【个人信息保护影响评估的内容】

第五十六条 【 个人信息保护影响评估的内容】

【条文主旨】

本条是关于个人信息保护影响评估内容的规定。

【条文理解】

个人信息保护影响评估的内容遵循合法、正当、必要原则。个人信息保护基本原则是规范处理个人信息行为的核心规则，自20世纪80年代开始，相关国际组织、国家和地区开始确立各自的个人信息处理原则。世界经济合作与发展组织发布的《隐私保护与个人数据跨国流通指南》规定了收集限制原则、数据质量原则、目的特定化原则、使用限制原则、安全原则、公开原则、个人参与原则、责任原则八项原则。亚太经合组织发布的《APEC隐私保护框架》规定了防止损害原则、告知原则、限制收集原则、使用原则、选择原则、个人信息完整性原则、安全保障原则、查阅和修正原则、问责原则九项原则。^[19]欧盟的GDPR规定了合法公平透明原则、目的限制原则、数据最小化原则、精确性原则、存储限制原则、完整性与保密性原则、权责一致原则七项原则。我国从个人信息保护相关立法之初，便十分重视确立个人信息保护的基本原则，2012年发布的《全国人民代表大会常务委员会关于加强网络信息保护的决定》确立了处理个人信息应当遵循的基本原则，规定：网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息，应当遵循合法、正当、必要的原则，明示收集、使用信息的目的、方式和范围，并经被收集者同意，不得违反法律、法规的规定和双方的约定收集、使用信息。此后，消费者权益保护法、网络安全法、民法典、数据安全法和一些司法解释与规范性文件也对合法、正当、必要原则进一步予以规定和明确。

个人信息保护影响评估的内容应当包括个人信息的处理目的、处理方式等是否合法、正当、必要。个人信息保护法第五条规定，处理个人信息应当遵循合法、正当、必要和诚信原则，坚持了网络安全法和民法典关于合法性要求的一贯立场，禁止采取“误导、欺诈、胁迫”等方式处理个人信息也是个人信息保护法对于个人信息处理者的基础和前提性要求。处理目的和处理方法的合法性要求信息处理者在具体处理个人信息时不得违反法律、法规等相关规定。正当原则，即处理个人信息处理的目的和手段要正当，应当尊重公序良俗和遵守诚实信用原则，并且要尽量满足透明的要求，以便能够充分保障信息主体的知情权，要求信息处理者对处理个人信息的行为进行自我管理。违反正当性原则的一个典型行为就是“大数据杀熟”，通过数据歧视手段欺骗、误导消费者以达到不正当获利的目的。必要原则，即处理个人信息的目的应当特定，处理应当依据特定、明确的目的进行，禁止超出目的范围处理个人信息。对个人信息处理者而言，收集个人信息只能出于履行其职责之特定目的或与其提供的服务相关，要求信息处理者在收集信息时不应当收集对提供服务没有必要的个人信息，超出目的范围的处理行为即违反了必要性原则；在处理个人信息时，处理的内容和范围不应过于宽泛，只有在不得不处理时才可以处理个人信息。

个人信息保护影响评估的内容还包括对个人权益影响及个人信息处理者所采取的安全保护措施进行分析。从对个人权益影响的角度来看，个人信息处理行为对个人权益产生的影响程度越高，安全事件发生的可能性越高，因此个人信息保护法第六条规定，处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。个人信息处理者是个人信息保护的第一责任人。安全保护措施合法性是个人信息保护制度的原则要求，从安全保护措施有效性来看，个人信息保护法强调个人信息处理者应当对其个人信息处理活动负责，并采取必要措施保障所处理的个人信息的安全，安全保护措施越有效，安全事件发生的可能性就会越小，个人信息处理活动的风险级别则会越低。实施个人信息保护影响评估，能够有效加强对个人信息主体权益的保护，有利于个人信息处理者对外展示其保护个人信息安全的努力和能力，提升透明度，增进个人对其的信任，减轻个人信息权益受损害的风险，增强个人信息处理者处置风险的能力，确保个人合法权益不利影响的风险处于总体可控状态。

【适用指南】

在发生个人信息安全事件时，个人信息保护影响评估报告和处理情况记录可以用于证明个人信息处理者已经主动评估风险并采取一定安全保障措施，有助于保护个人信息处理者的合法权益，减轻相关责任和名誉损失。

本条规定了个人信息保护影响评估报告和处理情况记录应当至少保存三年的具体要求，为个人信息处理者开展个人信息事前风险评估指明了方向。三年的规定也与民法典诉讼时效相关规定相衔接，民法典第一百八十八条规定一般诉讼时效期间为三年，因评估报告和处理情况记录为个人信息处理者单方所有，为便于解决相关民事纠纷，至少在一般诉讼时效内个人信息处理者负有保存相关记录的义务，有利于相关证据的保存。

【相关规定】

《中华人民共和国个人信息保护法》第五条、第六条；《中华人民共和国网络安全法》第三十五条；《中华人民共和国民法典》第一百八十八条。