编者按

“个人信息保护影响评估”或“隐私影响评估”等相关概念最早起源于加拿大、澳大利亚等数据保护相关条例较为发达的国家，在经由欧盟GDPR引入广泛推行和应用之后成为一项对个人信息必要的保护机制。谈到为什么要进行PIA评估工作？这与目前各国对于个人信息保护的严格立法监管，有密不可分的关系。首先根据我国《个人信息保护法》第五十五条的明确规定，PIA是法律明确规定特殊情形下的强制性义务。其次在个人信息跨境传输的场景下，开展个人信息安全影响评估，也是个人信息处理者必须事先完成的标准动作。最后在严格的监管审查下，企业主动PIA评估风险并采取一定的安全保护措施，还可作为应对监管的有效抗辩。这一系列的原因无不显示，PIA评估对于全面提高企业数据合规水平的重要意义。

随着个人信息保护的监管力度加强以及业务场景的复杂化，提升合规意识；了解业务场景特性；主动开展评估，已经成为了许多企业在现行大背景下所需采取的必然措施。唯有及时对具体的业务场景进行评估分析，根据评估结果及时“全面诊疗”，才能预防风险，减少不必要的损失和负面影响。那么如何从0到1成功开展一次PIA评估？评估过程中的管理和协调都有哪些需要注意的要点？评估报告和支持文件又该如何编撰？

✨温馨提示：文末附《PIA&个人信息保护模板合集》（17套），全面且系统，如有需要，可前往订阅号「iLaw合规」自行获取！

一 成功的评估从细致的计划做起

（一）PIA大揭秘

1、什么是PIA

个人信息保护影响评估（PIA，Personal Information Protection Impact Assessment）是针对个人信息处理活动，检查其合法合规程度，判断其对个人信息主体合法权益造成损害的各种风险，以及评估用于保护个人信息主体的各项措施有效性的过程。

2020年11月GB/T39335-2020《信息安全技术个人信息安全影响评估指南》国家标准正式发布。《个人信息安全影响评估指南》（以下简称“《指南》”）是《个人信息保护法》和《个人信息保护规范》标准落地的重要抓手，是我国个人信息安全保护标准体系的关键环节。它规定了个人信息安全影响评估的基本概念、框架、方法和流程，并提出了特定场景下进行评估的具体方法。适用于各类组织自行开展个人信息安全影响评估工作。同时为国家主管部门、第三方测评机构等开展个人信息安全监管、检查、评估等工作提供的指导和依据。

《个人信息保护法》第五十五条规定：

有下列情形之一的，个人信息处理者应当事前进行个人信息保护影响评估，并对处理情况进行记录：

（一）处理敏感个人信息；

（二）利用个人信息进行自动化决策；

（三）委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息；

（四）向境外提供个人信息；

（五）其他对个人权益有重大影响的个人信息处理活动。

《个人信息保护法》第五十六条还规定了个人信息保护影响评估的重点内容，评估报告及处理记录的保存期限（至少3年）。

此外，国标《GB/T 35273-2020 信息安全技术 个人信息安全规范》中对开展个人信息安全影响评估的场景进行了补充：

1、在产品或服务发布前，或业务功能发生重大变化时，应进行个人信息安全影响评估

2、在法律法规有新的要求时，或在业务模式、信息系统、运行环境发生重大变更时，或者发生重大个人信息安全事件时，应进行个人信息安全影响评估。

2、PIA的评估对象、客体与目标

对象：个人信息处理活动

客体：合法合规程度

目标：判断风险及评估控制措施的有效性

（二）PIA评估计划制定

个人信息安全影响评估旨在发现、处置和持续监控个人信息处理过程中的安全风险，督促企业建立预警机制，进行合规性检查，同时也有利于企业展示其保护个人信息安全的努力，提升透明度，增强个人信息主体对其的信任。

开展评估前，需对待评估的对象（产品/业务/具体合作等）进行全面的调研，形成数据清单及数据映射图表，并梳理出待评估具体的个人信息处理活动。

开展评估时，通过分析个人信息处理活动对个人信息主体的权益可能造成的影响及其程度，分析安全措施是否有效、是否会导致安全事件发生及其可能性，综合两方面结果得出个人信息处理活动的风险等级，并提出相应的改进建议，形成评估报告。

