欧盟GDPR（又称《通用数据保护条例》）的生效，对欧盟乃至世界范围内的数据保护问题的推动作用令人期待，其中重要一点即在于该条例在数据保护问题上规定的全面性。数据控制者作为数据保护问题的核心主体，在处理活动开始之前所进行的数据保护影响评估也被欧盟GDPR纳入其中。

根据该条例规定

数据控制者作为数据处理活动的主导者，若拟进行的处理涉及新技术，同时可能对包括数据主体在内的自然人其权利及自由造成高风险时，应主动对该次处理活动进行数据保护影响评估。

在评估之前，必须综合考量该次处理的范围、性质、目的、语境等重要因素，以求对该次处理活动达到较为全面的认知。控制者所采取的评估措施针对的是计划处理过程中对于个人数据的保护可能造成的各方影响，既包括有利部分也包括不利部分。但考虑到该数据保护影响评估中，活动的性质对保护程度影响很大，因此对于多项同一种类的高风险活动，控制者可挑选其中一项进行数据保护影响评估，以此来确认同类别活动对数据保护的影响程度即可。

当然，在数据处理活动过程中，数据控制者可以将对数据的实际处理交由专门的数据处理者进行，也可以将实际操作层面的数据保护委任数据保护官进行。但数据保护官并非强制，因此也并非所有数据处理活动中均会存在。但若数据控制者进行了数据保护官的委任，则由其进行数据保护影响评估，同时数据控制者应当及时向数据保护官咨询评估结果，并将必要情况告知数据处理者，以确保数据处理活动的顺利进行。

虽然数据保护影响评估针对的是可能对自然人的权利及自由造成高风险的处理活动，但根据欧盟GDPR规定，在某些情形下，数据保护影响评估是必须进行的。首先是在与自然人相关的个人因素方面。一旦涉及对其相关因素进行系统全面的评价，数据保护影响评估就必须进行。根据条例规定，此类评价的基础为自动化处理，具体包括用户画像等内容。因这类决策往往会对自然人产生类似于法律层面的重大影响，因此必须进行数据保护影响评估。第二是以大规模的处理方式处理特殊类型的个人数据。具体包括显示宗教信仰、种族民族、政治观点、基因数据、个人生物识别等内容的数据。若该数据于违法犯罪或者司法审判相关，也同样必须进行数据保护影响评估。第三是当某个公众可以访问的空间被大规模的以系统性方式监督时，公众利益就纳入了此次数据处理的考量范围，因此也必须进行数据保护影响评估。

同时，针对数据保护影响评估，除数据控制者及数据保护官需要积极履行职责外，对数据保护负有监督职责的监管机构也必须有所作为。依照欧盟GDPR规定，监管机构应建立公开列表，明确合规的数据保护影响评估操作类型，同时将相关内容告知数据保护官。相对应的，通过建立公开列表的方式列明不需要进行数据保护影响评价的处理也同样可取。上述两个列表，监管方除应告知数据控制者及数据保护官外，还应告知欧盟数据保护委员会。

欧盟GDPR对数据保护影响评估的内容也做出规定

该评估应包括对该处理计划的目的及操作的系统性描述以及二者之间必要性与相称性的分析。同时，该处理可能对数据主体或者其他个人造成的权利及自由的影响也应在评估范围之内。在不影响该操作安全性的前提下，控制者还可在数据保护影响评价过程中咨询数据主体或者其中代表对于该处理计划的观点，以期最大程度减少数据处理可能面临的风险。

严正声明：本文章内容为佑碧艾商务咨询（上海）有限公司（以下简称LEB）原创作品，LEB对该作品享有全部著作权。欢迎转发，如需以任何形式转载请注明作品出处及标注作者（LEB）署名，违者将承担相应法律责任。特此声明。