个人信息保护影响评估（PIA）专题工作

一、关于个人信息保护影响评估的规定

    2021年11月1日，《中华人民共和国个人信息保护法》正式施行，其中第55条、第56条构建了我国个人信息保护影响评估制度。个人信息保护影响评估是针对个人信息处理活动，检查其合法合规程度，判断其对个人信息主体合法权益造成损害的各种风险，以及评估用于保护个人信息主体的各项措施有效性的过程。《中华人民共和国个人信息保护法》第55条规定，有下列情形之一的，个人信息处理者应当事前进行个人信息保护影响评估，并对处理情况进行记录：

    （一）处理敏感个人信息；

    （二）利用个人信息进行自动化决策；

    （三）委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息；

    （四）向境外提供个人信息；

    （五）其他对个人权益有重大影响的个人信息处理活动。

    《中华人民共和国个人信息保护法》第56条规定了个人信息保护影响评估的重点内容，评估报告及处理记录的保存期限。

二、开展个人信息保护影响评估的价值

    在开展个人信息处理前，个人信息处理者可通过个人信息保护影响评估，识别可能导致个人信息主体权益遭受损害的风险，并据此采用适当的个人信息安全控制措施。对于正在开展的个人信息处理，个人信息处理者可通过影响评估，综合考虑内外部因素的变化情形，持续修正已采取的个人信息安全控制措施，确保对个人合法权益不利影响的风险处于总体可控的状态。

    个人信息保护影响评估及其形成的记录文档，可帮助个人信息处理者在政府、相关机构或商业伙伴的调查、执法、合规性审计等中，证明其遵守了个人信息保护与数据安全等方面的法律、法规和标准的要求。在发生个人信息安全事件时，个人信息保护影响评估及其形成的记录文档，可用于证明个人信息处理者已经主动评估风险并采取一定的安全保护措施，有助于减轻、甚至免除个人信息处理者相关责任和名誉损失。

    个人信息处理者可通过个人信息保护影响评估，加强对员工的个人信息安全教育。参与评估之中，员工能熟悉各种个人信息安全风险，增强处置风险的能力。对合作伙伴，个人信息处理者通过评估的实际行动表明其严肃对待个人信息安全保护，并引导其能够采取适当的安全控制措施，以达到同等或类似的安全保护水平。    

三、如何开展个人信息保护影响评估

    评估前，对待评估的对象（可为某项产品、某类业务、某项具体合作等）进行全面的调研，形成清晰的数据清单及数据映射图表。同时，结合个人信息处理的具体场景，初步判断所处理的个人信息是否包含不必要的个人信息，对属于个人敏感信息的数据类型进行初步识别，并梳理出待评估的具体的个人信息处理活动。

    评估过程中，首先分析收集处理（或计划收集处理）的个人信息（个人敏感信息应重点关注）是否有必要、是否可以由其它非个人信息或者非个人敏感信息来替代；其次，分析个人信息处理活动对个人信息主体的权益造成的影响，并判定相应的影响程度；再次，对个人信息处理活动的特点、已采用的或已决定采用的安全措施、所涉及相关方类型和数量、个人信息处理活动的规模（包括信息总量、覆盖人群和地域等）等进行分析，判定对于个人信息主体的影响和个人信息安全事件发生的可能性。

    最后，综合分析必要性、影响程度和可能性三个要素，得出风险等级，并给出相应的改进建议，形成评估报告。