GDPR数据保护影响评估(DPIA):何时必须开展?(2026年版)

只要处理活动可能对自然人的权利和自由造成高风险,《(欧盟)2016/679号条例》第35条就要求开展数据保护影响评估(DPIA)。控制者必须在处理开始之前完成该评估,而不是事后补做。
有关该条例的全面介绍,请参阅什么是GDPR。如果你正在搭建合规方案,GDPR合规清单涵盖了更广泛的义务,而GDPR数据保护官要求则说明了何时必须任命数据保护官(DPO)以就DPIA提供意见。
GDPR下的DPIA是什么?
数据保护影响评估是一种结构化、书面记录的流程,数据控制者借此识别和评估拟议处理活动所带来的隐私风险,并确定将这些风险降至可接受水平的措施。《(欧盟)2016/679号条例》第35(1)条对该义务作出了定义:“凡某类处理,尤其是使用新技术,并考虑到处理的性质、范围、背景和目的,可能对自然人的权利和自由造成高风险时,控制者应在处理之前,对拟议处理活动对个人数据保护的影响进行评估。”
DPIA取代了95/46/EC号指令下的事前通报制度。序言第89段解释了这一转变:GDPR取消了“一般性通报义务”,因为一刀切的登记制度带来了行政负担,却未能可靠地提升保护水平。相反,该条例将监管关注集中于确实会带来更高风险的那部分处理活动。
该义务由控制者承担。处理者可以提供协助,第28(3)(f)条明确要求处理者“协助控制者确保遵守第32条至第36条的义务”,但法定责任仅由控制者一方承担。
DPIA并非一次性工作。第35(11)条要求控制者“至少在处理活动所代表的风险发生变化时”对评估进行审查。在设计阶段被评估为低风险的处理活动,若技术、规模、数据类别或使用背景发生变化,也可能转变为高风险。
何时必须开展DPIA?高风险门槛
触发条件是处理活动“可能造成高风险”,这是一项前瞻性的预测标准。控制者必须评估此类风险是否具有可能性,而不是等到损害实际发生。第35(1)条特别提到新技术,因为新技术往往会带来尚未被既有做法评估或规范的风险。
第35(3)条明确列出了三类天然要求开展DPIA的处理活动,这三类属于下限而非上限:即便未被第35(3)条列明的其他处理类型,只要满足第35(1)条的一般高风险标准,仍可能需要开展DPIA。
第35(3)(a)条:具有法律效果或类似重大影响的系统性自动化画像
第35(3)(a)条要求,对于“基于自动化处理(包括画像)、对自然人相关个人特征进行系统性、广泛评估,并据此作出对该自然人产生法律效果或产生类似重大影响的决定”的活动,须开展DPIA。三个要素须同时具备:评估是系统性且广泛的;处理是自动化的;由此产生的决定会带来法律效果(改变权利或法律地位)或类似重大影响(拒绝雇佣、排除在某项福利之外、财务条件实质性恶化)。
序言第71段给出了具体例子:在线信贷申请、自动化招聘筛选,以及保险定价模型。该类别还涵盖预测性警务中的算法评分、在未经人工复核的情况下自动阻断客户账户的自动化欺诈检测,以及区别化影响显著的行为定向广告投放系统。
限制性原则是“法律效果或类似重大影响”。仅改变网页颜色的个性化设置,或不会带来任何后果的播放列表推荐,并未达到该门槛。
第35(3)(b)条:大规模处理特殊类别数据或刑事定罪相关数据
第35(3)(b)条要求,对于“大规模处理第9(1)条所述的特殊类别数据,或第10条所述的刑事定罪及犯罪相关个人数据”,须开展DPIA。特殊类别包括种族或民族出身、政治观点、宗教或哲学信仰、工会会员身份、基因数据、用于唯一识别的生物识别数据、健康数据,以及涉及性生活或性取向的数据。
“大规模”这一限定条件很重要。序言第91段解释称,单一医疗专业人员处理自己患者的数据,并不构成大规模处理。WP248建议考虑四项因素:数据主体的数量;数据项目的数量或范围;活动持续的时间;以及地理覆盖范围。一家在区域网络内处理数十万患者记录的医院系统显然达到该门槛;而一家服务数百名患者的独立诊所则不然。
