人信息保護(hù)的差異 TOC o 1-5 h z 目錄內(nèi)容提要2前言2 HYPERLINK l bookmark4 o Current Document .文理內(nèi)容對比與分析2 HYPERLINK l bookmark6 o Current Document 1.概述2 HYPERLINK l bookmark10 o Current Document 執(zhí)行力度方面： 3 HYPERLINK l bookmark12 o Current Document 適用情況方面： 3 HYPERLINK l bookmark14 o Current Document 適宜

2、階段方面： 3 HYPERLINK l bookmark16 o Current Document 評估目標(biāo)方面：3 HYPERLINK l bookmark18 o Current Document 1. 6.評估步驟方面： 4 HYPERLINK l bookmark20 o Current Document 7.評估產(chǎn)物方面：4 HYPERLINK l bookmark24 o Current Document 2務(wù)實(shí)評估對比與分析5 HYPERLINK l bookmark26 o Current Document 1.概述5 HYPERLINK l bookmark30 o Curr

3、ent Document 背景原因方面：6 HYPERLINK l bookmark32 o Current Document 個(gè)人信息處理描述方面：6 HYPERLINK l bookmark34 o Current Document 個(gè)人信息影響分析方面：6 HYPERLINK l bookmark36 o Current Document 個(gè)人信息風(fēng)險(xiǎn)分析方面：6 HYPERLINK l bookmark38 o Current Document 評估結(jié)論與建議方面：6/總名吉與啟木7內(nèi)容提要筆者嘗試在從標(biāo)準(zhǔn)的文理內(nèi)容和務(wù)實(shí)評估一文一武兩方面對二者進(jìn)行對比 與分析，研究國內(nèi)PIA的方法是

4、否能夠支撐GDPR下的DPIA要求？ 、/1-個(gè)人信息安全影響評估指南（以下簡稱“PIA”）新版已正式實(shí)施了一段 時(shí)日，其正式稿標(biāo)準(zhǔn)編號為GB/T 39335-2020,隨著個(gè)人信息保護(hù)法（以下 簡稱“個(gè)保法”）的生效、數(shù)安管理?xiàng)l例的發(fā)布，以及當(dāng)今數(shù)據(jù)出境問題 日益嚴(yán)峻的發(fā)展形勢下，PIA已經(jīng)成為國內(nèi)企業(yè)數(shù)據(jù)合規(guī)工作中一張熱度持續(xù)不 下的必備王牌。與此同時(shí)，歐盟GDPR項(xiàng)下DPIA 一直以來也備受矚目，二者的 相似與區(qū)別一度成為大家津津樂道的談點(diǎn)。在歷經(jīng)一段時(shí)間的實(shí)踐后，筆者嘗 試在從標(biāo)準(zhǔn)的文理內(nèi)容和務(wù)實(shí)評估一文一武兩方面對二者進(jìn)行對比與分析。同 時(shí)帶著解決這個(gè)疑問的初衷開始本篇分享：國內(nèi)PI

5、A的方法是否能夠支撐GDPR 下的DPIA要求？.文理內(nèi)容對比與分析概述PIA與DPIA文理內(nèi)容方面，我們從執(zhí)行力度、適用條件、適宜階段、評估 目標(biāo)、評估步驟和評估產(chǎn)物這6個(gè)維度來進(jìn)行對比分析，其對比結(jié)果雷達(dá)圖如 下所示：第2頁共8頁P(yáng)IA與DPIA文理維度對比執(zhí)行力度適用條件適宜階段執(zhí)行力度方面:二者趨于相似，國內(nèi)PIA在個(gè)保法中已在明確情形下要求企業(yè)履行該 項(xiàng)工作，網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例（征求意見稿）中也提出“不得超出報(bào)送網(wǎng)信 部門的個(gè)人信息保護(hù)影響評估報(bào)告中明確的目的、范圍、方式和數(shù)據(jù)類型、規(guī) 模等向境外提供個(gè)人信息”，同時(shí)對違反該條出具了相應(yīng)的罰則。DPIA在 GDPR中的明確要求及處罰

6、措施。二者在該方面相似度80%o適用情況方面：二者相似并具部分重疊，而在傾向上，PIA偏重于判斷數(shù)據(jù)的敏感度，傾向 對個(gè)人造成的影響。DPIA偏重于判斷大規(guī)模信息處理的范圍，傾向?qū)姷挠?響。二者在該方面相似度60%。適宜階段方面：二者傾向不同，PIA根據(jù)適用適用條件，按需進(jìn)行，不限于個(gè)人信息處理活 動的事前事中。DPIA偏重于個(gè)人信息處理活動前，來評估可能潛在對自然人權(quán) 利和自由帶來高度風(fēng)險(xiǎn)。二者在該方面相似度40%。評估目標(biāo)方面：二者幾乎類似，但相比來說，PIA評估結(jié)論中信息安全要素的權(quán)重占比似乎 更高。PIA評估均衡了隱私權(quán)益保護(hù)和信息安全保護(hù)措施。DPIA評估更關(guān)注對第3頁共8頁數(shù)據(jù)

