高风险个人信息处理活动记录介绍

本条在要求个人信息处理者对这些高风险个人信息处理活动进行影响评估的同时，还要求对这些处理活动进行记录。对个人信息处理活动进行记录，有助于证明个人信息处理活动是否符合合规要求，也有助于在发生纠纷或者个人信息安全事件时发现、查找原因并明确责任人，是本法第九条责任原则的体现。

考虑到对个人信息处理活动进行记录须具备一定的条件，并付出一定的成本，而需要进行个人信息保护影响评估的处理活动对个人权益影响较大，因此本条将应当记录的范围限于这些高风险的个人信息处理活动，而不是所有的个人信息处理活动。欧盟《通用数据保护条例》关于个人信息处理活动记录的规定与此类似，该条例第三十条规定，对个人数据处理活动记录的义务，不适用员工规模在250人以下的企业和组织，但处理特殊类型的个人数据或者对个人数据主体权利和自由造成威胁的活动必须记录。

个人信息处理者对个人信息处理活动的记录，应当采取书面形式，包括纸质形式、电子形式等。关于记录的内容，目前可参考推荐性国家标准《信息安全技术　个人信息安全规范》的规定。

第五十六条　个人信息保护影响评估应当包括下列内容：

（一）个人信息的处理目的、处理方式等是否合法、正当、必要；(www.xing528.com)

（二）对个人权益的影响及安全风险；

（三）所采取的保护措施是否合法、有效并与风险程度相适应。

个人信息保护影响评估报告和处理情况记录应当至少保存三年。

［释义］本条是对个人信息保护影响评估内容的规定。