從PIA與DPIA對比看我國和歐盟個人信息保護的差異 - 網安 - 專業的網絡安全產業、社區、知識平臺

前言

《個人信息安全影響評估指南》(以下簡稱“PIA”)新版已正式實施了一段時日，其正式稿標準編號為GB/T 39335-2020，隨著《個人信息保護法》（以下簡稱“《個保法》”）的生效、數安管理條例的發布，以及當今數據出境問題日益嚴峻的發展形勢下，PIA已經成為國內企業數據合規工作中一張熱度持續不下的必備王牌。與此同時，歐盟GDPR項下DPIA一直以來也備受矚目，二者的相似與區別一度成為大家津津樂道的談點。在歷經一段時間的實踐后，筆者嘗試在從標準的文理內容和務實評估一文一武兩方面對二者進行對比與分析。同時帶著解決這個疑問的初衷開始本篇分享：國內PIA的方法是否能夠支撐GDPR下的DPIA要求？

文理內容對比與分析

PIA與DPIA文理內容方面，我們從執行力度、適用條件、適宜階段、評估目標、評估步驟和評估產物這6個維度來進行對比分析，其對比結果雷達圖如下所示：

執行力度方面：

二者趨于相似，國內PIA在《個保法》中已在明確情形下要求企業履行該項工作，《網絡數據安全管理條例(征求意見稿)》中也提出“不得超出報送網信部門的個人信息保護影響評估報告中明確的目的、范圍、方式和數據類型、規模等向境外提供個人信息”，同時對違反該條出具了相應的罰則。DPIA在GDPR中的明確要求及處罰措施。二者在該方面相似度80%。

適用情況方面：

二者相似并具部分重疊，而在傾向上，PIA偏重于判斷數據的敏感度，傾向對個人造成的影響。DPIA偏重于判斷大規模信息處理的范圍，傾向對公眾的影響。二者在該方面相似度60%。

適宜階段方面：

二者傾向不同，PIA根據適用條件，按需進行，不限于個人信息處理活動的事前事中。DPIA偏重于個人信息處理活動前，來評估可能潛在對自然人權利和自由帶來高度風險。二者在該方面相似度40%。

評估目標方面：

二者幾乎類似，但相比來說，PIA評估結論中信息安全要素的權重占比似乎更高。PIA評估均衡了隱私權益保護和信息安全保護措施。DPIA評估更關注對數據自身及其處理過程的法律合規，以及其固有風險。二者在該方面相似度85%。

評估步驟方面：

整體看來二者幾乎相同，PIA體現出的評估步驟更顯體系化和邏輯化。二者在該方面相似度90%。

評估產物方面：

二者相似并具部分重疊，同其目標，PIA評估結論中信息安全要素的權重占比似乎更高。PIA產物的元素均衡了隱私權益保護和信息安全保護措施，視情況會有實際安全測試、安全審計報告。DPIA產物的元素更突出對數據主體權益和自由的評估及其處理的法律合規。二者在該方面相似度80%。

其中，文理方面的分析過程與理論參考可詳見下表：

務實評估對比與分析

在PIA與DPIA務實評估交付要求上，我們從背景原因陳述、個人信息處理描述、個人信息影響分析、個人信息風險分析和評估結論與建議這5個維度來進行對比分析，其對比結果雷達圖如下所示：

背景原因方面：

背景原因等通用描述上二者的要求基本相同。二者在該方面相似度95%。

個人信息處理描述方面：

二者各有側重。PIA基于組件和基于個人信息生命周期的兩個維度，DPIA主要圍繞基于個人信息生命周期維度，同時在此階段增加了對數據主體權益保障方面的敘述。（PIA將此放在了“個人信息風險分析”中的“個人信息處理流程”里面）二者在該方面相似度60%。

個人信息影響分析方面：

二者基本不同，PIA側重于對個人信息數據泄露后會對數據主體的影響維度進行分析，DPIA側重于對于數據主體權益保障維度的分析，包括不限于必要性和相稱性。（PIA將此放在了“個人信息風險分析”中的“個人信息處理流程”里面）二者在該方面相似度20%。

個人信息風險分析方面：

整體來看二者在評估方法大體相同但略有區別，PIA則更為細致和全面，可以認為了內容上PIA覆蓋DPIA的風險維度。二者在該方面相似度70%。

評估結論與建議方面：

整體來看二者在結論和建議的產物呈現上大體相同，PIA也同樣更為細致和全面。二者在該方面相似度80%。

其中，務實評估方面的分析過程與理論參考可詳見下表：

總結與啟示

本文從PIA與DPIA文理內容的6個維度與務實評估的5個維度，在對二者進行了橫縱對比后，我們發現：

文理方面：PIA與DPIA的適用條件、評估目標、步驟和產物上頗為相似，伴隨國內立法與執法態勢的日漸完善，二者執行力度方面也趨于相近，而對于適宜階段上二者則存在一定程度上的差異。

務實方面：PIA與DPIA在具體落地的評估過程與其產物上，雖在各階段中略顯差異，但整體交付則大致相同。值得一提的，PIA評估均衡了隱私權益保護和信息安全保護措施，DPIA評估更關注對數據自身及其處理過程的法律合規以及其固有風險。但綜合而言在風險評估層面上PIA是可以覆蓋DPIA所要的風險維度。

整體二者在文理內容上方向一致但各有傾向，在務實評估的交付要求上則非常類似。其中PIA的評估在呈現上更顯體系化和邏輯化，覆蓋面更廣也更為細致。另外，從對比結果也可以輕松的解決開篇我們所提出的疑問，PIA方法基本足以支撐GDPR下的DPIA要求。

最后，通過再次對二者的對比分析，筆者也結合得到一些在企業實踐方面的啟示與思考在此簡要分享：

PIA與DPIA在評估交付上都具有較為嚴格且正式的要求，但在一般的企業實踐中，觸發正式影響評估、出具評估報告并由DPO簽字審批業務場景相對并不算多。而身處日常海量的業務場景中，我們也同樣需要提煉一個通用、高效且標準化的評估方法去審核業務側提出的需求與相關疑問；

企業處理PIA/DPIA實踐中遇到的難點和痛點，往往并非全在評估風險與影響分析上，而是啟動評估后對于企業實際數據處理與流轉現狀的確認，需要結合多個部門或業務線協作完成。這個問題的有效解決，則依賴對于數據清冊、數據流轉的自動化治理工作的成熟度提升，以及對于合規人員的易用性與友好性；

無論企業處理國內業務還是海外業務，PIA/DPIA落實在企業流程卡點的建立與執行上思路基本沒有差別。類似地，隱私與數據合規的評估流程也應與信息安全SDLC相結合，融入到軟件開發的全生命周期，并同樣遵循左移的思路。