从PIA与DPIA对比看我国和欧盟个人信息保护的差异

1、从PIA与DPIA对比看我国和欧盟个人信息保护的差异 TOC o 1-5 h z 目录内容提要2前言2 HYPERLINK l bookmark4 o Current Document .文理内容对比与分析2 HYPERLINK l bookmark6 o Current Document 1.概述2 HYPERLINK l bookmark10 o Current Document 执行力度方面： 3 HYPERLINK l bookmark12 o Current Document 适用情况方面： 3 HYPERLINK l bookmark14 o Current Document 适宜

2、阶段方面： 3 HYPERLINK l bookmark16 o Current Document 评估目标方面：3 HYPERLINK l bookmark18 o Current Document 1. 6.评估步骤方面： 4 HYPERLINK l bookmark20 o Current Document 7.评估产物方面：4 HYPERLINK l bookmark24 o Current Document 2务实评估对比与分析5 HYPERLINK l bookmark26 o Current Document 1.概述5 HYPERLINK l bookmark30 o Curr

3、ent Document 背景原因方面：6 HYPERLINK l bookmark32 o Current Document 个人信息处理描述方面：6 HYPERLINK l bookmark34 o Current Document 个人信息影响分析方面：6 HYPERLINK l bookmark36 o Current Document 个人信息风险分析方面：6 HYPERLINK l bookmark38 o Current Document 评估结论与建议方面：6/总名吉与启木7内容提要笔者尝试在从标准的文理内容和务实评估一文一武两方面对二者进行对比 与分析，研究国内PIA的方法是

4、否能够支撑GDPR下的DPIA要求？ 、/1-个人信息安全影响评估指南（以下简称“PIA”）新版已正式实施了一段 时日，其正式稿标准编号为GB/T 39335-2020,随着个人信息保护法（以下 简称“个保法”）的生效、数安管理条例的发布，以及当今数据出境问题 日益严峻的发展形势下，PIA已经成为国内企业数据合规工作中一张热度持续不 下的必备王牌。与此同时，欧盟GDPR项下DPIA 一直以来也备受瞩目，二者的 相似与区别一度成为大家津津乐道的谈点。在历经一段时间的实践后，笔者尝 试在从标准的文理内容和务实评估一文一武两方面对二者进行对比与分析。同 时带着解决这个疑问的初衷开始本篇分享：国内PI

5、A的方法是否能够支撑GDPR 下的DPIA要求？.文理内容对比与分析概述PIA与DPIA文理内容方面，我们从执行力度、适用条件、适宜阶段、评估 目标、评估步骤和评估产物这6个维度来进行对比分析，其对比结果雷达图如 下所示：第2页共8页PIA与DPIA文理维度对比执行力度适用条件适宜阶段执行力度方面:二者趋于相似，国内PIA在个保法中已在明确情形下要求企业履行该 项工作，网络数据安全管理条例（征求意见稿）中也提出“不得超出报送网信 部门的个人信息保护影响评估报告中明确的目的、范围、方式和数据类型、规 模等向境外提供个人信息”，同时对违反该条出具了相应的罚则。DPIA在 GDPR中的明确要求及处罚

6、措施。二者在该方面相似度80%o适用情况方面：二者相似并具部分重叠，而在倾向上，PIA偏重于判断数据的敏感度，倾向 对个人造成的影响。DPIA偏重于判断大规模信息处理的范围，倾向对公众的影 响。二者在该方面相似度60%。适宜阶段方面：二者倾向不同，PIA根据适用适用条件，按需进行，不限于个人信息处理活 动的事前事中。DPIA偏重于个人信息处理活动前，来评估可能潜在对自然人权 利和自由带来高度风险。二者在该方面相似度40%。评估目标方面：二者几乎类似，但相比来说，PIA评估结论中信息安全要素的权重占比似乎 更高。PIA评估均衡了隐私权益保护和信息安全保护措施。DPIA评估更关注对第3页共8页数据