7、自身及其處理過程的法律合規(guī)，以及其固有風(fēng)險(xiǎn)。二者在該方面相似度85%o評估步驟方面:整體看來二者幾乎相同，PIA體現(xiàn)出的評估步驟更顯體系化和邏輯化。二者在該方面相似度90%o評估產(chǎn)物方面:二者相似并具部分重疊，同其目標(biāo)，PIA評估結(jié)論中信息安全要素的權(quán)重占比似乎更高。PIA產(chǎn)物的元素均衡了隱私權(quán)益保護(hù)和信息安全保護(hù)措施，視情況會有實(shí)際安全測試、安全審計(jì)報(bào)告。DPIA產(chǎn)物的元素更突出對數(shù)據(jù)主體權(quán)益和自由的評估及其處理的法律合規(guī)。二者在該方面相似度80%。其中，文理方面的分析過程與理論參考可詳見下表:文理內(nèi)容對比個(gè)人信息安全影響評估(PIA)執(zhí)行力度執(zhí)行力度PIAIHS指常標(biāo)*號GWT 39335

8、-20202021- 0601正式實(shí),其上值演個(gè)?？傄笃髽I(yè)& 發(fā)生安定情形下應(yīng)當(dāng)進(jìn)行個(gè)人信息保護(hù)影響評估 并襄求其坪估報(bào)管部處“記承均保存三隼目前 P1A也是企業(yè)啟封包括不用于濟(jì)城.處理3個(gè)人 信息等自評估的主要方式與依據(jù).4RGDPRVDRA(唱未執(zhí)行或才未按襄求昌壬機(jī)忡*/H5C),可處以行國罰款P1A典梨信用情況的參考下(P1A典梨信用情況的參考下(DRA般造用情次的詞隱如下1處理敏個(gè)人值1處理敏個(gè)人值1自動化處遺行大規(guī)劃廣泛的分析Z利M個(gè)人信遺行自動化決策2大技吱處!1抬舞笑割劑，見罪凜適用條件3委托處0個(gè)人值.向第三方援供個(gè)人傳、公 開個(gè)人信;4的境外援供個(gè)人信息3自動化大總控公共

9、場所4歐以外的19境傳看5外部環(huán)常生大堂靈 6發(fā)生大安全雒后的新評估 a其它對個(gè)人 大影況1幅開雇個(gè)人信卑處理活立前適宜的段2正在開JB個(gè)人信息處理活中】符合法用條件下,荏開展個(gè)人信息處理 活動卻皿貨百害”t)第4頁共8頁文理內(nèi)容對比維度個(gè)人信息安全影響評估（PIA）數(shù)據(jù)保護(hù)影響評估（DPIA）評估目標(biāo)針對個(gè)人處理活動：.確認(rèn)個(gè)人信息處理活動的合法合規(guī)程度，.發(fā)現(xiàn)對個(gè)人信息主體合法權(quán)益造成損害的風(fēng)險(xiǎn).評估對個(gè)人信息主體的保護(hù)措施的有效性識別處理活動，包括程序、系統(tǒng)、功能、 項(xiàng)目和流程中，個(gè)人數(shù)據(jù)的特定風(fēng)險(xiǎn)（參考EXINPDPP）：.分析個(gè)人數(shù)據(jù)的收集、使用、共享和維 護(hù)全過程的合規(guī)性，以確保符

10、合適當(dāng)?shù)碾[ 私/數(shù)據(jù)法律及政策.確定固有的個(gè)人數(shù)據(jù)風(fēng)險(xiǎn)評估步驟.組建評估團(tuán)隊(duì)，制定評估計(jì)劃.確定評估對象和范圍，包括系統(tǒng)基本信息、設(shè)計(jì) 信息及流程和程序信息.制定相關(guān)咨詢計(jì)劃.數(shù)據(jù)映射分析.個(gè)人信息風(fēng)險(xiǎn)分析，包括信息安全風(fēng)險(xiǎn)、隱私風(fēng) 險(xiǎn)、人員與第三方風(fēng)險(xiǎn)、固有風(fēng)險(xiǎn)及未來態(tài)勢.個(gè)人權(quán)益影響分析.綜合分析.風(fēng)險(xiǎn)處置和持續(xù)改進(jìn).制定報(bào)告和發(fā)布策略（參考 .uk）.確定是否需要做DPIA.描述處理過程與信息流.考慮咨詢.評估必要性和相稱性.識別與評估風(fēng)險(xiǎn).識別風(fēng)險(xiǎn)緩解措施.簽署并記錄結(jié)果.產(chǎn)出報(bào)告與整改計(jì)劃.持續(xù)跟蹤評估產(chǎn)物評估報(bào)告應(yīng)包含兀素：.審批頁、撰寫人、適用范圍、評估依據(jù).評估對

