个人信息保护影响评估（PIA）

一、什么是个人信息保护影响评估

    “个人信息保护影响评估”也称“个人信息安全影响评估”，是针对个人信息处理活动，检验其合法合规程度，判断其对个人合法权益造成损害的各种风险，以及评估用于保护个人的各项措施有效性的过程。

    个人信息保护影响评估是一种风险管理工具，它可以帮助个人信息处理者识别和分析其处理活动可能带来的法律、技术、组织等方面的风险，并采取相应的措施来降低或消除这些风险，从而提高个人信息处理的安全性和合规性。

二、工作背景

    增强个人信息主体的信任：个人信息保护影响评估的首要功能在于合规检验。违规处理个人信息，即使风险可控，也是令人无法接受的。虽然合规处理也可能导致高风险，但个人信息处理首先必须合规。通过对拟开展的个人信息处理活动进行事前合规评估，能够有效加强对个人信息主体权益的保护，有利于组织对外展示其保护个人信息安全的努力，提升透明度，增强个人信息主体对其的信任。

    识别并降低个人信息安全风险：个人信息处理难免会导致或高或低的安全风险，但不能由此阻止个人信息处理，关键在于将风险控制到可接受的低水平。个人信息保护影响评估是有效 的风险评估工具，通过将保护关口前移，有利于及早发现个人信息处理行为可能存在的风险和可能造成的不利影响，从而可以有针对性地设计业务流程并采取防范措施。

    减轻或免除个人信息处理责任：通过有效实施个人信息保护影响评估，不仅可以增强个人信息处理者的风险管理能力，对外展示保护个人信息的努力，有利于提升企业声誉，而且还有助于减轻或免除个人信息处理责任。个人信息保护影响评估报告和处理记录，是证明个人信息处 理者合规处理个人信息的重要证据。在发生纠纷或损害时，如果通过调取记录，发现个人信息处理者进行了有效的个人信息保护影响评估，对识别的风险采取了相应的保护措施，就可以减轻或免除个人信息处理者的责任。

三、开展个人信息保护影响评估的价值

    实施个人信息安全影响评估，能够有效加强对个人信息主体权益的保护，有利于组织对外展示其保护个人信息安全的努力，提升透明度，增进个人信息主体对其的信任，具体包括以下六个层面的价值：

四、PIA标识

    PIA标识（一星级）

    标识解释：与该标识相关的特定业务场景的PIA评估工作参考了相应国家标准及PIA专题工作制定的工具表格，工作方法较为规范。

    PIA标识（二星级）

    标识解释：权威第三方机构参考了相应国家标准及PIA专题工作制定的工具表格，对该标识相关的特定业务场景开展PIA评估工作，出具了评估报告。

    PIA标识（三星级）

    标识解释：组织通过固化工作流程、完善评估工具及知识库、联动安全设备数据等方式将取得“PIA标识（二星级）”的场景采取的工作方法复制至所有需评估场景，确保规范的PIA工作能得到有效、高效实施。

五、检测认证中心介绍

     我们与公安部第三研究所合作进行个人信息保护影响评估（PIA）的推进。

     公安部第三研究所检测认证中心是经国家认监委资质认定合格，通过中国合格评定国家认可委员会认可，具有第三方公证地位的综合性技术服务机构，中心拥有一支专业扎实的数据安全咨询与评估专家团队，长期为相关企业用户、机构单位等提供个人信息保护影响评估、数据安全风险评估、数据分类分级咨询、数据出境安全评估、数据安全顶层规划等服务，助力相关个人信息处理者提升其网络和数据安全保障能力。