1、设定评估目标

在常见的业务过程中，PIA风险识别分为两大类别，一为合规确认，二为风险发现。

合规确认通常面对既有的产品或者业务，在这个场景中会长期地收集和处理个人信息，可能会触发敏感信息，此时PIA的主要目的在于确保整个处理活动、处理流程、所利用的技术工具合规，符合《个人信息保护法》所确立的各项原则和基本义务，以及GB/T35273-2020所确立的个人信息保护基本要求。

风险发现通常面对新业务或新功能探索。现行互联网环境，技术迭代层出不穷，不论是商业模式创新，还是技术手段创新，还是产品设计创新，都有可能涉及个人信息的收集和处理，并触发法定评估情形。因此对于新业务及其流程需要用“放大镜”进行风险评估，以确定是否会引发个人信息保护的风险及其可控性。

2、确立评估对象及范围

数据处理活动是宽泛概念，所以在具体评估事项中需要根据真正面临的特殊情况来确立评估对象，框定评估范围。范围太大会让评估变成不可能完成的任务；范围太小会使评估失去本身的意义和价值。

GB/T39335-2020对于评估对象和范围规定了三个维度，分别是“系统基本信息”、“系统设计信息”以及“处理流程和程序信息”。这些维度的界定基于传统思维，即利用某一信息处理系统或某一套软件、及其处理方式来确立评估范围。

在实际评估操作，建议从以下六方面来框定评估范围：

1、个人信息处理的场景、流程、技术、功能

2、所影响的个人信息主体、个人信息类型及敏感程度

3、所依赖的网络和系统基础设施

4、业务/产品的特殊性

5、涉及的第三方安全度

6、处理活动变更的可能性及其频度

最后在确定评估对象和范围时，要适当考虑新业务在未来迭代或发展过程中还会额外收集其他个人信息，或者可能会有一些新流程、处理方式，与现有方式存在差异。因此要把未来变化情况提前考虑，使得最后的评估范围包含变量。

3、参与人员及分工

（1）开展评估工作的团队（3层次）

负责人（有一定的管理权限、且独立于具体业务部门）团队成员（合规部门、法务部门、IT部门、安全支持部门）外部顾问（结合企业内部资源的可用性，有关业务和系统的复杂性，可根据实际需要考虑聘请聘请外部的法律合规顾问和/或技术评估顾问）

（2）配合评估工作的机构与个人（依实际情况进行选择配合）

涉及处理活动的部门（业务部门、安全团队、产品/服务设计与开发、产品运营、销售与售后支持、财务、行政与HR）外部机构（接受委托的机构、接受数据的其他处理者）

4、预计时间表及里程碑交付物

在时间表中需要提醒的、比较重大的工作是尽职调查。它实际上是对整个评估对象进行清晰地调查和梳理，生成一个对于处理活动的描述性文件。而后参照国标，以及相应的评估方式方法完成初步评估，对风险程度进行预判，并提出整改建议。每一个对应的改进事项的完成程度都会有类似于核查的底稿和报告。最后的成果是PIA报告。在评估结束后，还建议持续记录有关风险控制措施的执行情况。

5、评估方式方法

（1）访谈方式：问卷+访谈

（2）检查方式：文档检查+机制检查

（3）测试方式：安全测试+应用测试

二 评估过程中的管理和协调要点

（一）进度控制

以项目管理的方式进行进度控制，例如可以考虑使用项目管理中经常会使用的甘特图，每个阶段的工作事项里有计划完成的日期以及交付物。

但有很多议题，特别是涉及到其他业务部门的配合度，或者是第三方配合度，配合不及时会影响整体进度。但因为大部分工作可以交叉进行，所以在进行项目协调和进度计划时，需要保留灵活度。

（二）人员管理与协调

有一定的管理权限、独立于业务具体部门的负责人员能够更好地协调和管理参与人员。

参与人员的范围及人选需要因事而划定，在正式启动前建议进行宣导和动员工作，首先负责人要与相应涉及的部门领导有基础沟通，沟通PIA的价值和意义。

同时不同的业务部门需要根据具体特点指定对接人，能够有效改善整个PIA的进程和效率。

激励机制要结合企业内部管理机制，同时关联相应的成效检查机制，能够保证PIA在企业内部的不同部门之间得到真正相应配合，达到真正想要实现的效果。

（三）效率提升

问卷模板本身是双刃剑。如果不加区别的适用，不根据个人信息处理活动特定的场景和特定的产品特性进行定制和修订，最后得出的问卷结论肯定难达预期。所以模板和有针对性、个性化的定制问卷需要达到微妙平衡。