第35(3)(c)条:对公共场所的大规模系统性监控
第35(3)(c)条要求,对于“大规模系统性监控公共场所”,须开展DPIA。序言第91段以“大规模监控公共场所,尤其是使用光电设备时”为例。公共场所的闭路电视系统是典型情形,该标准同样适用于私营主体和公共机构。使用人脸识别或步态识别的现代视频分析技术明确落入该类别,并会同时触发第35(3)(a)条的额外考量。营业时间内以人工方式监看的小商店内单个摄像头,不太可能构成大规模或系统性监控;而覆盖整个市中心、配备自动分析且保留数周记录的数百个摄像头网络,则显然属于该类别。
欧洲数据保护委员会的九项高风险判断标准
欧洲数据保护委员会的WP248号指南(2017年10月通过,2018年5月获欧洲数据保护委员会认可)确立了判断第35(1)条下是否存在潜在高风险的九项指标性标准。没有任何一项标准单独具有决定性;欧洲数据保护委员会的立场是,任何满足两项或以上标准的处理活动,都应被视为需要开展DPIA。
一、评估或评分。 处理活动对个人进行评估或评分,包括就工作表现、经济状况、健康、个人偏好、可靠性、行为、位置或行踪等方面进行画像和预测。
二、具有法律效果或类似效果的自动化决策。 处理涉及产生法律效果或类似重大影响的自动化决策,如第35(3)(a)条所述。
三、系统性监控。 处理涉及对个人进行系统性观察或控制,包括通过网络收集的数据,或对员工或消费者进行的隐蔽监控。涵盖设备指纹识别、持久性Cookie追踪、网络流量监控及员工监控软件。
四、敏感数据或高度个人化性质的数据。 处理涉及第9条特殊类别数据、第10条刑事犯罪数据、财务数据、位置数据、健康数据,或其他一旦被滥用可能造成重大损害的数据。欧洲数据保护委员会将金融交易数据单独列为高风险指标。
五、大规模处理的数据。 这是一项独立的考量因素,将第35(3)(b)条的大规模限定条件扩展适用于所有类型的个人数据,而不仅限于特殊类别数据。
六、匹配或合并数据集。 处理将来自两个或以上不同来源的数据加以合并、交叉比对或匹配,其方式可能超出数据主体在各来源数据最初被收集时的合理预期。
七、涉及弱势数据主体的数据。 处理涉及相对于控制者处于弱势地位的个人:儿童、员工、患者、老年人及寻求庇护者。儿童受到特别关注,因为他们“对个人数据处理所涉及的风险、后果及保障措施及其自身权利的认识相对较弱”。
八、创新应用或采用新的技术或组织解决方案。 处理以新颖方式应用技术(物联网、生物识别、人工智能、联网设备),而更广泛的社会或个人影响尚未得到确立。
九、阻止数据主体行使权利或使用服务的处理。 处理决定是否授予或拒绝个人有权或有合理期望获得的事物:银行账户、政府福利、医疗服务、就业机会或住房。
各国监管机构的DPIA“黑名单”
第35(4)条要求各国监管机构“制定并公布须依据第1款开展数据保护影响评估的处理活动类型清单”。这些黑名单在其各自的司法辖区内具有法律约束力。在多个欧盟/欧洲经济区成员国运营的控制者,必须逐一查阅每个相关国家监管机构的黑名单,因为触发标准可能因国而异。
第35(5)条允许监管机构同时公布无需开展DPIA的处理类型白名单。若某项拟议处理活动被列入白名单,除非特定情形使其超出一般高风险门槛,否则无需开展DPIA。
第35(6)条规定的一致性机制适用于拟议清单涉及“向多个成员国的数据主体提供商品或服务、或监测其行为,或可能对欧盟内个人数据自由流动产生重大影响”的处理活动。在此情形下,该监管机构必须依据第63条使用一致性机制,将欧洲数据保护委员会纳入相关流程。
