首页> 图书频道> 政法> 法学

【个人信息保护影响评估义务】

2026年02月27日
版权
第五十五条 【 个人信息保护影响评估义务】

有下列情形之一的,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录:

(一)处理敏感个人信息;

(二)利用个人信息进行自动化决策;

(三)委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;

(四)向境外提供个人信息;

(五)其他对个人权益有重大影响的个人信息处理活动。

【条文主旨】

本条是关于个人信息处理者的个人信息保护影响评估义务的规定。

【条文理解】

本条明确了个人信息处理者的事先影响评估义务。个人信息保护法从立法的全面性原则考量,将两次审议稿中的“风险评估”改为“个人信息保护影响评估”,“影响”一词的外延大于“风险”,“风险”一般是指在给定的条件下损失发生的可能性或者实际结果与预期结果的偏差,是对于个人信息保护影响的重要因素,而非全部内涵。同时,个人信息保护法删除了两次审议稿中“风险评估”的内容,增加了第五十六条专门规定个人信息保护影响评估内容。

数据保护影响评估制度是个人信息处理者合规经营持续化自主运转以及满足自证要求的最重要渠道之一,目的是限制并减少可能发生的违反信息保护规定的行为,GDPR和我国个人信息保护法均规定了个人信息保护影响评估制度,GDPR第三十五条第三款对应进行数据保护影响性评定的高风险行为进行了列举:利用自动化处理技术(包括用户画像)对与自然人相关的个人因素进行系统性与全面性的评价,并且其决策对自然人产生法律影响或类似重大影响;大规模处理第九条第一款所述的特殊类别的数据,或与第十条所述的刑事定罪和犯罪有关的个人数据;对公众可进入的区域进行大规模的系统监测。[17]

个人信息保护法出台前,我国个人信息保护影响评估制度非强制性实施,大多数企业也未将评估作为必备内控手段。2021年6月1日起全国信息安全标准化技术委员会发布的《信息安全技术 个人信息安全影响评估指南》正式实施,旨在指导行业基于个人权益影响和安全措施设置情况,以访谈、检查、测试的方法对待评估的个人信息处理技术进行个人信息安全影响评估。而个人信息保护法将个人信息保护影响评估要求提升至法律强制性要求,对于企业内部合规制度建设提出更严格要求。相比《信息安全技术 个人信息安全规范》存在的“高风险”性、笼统场景性规定,[18]个人信息保护法提出的强制性要求则从更加具体化的处理活动为出发点,与GDPR相比我国的适用情形更为宽泛。

【适用指南】

本条列举了五项极易对个人信息产生侵权行为的情形,因此法律特别规定个人信息处理者应当在事前对个人信息保护进行影响评估,并对处理情况进行记录。

一是处理敏感个人信息。个人信息保护法第二十八条第一款将“生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息”列为敏感个人信息,个人信息处理者只有在具有特定目的或充分必要性,且采取严格保护措施的情况下才能够处理此类信息。此外,个人信息保护法特别将不满14周岁的未成年人的个人信息确定为敏感个人信息予以严格保护,这与未成年人保护法有关规定相衔接,从目前我国未成年人使用网络的实际情况来看,年满14周岁的未成年人已普遍具有认知、判断网络风险的能力,而且我国部分法律法规已将14周岁作为划分未成年人权利义务的重要年龄分界点。例如,刑法将承担刑事责任的最低年龄规定为14周岁,女性“性同意权”年龄也规定为14周岁;广告法专门规定了针对不满14周岁未成年人的广告相关要求;2019年国家网信办出台的《儿童个人信息网络保护规定》将儿童定义为不满14周岁的未成年人。因为这些信息对于自然人的人格尊严或人身财产安全影响较大,且一旦泄露或非法使用可能给自然人带来严重危害或侵害,所以敏感个人信息法律对于处理敏感信息的活动应作出更加严格的限制,采用事前影响评估能够较为有效地降低个人信息处理活动可能造成的负面影响,防患于未然。

二是利用个人信息进行自动化决策。为了迎合消费者的个性化需求,越来越多的企业利用大数据分析、评估消费者的个人特征用于商业营销,但同时由于商家与消费者之间存在巨大信息差,部分企业掌握了消费者的经济状况、消费习惯、对价格的敏感度等信息,利用大数据分析在交易价格等方面对消费者实行歧视性的差别待遇,我们常称为“大数据杀熟”。“杀熟”的本质是误导、欺诈消费者,违反了诚实信用原则,侵犯了消费者权益保护法规定的消费者享有公平交易条件的权利,个人信息保护法第二十四条明确予以禁止。个人信息处理者利用个人信息进行自动化决策,应当进行事前影响评估,保证决策的透明度和结果公平、公正。

三是委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息,其本质是个人信息处理者将自己获得的个人信息交给第三人进行处理,三种行为所对应的第三人分别是受托人、其他个人信息处理者和不特定人。知情同意是个人信息保护法规定的个人信息处理活动最重要的合法性基础。除法律、行政法规另有规定外,个人信息处理者在委托、提供或公开前应当取得个人的知情同意,否则极有可能侵害个人的合法权益,因此需要进行事先影响评估判断风险并评估保护个人信息主体的各项措施的有效性。

四是向境外提供个人信息。个人信息不仅关系着自然人的个人权益,也关系着国家的安全问题。为保障个人信息安全,维护网络空间主权、国家安全、社会公共利益,保护公民、法人的合法权益,从个人信息处理者角度应当进行个人信息保护影响评估,发现、处置和持续监控个人信息处理过程中对个人信息主体合法权益造成损害的各种风险,评估保护措施的有效性。

五是其他对个人权益有重大影响的个人信息处理活动,作为兜底条款,个人信息保护法较草案二审稿更为严谨地增加了“权益”一词,明确保障自然人的权利和利益。

【相关规定】

《中华人民共和国个人信息保护法》第二十一条、第二十四条、第二十五条、第二十八条、第三十八条。