个性化定制与安全评估的对象范围挂钩，如果所限定的评估范围比较明确清晰的，那么不论是问卷设定还是访谈问题设定，都会把所希望获取的信息限定在比较窄的范围内，少提开放性问题，避免不确定性场景的出现，这将难以真正识别可能发生的风险。

除了上述影响效率的不同工作方式外，还有其他效率提升的方式，如：

1、既有资源的利用

有的企业有比较成熟的数据安全和个人信息保护制度、既有业务的PIA报告、既有PIA的支持性文件、企业有关信息系统的评测报告等。

2、善用图表

“文字+图表”能够进行清晰描述，利于厘定范围。

3、采纳自动化工具

通过自动化工具提高尽调和文件资料准备的效率。

4、多任务同步

问卷发放与访谈调研同步、表格分析结论与最终报告的准备实际上贯穿整个评估流程。

三 评估报告和支持文件的编撰建议

（一）编撰原则

1、全流程贯穿

评估报告的撰写，从最初的结构框定，计划制定，到之后确认评估对象范围，再到处理活动的详细描述、数据映射工作，所有的步骤所生成的内容都是最终报告的组成部分。因此，报告的撰写一定要有全流程意识。

2、普遍＋特殊

PIA报告既包括一些共性的特点，但也需考虑触发场景的多样性，有针对性的特殊分析和论证必不可少。

同时，境内处理活动与为个人信息出境所触发PIA的关注要点不同。例如在为个人信息出境活动而进行PIA中，重点关注数据出境安全风险，如境外接收方安全管控措施及履行能力、域外法律环境问题等，都是PIA需要着重分析和提供论证的特殊之处。

3、论证充分

PIA报告不论作何用处，向谁公开，都会涉及到结论本身的论证过程是否真正有理有据把风险分析透彻。论证的过程不仅要体现在报告本身，还可能体现在相应的文件中，如测试记录。即，论证过程需要通过某种方式加以体现。

（二）PIA报告基本结构

（三）常规量表项目灵活调整

数据映射表格是适用最多的表格，也是处理活动的基础。但我们需要根据自身的情况对国标39335中的模板表格进行扩展和删减。如果在明确不涉及出境的情况下，可以把跨境转移的栏目去掉，而增加更详细的处理活动特点的栏目。

（四）

特殊量表的适用及其项目

1、匿名化和去标识化效果分析表

（1）建议将匿名化与去标识化处理效果分开讨论，例如，在同一个处理活动中实现了匿名化，就不应该再单独保留去标识化的数据。

（2）应列明所采取的匿名化或去标识化技术措施。

（3）宜说明评估去标识化/匿名化有效性的测试方法或技术。

2、共享、转让、公开纰漏个人信息对个人信息的不利影响表

（1）如不涉及共享或披露则无需单列表格。

（2）在对上述场景进行评估时，应加入对第三方安全措施、保障能力、响应机制的评估项目。

（五）

避免套用模板和若干低级错误

PIA希冀以高质量呈现最终结果，满足评估目标。这就要求PIA报告是高质量、高水准、高诚意的，而非照搬照抄市面模板，切忌不加细察的复制粘贴，既无法通过未来监管的检查，也不利于在发生数据安全事件中的应对处理。

（六）

以常见风控措施作为整改基础

从国标39335所确定的四维度风险出发，影响个人主体权益的常见问题，以及可能产生的风险的影响程度。比较良好的实践中，有的企业有针对性地按照企业过往既有PIA案例，以及参考市场同行对类似个人信息处理活动的安全控制措施，制订和发布常见的个人信息安全风险控制措施指引，在准备PIA报告中可用作参考。

（七）

支持性文件和记录

1、底稿

（1）问卷及书面回复

（2）访谈记录/纪要

（3）截屏/录屏

（4）合同和处理记录

（5）核验/回访记录

2、描述与图表

（1）处理详情描述

（2）业务与数据流程图

3、既有资源

（1）等保测评报告

（2）安全审计报告

（3）算法备案报告

4、专项测试报告/记录

（1）安全有效性测试

（2）匿名化/去标识化效果测试

文末福利

为更切实、便利地帮助读者们开展PIA评估，iLaw精心准备了《PIA&个人信息保护模板合集》，内含PIA问卷模版：处理敏感个人信息；个人信息保护影响评估报告（官方模板）（出境版）；个人信息安全影响评估制度模板；数据出境风险自评估报告（模板）；个人信息保护与处理实用表格模板等17套模板，系统且实用，助力读者应对个人信息保护实务中存在的法律合规问题！如有需要，欢迎前往「iLaw合规」发送“PIA”免费领取～