若干国家监管机构黑名单的示例条目:法国CNIL的黑名单包括工作场所的生物识别门禁控制、公共部门情境下的社会风险预测评分、大规模健康数据处理,以及雇主与福利数据库之间的自动化匹配。德国数据保护会议的黑名单包括系统性员工行为数据处理、大规模患者健康记录,以及人工智能驱动的信用评估。英国ICO(英国GDPR)的清单包括针对儿童的大规模画像、对员工通信的系统性监控、用于员工身份验证的生物识别数据,以及多来源行为画像。
控制者必须查阅每个相关监管机构当前公布的清单,而不能依赖某份摘要。随着欧洲数据保护委员会通过新指南或各国监管机构应对新技术,这些清单会不断更新。
| 处理活动 | 适用触发条件 | 示例 |
|---|---|---|
| 带拒绝决定的自动化信用评分 | 第35(3)(a)条 + EDPB第1、2项标准 | 金融科技放贷机构使用机器学习批准或拒绝申请 |
| 用于员工考勤的人脸识别 | 第35(3)(b)条、第35(3)(c)条 + EDPB第3、4、8项标准 | 覆盖大规模员工队伍的生物识别考勤系统 |
| 大规模健康数据分析 | 第35(3)(b)条 + EDPB第4、5项标准 | 医院网络挖掘患者记录用于研究 |
| 配备视频分析的全城闭路电视系统 | 第35(3)(c)条 + EDPB第3、8项标准 | 具有自动化行为分析功能的智慧城市摄像头网络 |
| 员工生产力监控软件 | EDPB第3、7项标准 + 第35(4)条黑名单 | 对远程员工进行按键记录和屏幕截图捕捉 |
| 跨平台行为定向广告画像 | EDPB第1、5、6项标准 | 广告交易平台合并浏览、购买及位置数据 |
| 算法化福利资格评分 | 第35(3)(a)条 + EDPB第2、7、9项标准 | 政府系统自动判定住房福利资格 |
| 处理位置及行为数据的儿童应用 | EDPB第4、7、8项标准 | 面向16岁以下用户持续收集使用数据的游戏化教育平台 |
DPIA必须包含哪些内容:第35(7)条详解
第35(7)条规定了最低内容要求。评估“至少”须包含四项要素,WP248对此作出了展开说明。
| 第35(7)条要求的要素 | 须涵盖的内容 | 需要回答的实际问题 |
|---|---|---|
| (a)对处理活动及目的的系统性描述,酌情包括控制者所追求的合法利益 | 说明收集了哪些数据、来源为何、通过何种方式、如何使用、由谁使用、保留多长时间,以及披露给谁 | 处理了哪些个人数据?合法依据是什么?谁可以访问?是否涉及处理者? |
| (b)对处理活动与目的相关的必要性和相称性评估 | 证明该处理是实现所述目的所需的最小且相称的手段;已考虑侵入性更低的替代方案 | 是否可以用更少的数据、匿名化数据,或不使用该新技术实现同一目的? |
| (c)对数据主体权利和自由所面临风险的评估 | 识别具体风险情形:数据泄露、非法访问、重新识别、歧视性决定、丧失删除权、对行为产生寒蝉效应 | 每种风险情形发生的可能性有多大?一旦发生,损害的严重程度如何? |
| (d)拟采取的应对措施,包括保障措施、安全措施及确保个人数据保护并证明符合GDPR的机制 | 描述用于缓解每项已识别风险的技术和组织措施;说明措施实施后仍存在的剩余风险 | 采取了哪些加密、访问控制、假名化或数据最小化措施?剩余风险是什么? |
除上述四项强制性要素外,WP248还建议记录以下内容:控制者及数据保护官的身份和联系方式;数据主体类别及个人数据类别;保留期限;数据保护官的咨询记录;以及评估日期及计划审查日期。
DPIA是一份需要持续更新的工作文件。一份仅笼统断言“已采取适当措施”的两页摘要并不合规。欧洲数据保护委员会的立场是,该文件应体现一种结构化、可重复的方法论,例如CNIL隐私影响评估方法论、ISO 29134标准或BSI-Standard 200-2标准,尽管该条例本身并未强制要求采用任何特定的方法论。
谁对DPIA负责?
