数据保护影响评估-DPIA介绍

GDPR引入了数据保护影响评估的概念，并在第35条(Data Protection Impact Assessment)中定义了详细具体的要求。法律条款对技术人员来说不好消化，我结合法规和监管结构的各种指引，接下来对DPIA做一个全面介绍。

什么是DPIA

DPIA是一种风险评估流程，它专注于系统性地识别和分析产品/服务中的隐私风险(数据保护风险)，评估的是由于个人数据的处理给自然人带来的影响的可能性和严重性。所以它不是一个技术控制措施，而是产品服务在设计开发及运维过程中需要嵌入的管理流程。正确执行DPIA可以帮助我们证明遵守了GDPR的数据保护义务。

这里的隐私风险具体指什么呢？GDPR中也有一个说明，它指的是“个人数据处理可能导致自然人的权利和自由面临不同可能性和严重程度的风险，这可能导致人身的、物质或非物质损害。 特别是：处理可能导致歧视、身份盗用 或欺诈、经济损失、名誉损害、受专业保护的个人数据机密性丧失、假名身份曝光，或任何其他重大经济或社会不利因素； ...”。在具体执行DPIA的时候，可以参考Ryan Calo的隐私伤害分类法。

DPIA的目的并不是识别并消除所有风险，而是帮助我们识别记录已知的隐私风险，并评估剩余风险是否是合理及可接受的。

DPIA不是一个一次性的任务，而是需要持续运行的活动，在产品和服务的全生命周期中，我们需要定期执行DPIA来审查当前的风险状况。

什么场景下要执行DPIA

1. 法规要求

    GDPR要求如果我们的数据处理活动会给自然人的权利和自由带来高风险时，并且举例如下

        1）通过自动化方式来分析用户数据并进行预测(用户画像，推荐系统);

        2) 大规模处理自然人的特殊数据(种族、信仰、个人生物信息，健康信息等)及犯罪信息；

        3）系统性的大规模的监控公共场所

    请注意GDPR的第25条“通过设计和默认的数据保护”条款中，也对DPIA提出了时机上的需求，要求在“在决定处理方式和决定处理时”，就可以基于DPIA的结果来实施合适的技术或管理措施。换句话说，DPIA应该在我们确定了产品/服务开发的需求时就执行，以帮助确定产品需满足的隐私需求。

2. 监管指南

    英国数据监管机构ICO要求涉及到如下处理活动时同样要进行DPIA

    1）通过数据汇聚，将不同来源的个人数据进行聚合(线上线下打通，跨组织数据合并...)；

    2）收集个人数据时，未向用户提供隐私通知构成隐形处理时(物联网采集, 网络访问行为...)；

    3）跟踪个人的位置和行为；

    4）涉及儿童的数据采集和个人分析，或者是为儿童进行营销或提供在线服务；

    5）发生数据泄漏会导致自然人身体健康或人身安全的数据处理活动

3. 内部合作

    除了如上的合规性要求，DPIA作为一个有效的风险识别和管理方法，应该嵌入到组织的产品开发流程中。在任何涉及到个人数据采集与处理的产品/服务进行设计与开发之前，都有必要通过DPIA来发现、处理和跟踪风险。防止由于各团队间对隐私需求理解的不一致，导致上线后的产品/服务出现隐私漏洞。我们都了解问题发现得越晚，整个修复的成本就越高。

下一节我们继续介绍DPIA包含的内容和执行方式

//参考资料： ICO - Guide to The GDPR