2021 年 11 月 1 日，《个人信息保护法》（以下简称《个保法》）的正式施行，可以说在我国个人信息保护法治建设具有里程碑意义。《个保法》内容具备系统性、针对性和可操作性特点，规范了个人信息处理活动，明确了组织的法律责任和义务，为个人信息保护提供了强有力的法律保障。
与此同时，《个保法》创新性地提出了众多有助于个人信息保护的新举措，其中，《个保法》第五十五、五十六条所提出的“个人信息保护影响评估”便是一项有助于推动个人信息保护“关口前移”的重点工作。例如，《个人信息出境标准合同规定（征求意见稿）》第七条指出，个人信息处理者应当在标准合同生效之日起 10 个工作日内，向所在地省级网信部门备案个人信息保护影响评估报告，对评估报告的检查将可能成为监督管理工作的重要抓手。更进一步，还可以通过对其评估报告内容进行查阅和分析，评判组织是否充分履行了评估的义务，识别个人信息处理活动是否依然存在风险，从而防止影响评估工作被“边缘化”“无效化”。
在履行个人信息保护职责的部门开展个人信息保护影响评估相关的检查中，“影响评估指南”也能成为重要的助力工具，这也与该国家标准在其适用范围中所述“可为主管监管部门、第三方测评机构等组织开展个人信息安全监督、检查、评估等工作提供参考”相呼应。“影响评估指南”所提出的系统性方法，不仅为组织充分履行个人信息保护影响评估义务提供思路、方法，也可为个人信息保护职责的部门分析组织所提供的个人信息保护影响评估报告的完备性、条理性、科学性等提供参考。
综上，如果对个人信息保护影响评估工作的检查成为一种常态化监督的手段，将可能进一步强化组织对个人信息处理的风险警惕和合规意识，从组织内部形成一道个人信息保护“防火墙”，真正地让个人信息保护做到“关口前移”。
(二) 企业开展个人信息保护影响评估的意义

开展个人信息保护影响评估, 对企业而言具有以下意义:

(1) 如前文所述, 开展个人信息保护影响评估是《个保法》下的法定义务;
(2) 开展个人信息保护影响评估可以通过识别个人信息处理行为与法律、法规、标准或良好的行业实践之间的差距, 并据此采取适当的安全控制措施;
(3) 开展个人信息保护影响评估形成的记录文档在发生个人信息安全事件时, 可以在监管机构调查、执法、合规审计等法律程序中, 作为企业证明其遵守了个人信息保护与数据安全等方面的法律、法规和标准的证据;
(4) 个人信息保护影响评估有利于持续关注法律监管环境的动态并不断发现、处置和监控个人信息处理过程对个人信息主体合法权益的影响和潜在风险, 建立企业个人信息保护的公信力, 以进一步改进和提升自身的安全风险管理能力, 实现“动态合规”。(一) 法定评估场景

《个保法》和其他法律规范规定了必须开展个人信息保护影响评估的场景。

从行为角度, 《个保法》第55条规定: 处理敏感个人信息, 进行自动化决策, 委托处理、对外提供、公开个人信息以及向境外提供个人信息时, 开展个人信息影响评估是个人信息处理者的法定义务, 否则未履行法定义务将可能面临严厉的法律责任及相关监管机关的处罚。

从时间节点看, 《信息安全技术 个人信息安全规范》第11.4节中规定了必须要进行个人信息安全影响评估的情形, 比如当产品或服务发布前或业务功能发生重大变化时, 发生重大个人信息安全事件, 在法律法规有新要求或业务模式、信息系统、运行环境发生重大变更时等情形时, 均需要开展个人信息安全影响评估。

结合以上两个角度,当企业涉及处理敏感个人信息, 进行自动化决策, 委托处理、对外提供、公开个人信息或向境外提供个人信息时, 以及产品、服务或业务开展前、发生重大变化时或者其技术、法律环境发生重大变化时, 需要开展个人信息保护影响评估。