PIA 与数据出境风险自评估并不相同。PIA 是《个人信息保护法》第五十五条明确提出要求企业在向境外提供个人信息前应当开展的自评估工作,而数据出境风险自评估则是《评估办法》第五条提出的要求符合数据出境安全评估申报情形的企业在申报前应当开展的自评估工作。
换言之,如果企业拟向境外提供个人信息尚未达到《评估办法》和《跨境流动规定》规定的申报门槛,则企业仅需要完成 PIA,并在准备采取相应的数据出境制度(如签订和备案标准合同或进行个人信息保护认证)后即可向境外传输个人信息。但是,如果企业符合须开展数据出境安全评估申报的情形,则企业开展 PIA 的同时还需要进行数据出境风险自评估。
将 PIA 的评估事项与数据出境风险自评估进行比较可以发现,这两者存在一定的异同:
从关注重点来看,PIA 落脚于保障个人信息主体权益,包括个人信息处理活动是否正当、合法、必要以及是否采取了安全保护措施等。而数据出境风险自评估则更注重数据出境活动对国家安全、公共利益、个人或组织合法权益带来的风险。
从内容上讲,数据出境风险自评估的范围大于 PIA。数据风险自评估除包括了 PIA 的评估内容,还增加了判断数据出境相关合同或者其他具有法律效力的文件等是否充分约定了数据安全保护责任义务等内容。
总体而言,在个人信息出境场景下,尽管数据出境风险自评估与 PIA 报告的关注点有所不同,但是两者的目标和基本评估内容是相近的,都需要对个人信息出境活动进行分析和评估,筛选出潜在的漏洞和风险,并判断所采取的保护措施是否能够保证个人信息的安全。
在实践中,PIA 往往可以与针对个人信息的数据出境风险自评估合并完成,企业无需评估两次而可以在 PIA 内容的基础上进一步补充评估、完成数据出境风险自评估要求。但需要注意,《评估申报指南(第二版)》要求数据出境风险自评估报告严格按照模板撰写,所以企业在基于 PIA 内容补充评估时,应同时确保对标模板要求产出自评估报告。另外,PIA 报告和处理情况记录应当至少保存三年。如果企业将 PIA 报告和数据出境风险自评估报告合并完成,则需要将该报告至少保存三年。
来源:环球律师事务所等团队