从PIA与DPIA对比看我国和欧盟个人信息保护的差异 - 网安 - 专业的网络安全产业、社区、知识平台

前言

《个人信息安全影响评估指南》(以下简称“PIA”)新版已正式实施了一段时日，其正式稿标准编号为GB/T 39335-2020，随着《个人信息保护法》（以下简称“《个保法》”）的生效、数安管理条例的发布，以及当今数据出境问题日益严峻的发展形势下，PIA已经成为国内企业数据合规工作中一张热度持续不下的必备王牌。与此同时，欧盟GDPR项下DPIA一直以来也备受瞩目，二者的相似与区别一度成为大家津津乐道的谈点。在历经一段时间的实践后，笔者尝试在从标准的文理内容和务实评估一文一武两方面对二者进行对比与分析。同时带着解决这个疑问的初衷开始本篇分享：国内PIA的方法是否能够支撑GDPR下的DPIA要求？

文理内容对比与分析

PIA与DPIA文理内容方面，我们从执行力度、适用条件、适宜阶段、评估目标、评估步骤和评估产物这6个维度来进行对比分析，其对比结果雷达图如下所示：

执行力度方面：

二者趋于相似，国内PIA在《个保法》中已在明确情形下要求企业履行该项工作，《网络数据安全管理条例(征求意见稿)》中也提出“不得超出报送网信部门的个人信息保护影响评估报告中明确的目的、范围、方式和数据类型、规模等向境外提供个人信息”，同时对违反该条出具了相应的罚则。DPIA在GDPR中的明确要求及处罚措施。二者在该方面相似度80%。

适用情况方面：

二者相似并具部分重叠，而在倾向上，PIA偏重于判断数据的敏感度，倾向对个人造成的影响。DPIA偏重于判断大规模信息处理的范围，倾向对公众的影响。二者在该方面相似度60%。

适宜阶段方面：

二者倾向不同，PIA根据适用条件，按需进行，不限于个人信息处理活动的事前事中。DPIA偏重于个人信息处理活动前，来评估可能潜在对自然人权利和自由带来高度风险。二者在该方面相似度40%。

评估目标方面：

二者几乎类似，但相比来说，PIA评估结论中信息安全要素的权重占比似乎更高。PIA评估均衡了隐私权益保护和信息安全保护措施。DPIA评估更关注对数据自身及其处理过程的法律合规，以及其固有风险。二者在该方面相似度85%。

评估步骤方面：

整体看来二者几乎相同，PIA体现出的评估步骤更显体系化和逻辑化。二者在该方面相似度90%。

评估产物方面：

二者相似并具部分重叠，同其目标，PIA评估结论中信息安全要素的权重占比似乎更高。PIA产物的元素均衡了隐私权益保护和信息安全保护措施，视情况会有实际安全测试、安全审计报告。DPIA产物的元素更突出对数据主体权益和自由的评估及其处理的法律合规。二者在该方面相似度80%。

其中，文理方面的分析过程与理论参考可详见下表：

务实评估对比与分析

在PIA与DPIA务实评估交付要求上，我们从背景原因陈述、个人信息处理描述、个人信息影响分析、个人信息风险分析和评估结论与建议这5个维度来进行对比分析，其对比结果雷达图如下所示：

背景原因方面：

背景原因等通用描述上二者的要求基本相同。二者在该方面相似度95%。

个人信息处理描述方面：

二者各有侧重。PIA基于组件和基于个人信息生命周期的两个维度，DPIA主要围绕基于个人信息生命周期维度，同时在此阶段增加了对数据主体权益保障方面的叙述。（PIA将此放在了“个人信息风险分析”中的“个人信息处理流程”里面）二者在该方面相似度60%。

个人信息影响分析方面：

二者基本不同，PIA侧重于对个人信息数据泄露后会对数据主体的影响维度进行分析，DPIA侧重于对于数据主体权益保障维度的分析，包括不限于必要性和相称性。（PIA将此放在了“个人信息风险分析”中的“个人信息处理流程”里面）二者在该方面相似度20%。

个人信息风险分析方面：

整体来看二者在评估方法大体相同但略有区别，PIA则更为细致和全面，可以认为了内容上PIA覆盖DPIA的风险维度。二者在该方面相似度70%。

评估结论与建议方面：

整体来看二者在结论和建议的产物呈现上大体相同，PIA也同样更为细致和全面。二者在该方面相似度80%。

其中，务实评估方面的分析过程与理论参考可详见下表：

总结与启示

本文从PIA与DPIA文理内容的6个维度与务实评估的5个维度，在对二者进行了横纵对比后，我们发现：

文理方面：PIA与DPIA的适用条件、评估目标、步骤和产物上颇为相似，伴随国内立法与执法态势的日渐完善，二者执行力度方面也趋于相近，而对于适宜阶段上二者则存在一定程度上的差异。

务实方面：PIA与DPIA在具体落地的评估过程与其产物上，虽在各阶段中略显差异，但整体交付则大致相同。值得一提的，PIA评估均衡了隐私权益保护和信息安全保护措施，DPIA评估更关注对数据自身及其处理过程的法律合规以及其固有风险。但综合而言在风险评估层面上PIA是可以覆盖DPIA所要的风险维度。

整体二者在文理内容上方向一致但各有倾向，在务实评估的交付要求上则非常类似。其中PIA的评估在呈现上更显体系化和逻辑化，覆盖面更广也更为细致。另外，从对比结果也可以轻松的解决开篇我们所提出的疑问，PIA方法基本足以支撑GDPR下的DPIA要求。

最后，通过再次对二者的对比分析，笔者也结合得到一些在企业实践方面的启示与思考在此简要分享：

PIA与DPIA在评估交付上都具有较为严格且正式的要求，但在一般的企业实践中，触发正式影响评估、出具评估报告并由DPO签字审批业务场景相对并不算多。而身处日常海量的业务场景中，我们也同样需要提炼一个通用、高效且标准化的评估方法去审核业务侧提出的需求与相关疑问；

企业处理PIA/DPIA实践中遇到的难点和痛点，往往并非全在评估风险与影响分析上，而是启动评估后对于企业实际数据处理与流转现状的确认，需要结合多个部门或业务线协作完成。这个问题的有效解决，则依赖对于数据清册、数据流转的自动化治理工作的成熟度提升，以及对于合规人员的易用性与友好性；

无论企业处理国内业务还是海外业务，PIA/DPIA落实在企业流程卡点的建立与执行上思路基本没有差别。类似地，隐私与数据合规的评估流程也应与信息安全SDLC相结合，融入到软件开发的全生命周期，并同样遵循左移的思路。