7、自身及其处理过程的法律合规，以及其固有风险。二者在该方面相似度85%o评估步骤方面:整体看来二者几乎相同，PIA体现出的评估步骤更显体系化和逻辑化。二者在该方面相似度90%o评估产物方面:二者相似并具部分重叠，同其目标，PIA评估结论中信息安全要素的权重占比似乎更高。PIA产物的元素均衡了隐私权益保护和信息安全保护措施，视情况会有实际安全测试、安全审计报告。DPIA产物的元素更突出对数据主体权益和自由的评估及其处理的法律合规。二者在该方面相似度80%。其中，文理方面的分析过程与理论参考可详见下表:文理内容对比个人信息安全影响评估(PIA)执行力度执行力度PIAIHS指常标*号GWT 39335

8、-20202021- 0601正式实,其上值演个保总要求企业& 发生安定情形下应当进行个人信息保护影响评估 并襄求其坪估报管部处“记承均保存三隼目前 P1A也是企业启封包括不用于济城.处理3个人 信息等自评估的主要方式与依据.4RGDPRVDRA(唱未执行或才未按襄求昌壬机忡*/H5C),可处以行国罚款P1A典梨信用情况的参考下(P1A典梨信用情况的参考下(DRA般造用情次的词隐如下1处理敏个人值1处理敏个人值1自动化处遗行大规划广泛的分析Z利M个人信遗行自动化决策2大技吱处!1抬舞笑割剂，见罪凛适用条件3委托处0个人值.向第三方援供个人传、公 开个人信;4的境外援供个人信息3自动化大总控公共

9、场所4欧以外的19境传看5外部环常生大堂灵 6发生大安全雒后的新评估 a其它对个人 大影况1幅开雇个人信卑处理活立前适宜的段2正在开JB个人信息处理活中】符合法用条件下,荏开展个人信息处理 活动却皿货百害”t)第4页共8页文理内容对比维度个人信息安全影响评估（PIA）数据保护影响评估（DPIA）评估目标针对个人处理活动：.确认个人信息处理活动的合法合规程度，.发现对个人信息主体合法权益造成损害的风险.评估对个人信息主体的保护措施的有效性识别处理活动，包括程序、系统、功能、 项目和流程中，个人数据的特定风险（参考EXINPDPP）：.分析个人数据的收集、使用、共享和维 护全过程的合规性，以确保符

10、合适当的隐 私/数据法律及政策.确定固有的个人数据风险评估步骤.组建评估团队，制定评估计划.确定评估对象和范围，包括系统基本信息、设计 信息及流程和程序信息.制定相关咨询计划.数据映射分析.个人信息风险分析，包括信息安全风险、隐私风 险、人员与第三方风险、固有风险及未来态势.个人权益影响分析.综合分析.风险处置和持续改进.制定报告和发布策略（参考 .uk）.确定是否需要做DPIA.描述处理过程与信息流.考虑咨询.评估必要性和相称性.识别与评估风险.识别风险缓解措施.签署并记录结果.产出报告与整改计划.持续跟踪评估产物评估报告应包含兀素：.审批页、撰写人、适用范围、评估依据.评估对

11、象、内容、相关方.数据映射分析、个人权益分析、风险分析的过程 和结果（包括不限于访谈、制度、日志配置、安全 测试等）.风险判定准则、风险与合规判定结论及处置建议.过程中其它附件评估报告应包含元素（参考EXNPDPP）：.处理过程描述及目的说明，以及遵守的 行为准则.评估合法权益、必要性与相称性.评估数据主体的权力和自由风险及设想 的风险应对措施.落实合规安全措施的证明.时间范围策略的规定（如涉及数据删除） 及PbD的规定.个人数据的接收者.是否咨询过数据主体并获得其同意的详 细信息.务实评估对比与分析概述在PIA与DPIA务实评估交付要求上，我们从背景原因陈述、个人信息处理 描述、个人信息影响

12、分析、个人信息风险分析和评估结论与建议这5个维度来 进行对比分析，其对比结果雷达图如下所示：第5页共8页PIA与DPIA务实评估维度对比评估结论与建议个人信息处理描述个人信息风险分析个人信息影响分析2.背景原因方面:背景原因等通用描述上二者的要求基本相同。二者在该方面相似度95%o个人信息处理描述方面:二者各有侧重。PIA基于组件和基于个人信息生命周期的两个维度，DPIA 主要围绕基于个人信息生命周期维度，同时在此阶段增加了对数据主体权益保 障方面的叙述。（PIA将此放在了 “个人信息风险分析”中的“个人信息处理流 程”里面）二者在该方面相似度60%。个人信息影响分析方面:二者基本不同，PIA