控制者对开展DPIA以及其内容的准确性和完整性承担法定责任,这一责任不能通过与处理者或DPIA咨询顾问签订合同的方式转移出去。
第35(2)条要求控制者“在开展数据保护影响评估时,若已指定数据保护官,须征求其意见”。这是一项咨询义务,而非责任转移。数据保护官在DPIA中的角色见第39(1)(c)条,该条要求数据保护官“应要求就数据保护影响评估提供意见,并依据本条监督其执行情况”。若控制者未采纳数据保护官的意见,应记录其理由。
第35(9)条鼓励控制者“就拟议处理活动征求数据主体或其代表的意见”。这是一项最佳实践建议,而非强制性要求,但对于面向消费者的产品而言,这样做可以强化风险识别环节。
为控制者的高风险处理活动构建产品的处理者,与该流程存在间接利害关系。第28(3)(f)条要求处理者协助控制者,如今许多处理者已将预先编制好的DPIA文件或数据流映射工具作为合同交付内容提供。
时间要求:须在处理开始之前完成
第35(1)条的表述明确无误:DPIA必须“在处理之前”完成。评估须已完成、风险已评估、缓解措施已到位(若仍存在剩余高风险,则事先咨询程序须已完成),且控制者须确信处理可以合法开展。所有这些工作都必须在任何实际处理开始之前完成。
控制者必须将DPIA的完成纳入项目时间表。在正式上线后才开始的DPIA,或为已经进行中的处理活动“补做纸面文件”的DPIA,均不合规。监管机构已明确批评事后补做的DPIA,认为其是未遵守第5(2)条问责原则的证据。
序言第90段规定了所需的先后顺序:设计处理活动;开展DPIA;若仍存在剩余高风险,咨询监管机构;此后方可开始处理。
对于大型组织而言,采用分阶段流程是常见做法。筛查阶段用于确定是否需要开展完整DPIA。若筛查确认存在高风险,则在处理设计最终确定之前开展完整DPIA。ICO和CNIL均发布了筛查模板,供控制者用于记录结论,即便最终结论是无需开展完整DPIA。
分步DPIA工作流程
第一步:识别处理活动并确认是否需要开展DPIA。 梳理拟议处理活动,包括数据类型、数据主体、目的、合法依据、技术、保留期限及相关方。应用三部分测试:(a)该活动是否属于第35(3)条的强制类别?(b)监管机构的黑名单是否涵盖此类处理?(c)是否满足两项或以上EDPB九项标准?只要有一项答案为是,就需要开展DPIA。无论结论如何,都应记录该结论。
第二步:咨询数据保护官。 依据第35(2)条,若已任命数据保护官,须与其分享第一步的结论,请其确认方法论并指出初步的法律关切。记录咨询日期及数据保护官的答复。
第三步:系统性描述处理活动。 撰写书面描述,涵盖:个人数据的类别及数量;受影响的数据主体;收集方式;具体目的;第6(1)条项下的合法依据(如涉及特殊类别数据,还须依据第9(2)条);从收集到删除的数据流转过程;处理者和分处理者及与各方的合同关系;保留期限表;以及处理所在的司法辖区。
第四步:评估必要性和相称性。 针对每一处理目的评估:该目的是否可以在不使用个人数据、或使用匿名化或假名化数据、或使用更少数据的情况下实现;保留期限是否为必要的最短期限;合法依据是否恰当匹配;处理是否符合数据主体的合理预期。若存在侵入性更低的替代方案,应记录选择侵入性更强方案的理由。
第五步:识别并评估风险。 针对处理活动的每一要素,按对个人的影响(无法行使权利;身体、经济或声誉损害;歧视性对待;保密性丧失;重新识别;寒蝉效应)以及考虑现有保障措施后的可能性,识别风险情形。针对每一情形,记录可能性等级、严重程度等级及现有缓解措施。
第六步:识别并记录缓解措施。 针对每一中等或高风险情形,识别附加措施:技术层面(加密、假名化、数据最小化、自动化删除、访问控制、审计日志)及组织层面(员工培训、处理者合同义务、数据泄露应对流程、访问审查、默认隐私保护)。针对每项措施,记录其实施后仍将存在的剩余风险。
第七步:评估总体剩余风险。 若所有已识别风险均已降至低风险或可接受水平,DPIA即支持继续开展处理的决定。若任何风险情形仍存在高剩余风险,控制者必须重新设计处理活动以降低该风险,或进入第八步。
第八步:若仍存在剩余高风险,须与监管机构进行事先咨询。 第36(1)条规定:“若依据第35条开展的数据保护影响评估表明,在控制者未采取缓解措施的情况下处理将产生高风险,控制者应在处理之前咨询监管机构。”在监管机构作出答复或咨询期限届满之前,处理不得开始。
第九步:记录、批准并留存DPIA。 完成的DPIA应由控制者或有权承担风险的指定代表签署确认。若已咨询数据保护官,其意见及控制者的回应应作为记录的一部分。依据第5(2)条,将其作为问责文件留存。
