《個人信息保護法》第55條——個人信息保護影響評估制度

個人信息保護影響評估制度是對特定類型的可能對個人權(quán)益造成重大影響的高風(fēng)險信息處理活動進行合規(guī)及風(fēng)險等評估,以實現(xiàn)對侵害個人信息行為的事先預(yù)防,提前消除危險,預(yù)防侵害個人權(quán)益后果的發(fā)生。

本文來自微信公眾號“互聯(lián)網(wǎng)與社會發(fā)展研究中心”,作者/朱芹瑾,寧波大學(xué)法學(xué)院2022級法律碩士。

《個人信息保護法》第55條

——個人信息保護影響評估制度

在《個人信息保護法》制定前,個人信息保護影響評估制度僅見于《個人信息安全規(guī)范》《個人信息安全影響評估指南》等國家標(biāo)準(zhǔn)中。本條與本法第56條首次在立法層面建立起較為完整統(tǒng)一的個人信息保護影響評估機制。

一、個人信息保護影響評估制度的概述

個人信息保護影響評估制度是對特定類型的可能對個人權(quán)益造成重大影響的高風(fēng)險信息處理活動進行合規(guī)及風(fēng)險等評估,以實現(xiàn)對侵害個人信息行為的事先預(yù)防,提前消除危險,預(yù)防侵害個人權(quán)益后果的發(fā)生。

與本條“個人信息保護影響評估”概念類似的,是《個人信息安全影響評估指南》《個人信息安全規(guī)范》規(guī)定的“安全影響評估”。其中,《個人信息安全影響評估指南》對“個人信息安全影響評估的定義為“針對個人信息處理活動,檢驗其合法合規(guī)程度,判斷其對個人信息主體合法權(quán)益造成損害的各種風(fēng)險,以及評估用于保護個人信息主體的各項措施有效性的過程”。

二、個人信息保護影響評估制度的功能

1.檢驗對個人信息處理是否合規(guī)。個人信息保護影響評估的功能之一就在于通過對擬開展的個人信息處理活動進行事前合規(guī)評估,能夠及時發(fā)現(xiàn)違規(guī)之處,從而提升個人信息處理合規(guī)水平,達到減少高額罰款等后果。

2.識別并降低個人信息安全風(fēng)險。在對個人信息處理過程中會存在或高或低的安全風(fēng)險,而關(guān)鍵在于將風(fēng)險控制到可接受的低水平。如果對個人信息流通進行嚴(yán)格的限制,不符合數(shù)據(jù)時代要求。個人信息保護影響評估是有效的風(fēng)險評估工具,通過前移保護關(guān)口,有利于提早發(fā)現(xiàn)個人信息處理行為可能存在的風(fēng)險和造成的不利影響,從而有針對性地設(shè)計業(yè)務(wù)流程并采取防范措施。

3.減輕或免除個人信息處理責(zé)任。通過實施個人信息保護影響評估,不僅可以增強個人信息處理者的風(fēng)險管理能力,而且還有助于減輕或免除個人信息處理責(zé)任。對于民事責(zé)任,《個人信息保護法》第69條確立了個人信息侵權(quán)的過錯推定責(zé)任,即個人信息處理者不能證明自己沒有過錯的,應(yīng)當(dāng)承擔(dān)損害賠償?shù)惹謾?quán)責(zé)任;對于行政責(zé)任,《個人信息保護法》沒有確立歸責(zé)原則,一般應(yīng)適用《行政處罰法》確立的過錯推定原則,即當(dāng)事人有證據(jù)足以證明沒有主觀過錯的就不予處罰。如果個人信息處理者能證明自己過錯較小或沒有過錯,相應(yīng)的民事責(zé)任或行政責(zé)任就應(yīng)當(dāng)減輕或免除。個人信息保護影響評估處理記錄,是證明個人信息處理者合規(guī)處理個人信息的重要證據(jù),在發(fā)生糾紛或損害時,可以通過調(diào)取記錄,發(fā)現(xiàn)個人信息處理者進行了有效的個人信息保護影響評估,對識別的風(fēng)險采取了相應(yīng)的保護措施,能夠減輕或免除個人信息處理者的責(zé)任。

THEEND

最新評論(評論僅代表用戶觀點)

更多
暫無評論