13、侧重于对个人信息数据泄露后会对数据主体的影响维度 进行分析，DPIA侧重于对于数据主体权益保障维度的分析，包括不限于必要性 和相称性。（PIA将此放在了 “个人信息风险分析”中的“个人信息处理流程” 里面）二者在该方面相似度20%。2. 5.个人信息风险分析方面:整体来看二者在评估方法大体相同但略有区别，PIA则更为细致和全面，可 以认为了内容上PIA覆盖DPIA的风险维度。二者在该方面相似度70%o2. 6.评估结论与建议方面:整体来看二者在结论和建议的产物呈现上大体相同，PIA也同样更为细致和 全面。二者在该方面相似度80%。第6页共8页其中，务实评估方面的分析过程与理论参考可详见下表:务

14、实评估对比维度个人信息安全影响评估（PIA）数据保护影响评估（DPIA）背景陈述L评估原因背景、适用范围、参考依据L解释说明需要做DPIA的原因2.评估相关方、组织架构及岗位职责2 .说明需要参与或咨询的所有相关方个人信息映射分析:个人信息映射分析:描述处理过程:个人信息处理描述.基于系统组件的个人信息映射1,描述数据收集、存储、使用、共享、 删除的全过程.基于个人信息生命周期的个人信息映射2能述数据范围和频率3.描述数据主体的类型、意愿、约束及是否同意等个人权益影响分析维度（严重/高/中/低）:L限制个人自主决定权个人信息影响分析个人信息影响分析2.引发差别性待遇评估必要性和相称性3个人名誉

15、受损或精神压力.人身财产受损安全事件可能性分析（很高/高/中/低）:描述风险源和对个人的潜在影响:1.网络环境与技术措施.即信息安全风降.风险可能性个人信息风险分析.个人信息处理流程.即隐私风险.风险严重性（前中/低）3.人员与第三方风险3.人员与第三方风险3 .综合风险（高/中/低）.业务特征下的固有风险及未来态势风险结论与整改建议表（很高/高/中/低）:风险结论与整改建议表（很高/高/中/低）:识别风险缓懈措施降低中高风险:L个人信息处理活动2.风险描述.风险说明.缓解措施3.安全事件发生可能性3.安全事件发生可能性3.措施类型说明（降低、转移、接受等）评估结论与建议4.权益影响4.剩余风

16、险5.综合风险等级.是否完成缓解实施.风险处置建议.风险涉及的相关方.是否完成缓解实施3 .总结与启示本文从PIA与DPIA文理内容的6个维度与务实评估的5个维度，在对二者 进行了横纵对比后，我们发现:第7页共8页文理方面：PIA与DPIA的适用条件、评估目标、步骤和产物上颇为相似， 伴随国内立法与执法态势的日渐完善，二者执行力度方面也趋于相近，而对于 适宜阶段上二者则存在一定程度上的差异。务实方面：PIA与DPIA在具体落地的评估过程与其产物上，虽在各阶段中 略显差异，但整体交付则大致相同。值得一提的，PIA评估均衡了隐私权益保护 和信息安全保护措施，DPIA评估更关注对数据自身及其处理过程

17、的法律合规以 及其固有风险。但综合而言在风险评估层面上PIA是可以覆盖DPIA所要的风险 维度。整体二者在文理内容上方向一致但各有倾向，在务实评估的交付要求上则 非常类似。其中PIA的评估在呈现上更显体系化和逻辑化，覆盖面更广也更为 细致。另外，从对比结果也可以轻松的解决开篇我们所提出的疑问，PIA方法基 本足以支撑GDPR下的DPIA要求。最后，通过再次对二者的对比分析，笔者也结合得到一些在企业实践方面 的启示与思考在此简要分享：. PIA与DPIA在评估交付上都具有较为严格且正式的要求，但在一般的企 业实践中，触发正式影响评估、出具评估报告并由DP。签字审批业务场景相对 并不算多。而身处日常海量的业务场景中，我们也同样需要提炼一个通用、高 效且标准化的评估方法去审核业务侧提出