论个人信息保护影响评估——以《个人信息保护法》第55、56条为中心Impact Assessment of Personal Information Protection: Focusing on Articles 55 and 56 of Personal Information Protection Act
刘权;
摘要(Abstract):
个人信息保护影响评估属于受强制的自我规制,是一种事前性的合规评估和风险评估程序。作为数据治理重要工具的个人信息保护影响评估,可以检验个人信息处理是否合规,有助于识别并降低个人信息安全风险,有利于减轻或免除个人信息处理责任。当前我国个人信息保护影响评估的适用范围过于宽泛,缺乏必要的限定条件,可能对个人信息处理者带来过大的评估压力,同时极易导致评估流于形式。为了更全面地保护个人信息,国家机关也应履行个人信息保护影响评估义务。应特别重视设计参与程序、复审程序、事先咨询程序、公开程序等评估程序,以保障个人信息保护影响评估的客观性和有效性。个人信息保护影响评估的行为应包括个人信息处理活动和采取的保护措施,评估的影响应包括确定的实际影响和潜在的不确定性影响。
关键词(KeyWords): 个人信息保护影响评估;自我规制;风险治理;数据保护影响评估
基金项目(Foundation): 教育部人文社会科学重点研究基地重大项目“规制改革与政务公开”(17JJD820002)
作者(Authors): 刘权;
DOI: 10.13806/j.cnki.issn1008-7095.2022.05.004
参考文献(References):
- (1)中共中央宣传部,中央全面依法治国委员会办公室.习近平法治思想学习纲要[M].北京:人民出版社,2021:76.
- (2)《网络安全法》第53条第1款规定:“国家网信部门协调有关部门建立健全网络安全风险评估和应急工作机制,制定网络安全事件应急预案,并定期组织演练。”参见中华人民共和国网络安全法[EB/OL].(2016-11-07)[2022-08-02].http://www.cac.gov.cn/2016-11/07/c_1119867116.htm.《数据安全法》第22条规定:“国家建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制。国家数据安全工作协调机制统筹协调有关部门加强数据安全风险信息的获取、分析、研判、预警工作。”参见中华人民共和国数据安全法[EB/OL].(2021-06-10)[2022-08-02].http://www.npc.gov.cn/npc/c30834/202106/7c9af12f51334a73b56d7938f99a788a.shtml.
- (3)《食品安全法》第5条第3款规定“国务院卫生行政部门依照本法和国务院规定的职责,组织开展食品安全风险监测和风险评估”。参见中华人民共和国食品安全法(2021年修正本)[EB/OL].(2021-04-29)[2022-08-02].https://zjjcmspublic.oss-cn-hangzhou-zwynet-d01-a.internet.cloud.zj.gov.cn/jcms_files/jcms1/web3448/site/attach/0/07d90dc5960c48aa847d960fb7e56b76.pdf.
- (4)刘权.数据安全认证:个人信息保护的第三方规制[J].法学评论,2022(1):118-130.
- (5)石佳友,刘思齐.人脸识别技术中的个人信息保护:兼论动态同意模式的建构[J].财经法学,2021(2):60-78.
- (6)崔聪聪,许智鑫.数据保护影响评估制度:欧盟立法与中国方案[J].图书情报工作,2020,64(5):41-49.
- (7)Yordanov A.Nature and Ideal Steps of the Data Protection Impact Assessment under the General Data Protection Regulation[J].European Data Protection Law Review,2017(4):486.
- (8)Hallinan D,Martin N.Fundamental Rights,the Normative Keystone of DPIA[J].European Data Protection Law Review,2020(2):178.
- (9)Demetzou K.Data Protection Impact Assessment:A Tool for Accountability and the Unclarified Concept of ‘High Risk’ in the General Data Protection Regulation[J].Computer Law&Security Review,2019,35(6):105342.
- (10)B?r?cz I.Risk to the Right to the Protection of Personal Data:An Analysis through the Lenses of Hermagoras[J].European Data Protection Law Review,2016(4):467-468.
- (11)杨合庆.中华人民共和国个人信息保护法释义[M].北京:法律出版社,2022:139.
- (12)Guidelines on Data Protection Impact Assessment (DPIA) and Determining Whether Processing is “Likely to Result in a High Risk” for the Purposes of Regulation 2016/679[EB/OL].(2017-10-04)[2022-07-10].https://iapp.org/media/pdf/resource_center/WP29-GDPR-DPIA-guidance_final.pdf.
