信息安全中的风险路径已经有了成熟的实践，主要表现为针对组织的IT和数据等资产不受来自外界和内部的风险源的破坏的信息或网络安全风险评估。具体到个人信息保护中，相比于组织，个人是其保护重点。而与此相结合，风险路径也进行了“由内及外”的转换。对于风险评估概念，国际上均采用了影响评估这一概念（例如考虑对生态影响的环境影响评估），而这主要是为了控制组织的信息处理行为对外（即对个人）的影响。

 

 

 

欧盟GDPR对风险路径的贯彻体现在许多方面，其中第二十四条尤为突出。GDPR第二十四条主要对数据控制者保护义务做了总体性规定，其第一款规定：“考虑到数据处理的性质、范围、情境、目的，以及对自然人权利和自由的不同程度和大小的风险，数据控制者应采取合适的技术和组织方面的措施，以保证数据处理符合GDPR的规定。这些措施应经常评估和更新。”第二款进一步规定，“措施应与数据处理的风险合乎比例，应包括在内部建立合适的数据保护政策”。通俗来说，就是行为人在做出某种行为之前，需要考虑该行为可能造成的风险，并提出相称的保护措施，同时为适应新形势的变化，应当经常评估和更新这些保护措施。

 

 

 

除了上述对于数据处理风险的一般性规定，GDPR中还对数据控制者开展高风险数据处理行为进行了规定，要求其应当开展数据保护影响评估。GDPR第二十四条第一款规定：“在考虑数据处理性质、范围、情境、目的后，数据控制者如认为数据处理，特别是采用新技术的处理，可能导致个人权益有较高的风险被侵害的，应在处理前，进行数据保护影响评估。”该条第三款还规定，“在以下场景中，数据保护影响评估被特别要求：a)基于自动化数据处理，包括数字画像，对数据主体个人方面开展系统和广泛的评估，且评估对个人能产生法律效力或类似重大的影响；b)对特定类别的数据进行大规模处理，或处理与刑事犯罪和刑事起诉相关的个人数据的；c)对公开区域进行大规模、系统性监控的。”此外，GDPR第三十六条也规定，“如前述的数据安全影响评估表明，数据控制者不采取额外措施的话，数据处理将带来较高的风险，则数据控制者应在数据处理开始前，征求监管机构的意见。”可以看出，开展数据保护影响评估的目的主要在于督促数据控制者主动考虑风险，并主动提出降低风险的方案。

 

 

 

针对“个人信息保护影响评估”，除欧盟外，日本、澳大利亚、加拿大、巴西、印度、新加坡、英国等主要国家也进行了相关法律规制。美国虽然并未在联邦层面制定统一性的个人信息保护法律，但加利福尼亚、弗吉尼亚等州在隐私立法方面也确立了与欧盟类似的隐私影响评估制度。