11、象、內(nèi)容、相關(guān)方.數(shù)據(jù)映射分析、個(gè)人權(quán)益分析、風(fēng)險(xiǎn)分析的過程 和結(jié)果（包括不限于訪談、制度、日志配置、安全 測試等）.風(fēng)險(xiǎn)判定準(zhǔn)則、風(fēng)險(xiǎn)與合規(guī)判定結(jié)論及處置建議.過程中其它附件評估報(bào)告應(yīng)包含元素（參考EXNPDPP）：.處理過程描述及目的說明，以及遵守的 行為準(zhǔn)則.評估合法權(quán)益、必要性與相稱性.評估數(shù)據(jù)主體的權(quán)力和自由風(fēng)險(xiǎn)及設(shè)想 的風(fēng)險(xiǎn)應(yīng)對措施.落實(shí)合規(guī)安全措施的證明.時(shí)間范圍策略的規(guī)定（如涉及數(shù)據(jù)刪除） 及PbD的規(guī)定.個(gè)人數(shù)據(jù)的接收者.是否咨詢過數(shù)據(jù)主體并獲得其同意的詳 細(xì)信息.務(wù)實(shí)評估對比與分析概述在PIA與DPIA務(wù)實(shí)評估交付要求上，我們從背景原因陳述、個(gè)人信息處理 描述、個(gè)人信息影響

12、分析、個(gè)人信息風(fēng)險(xiǎn)分析和評估結(jié)論與建議這5個(gè)維度來 進(jìn)行對比分析，其對比結(jié)果雷達(dá)圖如下所示：第5頁共8頁P(yáng)IA與DPIA務(wù)實(shí)評估維度對比評估結(jié)論與建議個(gè)人信息處理描述個(gè)人信息風(fēng)險(xiǎn)分析個(gè)人信息影響分析2.背景原因方面:背景原因等通用描述上二者的要求基本相同。二者在該方面相似度95%o個(gè)人信息處理描述方面:二者各有側(cè)重。PIA基于組件和基于個(gè)人信息生命周期的兩個(gè)維度，DPIA 主要圍繞基于個(gè)人信息生命周期維度，同時(shí)在此階段增加了對數(shù)據(jù)主體權(quán)益保 障方面的敘述。（PIA將此放在了 “個(gè)人信息風(fēng)險(xiǎn)分析”中的“個(gè)人信息處理流 程”里面）二者在該方面相似度60%。個(gè)人信息影響分析方面:二者基本不同，PIA

13、側(cè)重于對個(gè)人信息數(shù)據(jù)泄露后會對數(shù)據(jù)主體的影響維度 進(jìn)行分析，DPIA側(cè)重于對于數(shù)據(jù)主體權(quán)益保障維度的分析，包括不限于必要性 和相稱性。（PIA將此放在了 “個(gè)人信息風(fēng)險(xiǎn)分析”中的“個(gè)人信息處理流程” 里面）二者在該方面相似度20%。2. 5.個(gè)人信息風(fēng)險(xiǎn)分析方面:整體來看二者在評估方法大體相同但略有區(qū)別，PIA則更為細(xì)致和全面，可 以認(rèn)為了內(nèi)容上PIA覆蓋DPIA的風(fēng)險(xiǎn)維度。二者在該方面相似度70%o2. 6.評估結(jié)論與建議方面:整體來看二者在結(jié)論和建議的產(chǎn)物呈現(xiàn)上大體相同，PIA也同樣更為細(xì)致和 全面。二者在該方面相似度80%。第6頁共8頁其中，務(wù)實(shí)評估方面的分析過程與理論參考可詳見下表:務(wù)