第十步:设定审查计划。 第35(11)条要求“至少在处理活动所代表的风险发生变化时”进行审查。在文件中设定审查日期:中等风险处理活动通常为12至24个月,接近高风险门槛的处理活动通常为6至12个月。技术、规模、数据类型、目的或监管背景发生任何实质性变化,都应触发临时审查。
第36条下的事先咨询
第36条在DPIA得出结论认为,即便应用了一切合理的缓解措施,剩余风险仍然较高时启用。此时控制者必须在开展处理之前咨询监管机构。第36(1)条使用了具有强制性的“应当”一词。
提交事先咨询请求时,控制者必须提供第36(3)条列明的材料:控制者与处理者各自的责任;拟议处理的目的和方式;保护数据主体的措施和保障;数据保护官的联系方式;已完成的DPIA;以及监管机构要求的任何其他信息。
根据第36(2)条,监管机构最多有八周时间提供书面意见,对于特别复杂的处理活动,可再延长六周。在咨询期间,监管机构可以行使“第58条所述的任何权力”,包括发出正式警告、实施临时处理禁令,或提起违规诉讼程序。
事先咨询并非监管层面的事先批准或安全港。监管机构在咨询期内未提出异议,并不代表其已积极批准该处理活动。控制者仍需对GDPR合规承担法律责任。然而,一次已完成的事先咨询确实会形成一份同期记录,证明控制者已识别剩余风险、已向主管机构披露该风险,且未被要求停止处理。
第36(4)条要求成员国“在筹备将由国家议会通过、与处理有关的立法措施建议时”咨询监管机构,这是同一原则在公共部门的对应体现。
未开展必要DPIA的后果
未能开展必要的DPIA直接构成对第35条的违反。依据第83(4)条,违反第35条和第36条适用较低一档的行政罚款:最高1000万欧元,或全球年营业总额百分之二,以较高者为准。该罚款按每一违规行为及每一营业机构分别计算。
西班牙AEPD及匈牙利监管机构均曾作出决定,将高风险处理缺乏DPIA列为所认定违规事项之一。欧洲数据保护委员会的年度报告将DPIA合规列为检查中最常发现的缺口之一。
除直接罚款风险外,DPIA的缺失还会带来下游的问责问题。对于明显属于高风险的处理活动,若控制者无法提供DPIA,就无法证明其符合第5(2)条的要求,也无法证明其依据第24(1)条实施了适当的技术和组织措施。文件的缺失本身即是系统性失灵的证据。
依据第28条协议运营的处理者,日益被控制者要求就其配合DPIA流程的情况作出确认。无法记录其数据流、分处理者及安全架构的处理者,会给其控制者客户带来合规缺口。
与其他GDPR条款的相互作用
数据保护设计与默认保护(第25条)。 第25(1)条要求控制者实施旨在落实数据保护原则、并将必要保障措施纳入处理活动的措施。DPIA是识别高风险处理所需此类措施的主要机制,直接融入隐私设计流程。
处理活动记录(第30条)。 DPIA应与第30条的记录相互对照。记录是清单,DPIA则是针对高风险条目的深入分析。
处理安全(第32条)。 第32(1)条要求采取与风险相称的适当技术和组织措施,以确保适当的安全水平。DPIA的风险评估是第32条分析的天然基础。将两者视为相互独立工作的控制者,往往会发现其安全评估与DPIA相互矛盾。
特殊类别数据与刑事犯罪数据(第9条和第10条)。 除触发第35(3)(b)条的强制性DPIA外,第9条和第10条下更为有限的合法依据清单,意味着必要性和相称性评估必须更严格地审视所依据的具体第9(2)条条件是否真正适用于处理活动的每一个环节。
向第三国传输(第46条至第49条)。 若处理涉及将个人数据传输至欧盟/欧洲经济区以外,DPIA中必须记录传输机制,并将接收国的保护充分程度纳入风险评估。Schrems II判决(数据保护委员会诉Facebook Ireland Limited及Maximillian Schrems,C-311/18号案,大法庭,2020年7月16日)要求控制者对依赖标准合同条款的传输开展传输影响评估,该评估应与DPIA相互整合或直接引用。
免责声明: 本文就《(欧盟)2016/679号条例》(GDPR)提供一般性法律信息,不构成法律意见。GDPR由30个欧盟/欧洲经济区成员国的监管机构负责解释和执行,适用要求可能因处理活动的性质、所运营的成员国,以及监管指导意见和判例法的发展而有所不同。本页信息截至2026年6月已对照官方来源核实。如需针对具体情况提供意见,请咨询相关司法辖区合格的律师或数据保护专业人士。
Frequently Asked Questions
GDPR下何时必须开展DPIA?