- (13)胡凌.互联网的开放与封闭及其法律回应[J].交大法学,2022(2):7-16.
- (14)国家市场监督管理总局,国家标准化管理委员会.信息安全技术个人信息安全规范:GB/T 35273—2020[S].北京:中国标准出版社,2020.
- (15)蒋红珍.《个人信息保护法》中的行政监管[J].中国法律评论,2021(5):48-58.
- (16)王利明,丁晓东.论《个人信息保护法》的亮点、特色与适用[J].法学家,2021(6):1-16.
- (17)Yordanov A.Nature and Ideal Steps of the Data Protection Impact Assessment under the General Data Protection Regulation[J].European Data Protection Law Review,2017(4):486.
- (18)陈朝兵,郝文强.作为政府工具的隐私影响评估:缘起、价值、实施与启示[J].中国行政管理,2020(2):145.
- (19)陈美,梁乙凯.加拿大隐私影响评估政策:历程、内容、分析与启示[J].图书情报工作,2021,65(17):143.
- (20)梁乙凯,陈美.英国数据保护影响评估制度及其启示[J].情报理论与实践,2022,45(7):202-209.
- (21)陈朝兵,郝文强.国外政府数据开放隐私影响评估的政策考察与启示:以美英澳新四国为例[J].情报资料工作,2019,40(5):24.
- (22)张欣.算法影响评估制度的构建机理与中国方案[J].法商研究,2021,38(2):107.
- (23)张恩典.算法影响评估制度的反思与建构[J].电子政务,2021(11):62.
- (24)互联网信息服务算法推荐管理规定[EB/OL].(2022-01-04)[2022-08-02].http://www.cac.gov.cn/2022-01/04/c_1642894606364259.htm.
- (25)贵州省政府数据共享开放条例[EB/OL].(2022-04-06)[2022-08-02].http://dsj.guizhou.gov.cn/ztzl/pszl/202204/t20220406_73257108.html.
- (26)上海市公共数据开放暂行办法[EB/OL].(2019-08-29)[2022-08-02].https://www.shanghai.gov.cn/nw48156/20200825/0001-48156_62825.html.
- (27)彭錞.论国家机关处理个人信息的合法性基础[J].比较法研究,2022(1):162-176.
- (28)金自宁.风险评估内在不确定性的法律规制[J].中国法律评论,2022(2):200-208.
- (29)Information Commissioner's Office.Guide to the General Data Protection Regulation (GDPR)[EB/OL].(2021- 01-01) [2022-07-18].https://ico.org.uk/media/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr-1-1.pdf.
- (30)马晓慧,相丽玲.我国个人信息安全影响评估的流程分析与模板设计[J].情报理论与实践,2021,44(8):75-81.
- (31)梁乙凯,陈美.英国数据保护影响评估制度及其启示[J].情报理论与实践,2022,45(7):202-209.
- (32)苏宇.风险预防原则的结构化阐释[J].法学研究,2021,43(1):35-53.
- (33)Yordanov A.Nature and Ideal Steps of the Data Protection Impact Assessment under the General Data Protection Regulation[J].European Data Protection Law Review,2017(4):493.
- (34)《个人信息保护法》第52条第1款:“处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。”参见中华人民共和国个人信息保护法[EB/OL].(2021-08-20)[2022-08-02].http://www.npc.gov.cn/npc/c30834/202108/a8c4e3672c74491a80b53a172bb753fe.shtml.
- (35)Yordanov A.Nature and Ideal Steps of the Data Protection Impact Assessment under the General Data Protection Regulation[J].European Data Protection Law Review,2017(4):494.
- (36)肖冬梅,谭礼格.欧盟数据保护影响评估制度及其启示[J].中国图书馆学报,2018,44(5):83.
- (37)沈岿.数据治理与软法[J].财经法学,2020(1):3-12.
- (38)刘权.论个人信息处理的合法、正当、必要原则[J].法学家,2021(5):1-15.
- (39)张新宝.个人信息处理的基本原则[J].中国法律评论,2021(5):18-27.
- (40)杨合庆.中华人民共和国个人信息保护法释义[M].北京:法律出版社,2022:143.
- (41)程啸.个人信息保护法理解与适用[M].北京:中国法制出版社,2021:421.
- (42)赵精武.从保密到安全:数据销毁义务的理论逻辑与制度建构[J].交大法学,2022(2):28-41.