14、實(shí)評估對比維度個(gè)人信息安全影響評估（PIA）數(shù)據(jù)保護(hù)影響評估（DPIA）背景陳述L評估原因背景、適用范圍、參考依據(jù)L解釋說明需要做DPIA的原因2.評估相關(guān)方、組織架構(gòu)及崗位職責(zé)2 .說明需要參與或咨詢的所有相關(guān)方個(gè)人信息映射分析:個(gè)人信息映射分析:描述處理過程:個(gè)人信息處理描述.基于系統(tǒng)組件的個(gè)人信息映射1,描述數(shù)據(jù)收集、存儲、使用、共享、 刪除的全過程.基于個(gè)人信息生命周期的個(gè)人信息映射2能述數(shù)據(jù)范圍和頻率3.描述數(shù)據(jù)主體的類型、意愿、約束及是否同意等個(gè)人權(quán)益影響分析維度（嚴(yán)重/高/中/低）:L限制個(gè)人自主決定權(quán)個(gè)人信息影響分析個(gè)人信息影響分析2.引發(fā)差別性待遇評估必要性和相稱性3個(gè)人名譽(yù)

15、受損或精神壓力.人身財(cái)產(chǎn)受損安全事件可能性分析（很高/高/中/低）:描述風(fēng)險(xiǎn)源和對個(gè)人的潛在影響:1.網(wǎng)絡(luò)環(huán)境與技術(shù)措施.即信息安全風(fēng)降.風(fēng)險(xiǎn)可能性個(gè)人信息風(fēng)險(xiǎn)分析.個(gè)人信息處理流程.即隱私風(fēng)險(xiǎn).風(fēng)險(xiǎn)嚴(yán)重性（前中/低）3.人員與第三方風(fēng)險(xiǎn)3.人員與第三方風(fēng)險(xiǎn)3 .綜合風(fēng)險(xiǎn)（高/中/低）.業(yè)務(wù)特征下的固有風(fēng)險(xiǎn)及未來態(tài)勢風(fēng)險(xiǎn)結(jié)論與整改建議表（很高/高/中/低）:風(fēng)險(xiǎn)結(jié)論與整改建議表（很高/高/中/低）:識別風(fēng)險(xiǎn)緩懈措施降低中高風(fēng)險(xiǎn):L個(gè)人信息處理活動2.風(fēng)險(xiǎn)描述.風(fēng)險(xiǎn)說明.緩解措施3.安全事件發(fā)生可能性3.安全事件發(fā)生可能性3.措施類型說明（降低、轉(zhuǎn)移、接受等）評估結(jié)論與建議4.權(quán)益影響4.剩余風(fēng)

16、險(xiǎn)5.綜合風(fēng)險(xiǎn)等級.是否完成緩解實(shí)施.風(fēng)險(xiǎn)處置建議.風(fēng)險(xiǎn)涉及的相關(guān)方.是否完成緩解實(shí)施3 .總結(jié)與啟示本文從PIA與DPIA文理內(nèi)容的6個(gè)維度與務(wù)實(shí)評估的5個(gè)維度，在對二者 進(jìn)行了橫縱對比后，我們發(fā)現(xiàn):第7頁共8頁文理方面：PIA與DPIA的適用條件、評估目標(biāo)、步驟和產(chǎn)物上頗為相似， 伴隨國內(nèi)立法與執(zhí)法態(tài)勢的日漸完善，二者執(zhí)行力度方面也趨于相近，而對于 適宜階段上二者則存在一定程度上的差異。務(wù)實(shí)方面：PIA與DPIA在具體落地的評估過程與其產(chǎn)物上，雖在各階段中 略顯差異，但整體交付則大致相同。值得一提的，PIA評估均衡了隱私權(quán)益保護(hù) 和信息安全保護(hù)措施，DPIA評估更關(guān)注對數(shù)據(jù)自身及其處理過程

17、的法律合規(guī)以 及其固有風(fēng)險(xiǎn)。但綜合而言在風(fēng)險(xiǎn)評估層面上PIA是可以覆蓋DPIA所要的風(fēng)險(xiǎn) 維度。整體二者在文理內(nèi)容上方向一致但各有傾向，在務(wù)實(shí)評估的交付要求上則 非常類似。其中PIA的評估在呈現(xiàn)上更顯體系化和邏輯化，覆蓋面更廣也更為 細(xì)致。另外，從對比結(jié)果也可以輕松的解決開篇我們所提出的疑問，PIA方法基 本足以支撐GDPR下的DPIA要求。最后，通過再次對二者的對比分析，筆者也結(jié)合得到一些在企業(yè)實(shí)踐方面 的啟示與思考在此簡要分享：. PIA與DPIA在評估交付上都具有較為嚴(yán)格且正式的要求，但在一般的企 業(yè)實(shí)踐中，觸發(fā)正式影響評估、出具評估報(bào)告并由DP。簽字審批業(yè)務(wù)場景相對 并不算多。而身處日常海量的業(yè)務(wù)場景中，我們也同樣需要提煉一個(gè)通用、高 效且標(biāo)準(zhǔn)化的評估方法去審核業(yè)務(wù)側(cè)提出