根据第35(1)条,凡处理活动可能对自然人的权利和自由造成高风险,尤其是使用新技术时,须开展DPIA。第35(3)条在三种情形下将DPIA列为强制性要求:具有法律效果或类似重大影响的系统性自动化画像;大规模处理特殊类别数据或刑事犯罪相关数据;以及大规模系统性监控公共场所。控制者还须查阅其所在国监管机构公布的黑名单。当满足欧洲数据保护委员会九项高风险标准中的两项或以上时,依据WP248的立场,应开展DPIA。
谁负责开展DPIA?
控制者对开展DPIA承担法定责任。第35(2)条要求控制者在评估过程中,若已任命数据保护官,须咨询其意见,但数据保护官的角色是咨询性的:DPIA的准确性和完整性责任仍由控制者承担。处理者须依据第28(3)(f)条协助控制者,但不能承担控制者的法律责任。控制者不能通过委托第三方供应商来外包DPIA义务,尽管可以借助外部专业力量支持该流程。
如果控制者未开展必要的DPIA会怎样?
未开展必要的DPIA构成对第35条的违反,依据第83(4)条可处以最高1000万欧元或全球年营业总额百分之二(以较高者为准)的行政罚款。除直接罚款外,DPIA的缺失也是未依据第24(1)条实施适当技术和组织措施、以及未能证明符合第5(2)条的证据。监管机构在开展检查或处理投诉时,经常将缺失的DPIA列为合规缺口,其缺失可能使单一违规行为演变为更广泛的系统性问责失灵认定。
闭路电视监控是否必须开展DPIA?
使用闭路电视对公共场所进行大规模系统性监控,属于第35(3)(c)条的强制性DPIA触发情形。某一具体安装是否达到大规模和系统性门槛,取决于具体事实:营业时间内以人工方式监看的小型零售场所内单个摄像头,不太可能需要开展DPIA,而覆盖大型公共空间、配备自动分析且保留期限较长的摄像头网络,则显然需要。控制者还应查阅所在国监管机构的黑名单。若闭路电视系统包含人脸识别或生物识别分析功能,还将同时触发第35(3)(a)条和第35(3)(b)条。
GDPR第36条下的事先咨询是什么?
事先咨询是指控制者在开展处理之前,若即便应用一切合理缓解措施后,处理仍对数据主体保留高剩余风险,须通知并咨询其主管监管机构的程序。当DPIA确认剩余高风险无法充分降低时,第36(1)条规定的义务即被触发。控制者必须提交已完成的DPIA、处理活动描述、已到位的保障措施,以及数据保护官联系方式。监管机构最多有八周时间答复,对于复杂处理活动可延长六周。若监管机构认为该处理活动会违反GDPR,可以提出意见、发出警告,或禁止该处理活动。
DPIA是否需要提交给监管机构?
通常无需提交。DPIA是控制者编制并留存的内部问责文件。仅在两种情形下才需要提交:一是因DPIA显示存在无法缓解的剩余高风险而触发第36条事先咨询义务;二是监管机构行使检查或调查权限并要求查阅该DPIA。因此,控制者应将DPIA视为随时可能被监管机构要求提供的文件,并确保其内容详实、记录完善且保持更新。
一份DPIA能否涵盖多项处理活动?
可以。第35(1)条使用的是“一类处理操作”这一表述,序言第92段确认,一份DPIA可以涵盖一系列具有相似高风险特征的类似处理活动。若某一平台以多种可比方式处理数据,只要评估涵盖每一具体活动的特定风险,用一份DPIA覆盖该平台是可以接受的。同样,建立共享处理基础设施的公共机构,以及同一行业内部署共同技术的多个控制者,也可以开展一份共同的DPIA,但各控制者仍须审视该共享评估是否适用于自身的具体情形。
DPIA需要多久审查一次?
第35(11)条要求控制者“至少在处理活动所代表的风险发生变化时”审查DPIA。GDPR正文并未规定固定的审查周期,但WP248建议在完成DPIA时即设定审查计划,中等风险处理活动通常间隔一至两年。处理活动的任何实质性变化(包括新的数据类型、规模显著扩大、新技术、新目的、新的接收国,或法律或监管背景的变化)都应触发临时审查。控制者应在DPIA文件本身中记录计划审查日期。
关于DPIA的欧洲数据保护委员会指导文件是什么?
主要的欧洲数据保护委员会指导文件是WP248rev.01,即《关于数据保护影响评估(DPIA)以及判定处理是否可能对2016/679号条例目的造成高风险的指南》。该文件由第29条工作组于2017年4月4日通过,2017年10月4日修订,并于2018年5月首次全体会议获欧洲数据保护委员会认可。WP248列出了判断高风险的九项标准,建议控制者在满足两项或以上标准时开展DPIA,说明了DPIA必须包含的内容,并解释了DPIA与事先咨询之间的关系。完整文件可在欧洲数据保护委员会官网edpb.europa.eu获取。
GDPR的DPIA规则是否同样适用于处理者?
开展DPIA的法定义务落在控制者身上,而非处理者。但是,第28(3)(f)条要求数据处理协议中须包含一项条款,规定处理者协助控制者确保遵守第32条至第36条的义务,其中明确包括DPIA和事先咨询义务。实践中,处理者必须向控制者提供关于其数据流、分处理者及安全架构的信息。设计可能用于高风险处理的产品的处理者,如今日益被期望将预先编制好的DPIA文件或隐私影响评估模板作为产品服务的一部分提供。
Sources and References
- 《欧洲议会和理事会(欧盟)2016/679号条例》(通用数据保护条例),第35条(数据保护影响评估)(eur-lex.europa.eu)
- 《(欧盟)2016/679号条例》,第36条(事先咨询)(eur-lex.europa.eu)
- 《(欧盟)2016/679号条例》,序言第84、89、90、91、92、93段(eur-lex.europa.eu)
- 第29条工作组(WP29)关于数据保护影响评估(DPIA)以及判定处理是否可能造成高风险的指南,WP248rev.01(2017年10月4日通过,2018年5月获欧洲数据保护委员会认可)(ec.europa.eu)
- 欧洲数据保护委员会对WP29指南的认可,欧洲数据保护委员会首次全体会议(2018年5月25日至26日)(edpb.europa.eu)
- 欧盟法院C-131/12号案,Google Spain SL及Google Inc.诉西班牙数据保护局(AEPD)及Mario Costeja Gonzalez,大法庭,2014年5月13日(eur-lex.europa.eu)
- 欧盟法院C-311/18号案,数据保护委员会诉Facebook Ireland Limited及Maximillian Schrems(Schrems II案),大法庭,2020年7月16日(eur-lex.europa.eu)
- 欧洲数据保护委员会,第35(4)条要求开展DPIA的处理活动清单:各国监管机构名单(edpb.europa.eu)
- 英国信息专员办公室(英国GDPR),数据保护影响评估(ico.org.uk)
- 法国国家信息与自由委员会(CNIL),须开展AIPD评估的处理活动清单(法国数据保护机构DPIA黑名单)(cnil.fr)