关注公众号回复 "信息安全影响评估"  即可下载哦！

文件编号： 密级：内部公开

文档版本：V1.0

发布日期：2021-05-30

实施日期：2021-05-30

个人信息安全影响评估制度

编制： xxx      日期： 2021年5月

审核： xxx      日期： 2021年5月

批准： xxx     日期： 2021年5月

修订记录

状态分别为：创建、更新

目录

1 目的......................................................................................... 4

2 范围......................................................................................... 4

3 术语与定义............................................................................. 4

4 个人信息安全影响评估的义务主体及实施形式                  7

5 实施安全评估的场景及评估要点......................................... 8

6 尽责性风险评估..................................................................... 9

7 个人信息安全影响评估的基本原理及主要流程                11

8 个人信息安全影响评估报告的用途................................... 14

9 相关文件及记录................................................................... 15

1 目的

  为了规范组织日常经营管理活动，减少管理和合规成本，树立企业形象

，满足内外部监管合规，特制定本制度。

2 范围

本程序适用于xxx业务活动范围内的所有人员。

3 术语与定义

(一) 什么是个人信息安全影响评估

“个人信息安全影响评估” （personal information security impact assessment，简称“PISIA”），在《网络安全法》、《个人信息保护法》以及《数据安全法》中属于“风险评估”或者“安全评估”的范畴¹。根据《评估指南》，“个人信息安全影响评估”是指针对个人信息处理活动，检验其合法合规程度，判断其对个人信息主体合法权益造成损害的各种风险，以及评估用于保护个人信息主体的各项措施有效性的过程。个人信息安全影响评估旨在发现、处置和持续监控个人信息处理过程中对个人信息主体合法权益造成不利影响的风险。

(二) 安全评估立法的国际动向

2011年以来，国际标准化组织、国际电工委员会先后公布的ISO/IEC 29100：2011《信息技术 安全技术 隐私框架》、ISO/IEC 29134：2017《隐私影响评估》形成了隐私保护标准体系，对隐私影响评估（Privacy Impact Assessment，PIA）的评估过程、评估报告的结构和内容等做了规定。

在欧盟，《一般数据保护条例》（简称“GDPR”）专门规定了数据保护影响评估（简称“DPIA”）制度。GDPR第35条规定，数据控制者在进行数据处理之前，基于数据处理的性质、范围、内容及目的判断处理活动可能对个人的权利和自由构成高风险时，应实施DPIA²。

在日本，隐私影响评估主要体现为“特定个人信息保护评估”制度。根据2013年公布的《关于在行政程序使用识别特定个人的号码等的法律》，以及此后2014年、2018年先后公布的《关于特定个人信息保护评估的规则》、《特定个人信息保护评估指针》等配套规则，日本的行政机关、公共团体等在持有或者拟持有特定个人信息文件时，应预测对个人隐私等的权利利益可能产生的影响，并分析导致产生特定个人信息泄露以及其他事态的风险，通过特定个人信息保护评估表的形式确认并宣布采取减轻该风险的妥当措施³。

(三) 我国有关PISIA的法规体系及《评估指南》的定位

随着2017年《网络安全法》、《民法总则》的实施，我国不断从民事权利、网络安全的角度强化对个人信息的保护规制，以下图所示的主要体系为中心不断完善。同时，在法律法规、国家标准等不同层面，逐步对个人信息安全影响评估提出明确的要求。

法律层面，2017年实施的《网络安全法》中明确规定了个人信息跨境传输及网络安全事件发生后的安全评估机制，2019年实施的《儿童个人信息网络保护规定》明确规定了企业在儿童个人信息转移及委托处理场景下的安全评估责任。2020年公布的《数据安全法》规定了重要数据处理者应当定期开展风险评估并向主管部门报送风险评估报告。2020年10月21日最新公布的《个人信息保护法》，进一步细化了《网络安全法》的有关要求，第54条还专门列举规定了PISIA的适用场景、评估内容及报告形式要件等。

国家标准层面，2018年开始实施的《个人信息安全规范》（2020年10月1日起被GB/T 35273—2020替代）对PISIA做出定义，并详细规定其适用场景，具体包括基于个人信息的自动化决策、个人信息委托处理、共享/转让、公开披露活动等。2018年公布的《信息安全技术 个人信息安全影响评估指南（征求意见稿）》对评估做了统一全面的规定；2019年公布的《个人信息出境安全评估办法(2019征求意见稿)》专门针对个人信息出境，规定了实施评估的场景、主管部门、评估报告内容等。

根据《评估指南》征求意见稿编制说明，《评估指南》是《个人信息安全规范》标准落地的有力抓手，是完善我国个人信息安全保护标准体系的关键环节，使我国首次有了较为权威的评估个人信息安全的方法论与路线图。《评估指南》以标准形式给予个人信息安全保护更科学、更专业、一致性的指导，促进个人信息安全风险评估取得实效，便于监管机构用于检查和监督《个人信息安全规范》的落地，从而支撑《网络安全法》、《个人信息保护法》以及GDPR项下的DPIA实施工作。

4 个人信息安全影响评估的义务主体及实施形式

(一) 义务主体

关于有义务实施个人信息安全影响评估的主体，《个人信息安全规范》规定为 “个人信息控制者”⁴，而《个人信息保护法》规定为“个人信息处理者”⁵。从用语表达来看，似乎两个规范性文件规定的义务主体互不相同，但是从用语指代的实际内容来看，义务主体的内涵相同，均是指能够自主决定（有能力决定）个人信息处理目的、方式等个人信息处理事项的组织或个人。结合该定义，“能够自主决定个人信息处理目的、方式的组织”范围非常广泛，可能涵盖企业、公司、外国公司驻华机构等，不论通过网络方式或者线下方式自主处理个人信息，只要其处理个人信息的活动落入上述法规、国家标准规定的应当实施评估的情形，均有义务实施个人信息安全影响评估。

(二) 评估实施形式

从评估的发起主体来看，个人信息安全影响评估分为自评估和检查评估两种形式。自评估指的是企业等组织自行发起对其个人信息处理行为的评估，检查评估是指企业等组织的上级组织发起的个人信息安全影响评估工作。

从评估的实施主体来看，不论是自评估还是检查评估，都可以指定企业内部专门负责评估、审计的内部岗位或角色（例如法务部门、合规部门或信息安全部门）开展评估；也可以委托外部专业机构（网络安全评估机构、律师等）开展评估工作。值得注意的是，企业指定内部责任部门（一般为上述法务部门、合规部门或信息安全部门）实施评估时，应当保证该部门或责任人员的独立性，防止受到被评估方的影响。根据我们的经验，企业通常会聘请律师等外部专业机构、独立第三方参与评估工作，以保证责任部门在实施评估工作过程的独立性和客观性。

5 实施安全评估的场景及评估要点

根据《个人信息保护法》第54条，企业实施以下活动时，需要事先进行风险评估并制作风险评估报告，并记录个人信息处理情况。风险评估报告和处理情况记录应当至少保存三年：

(1)处理敏感个人信息；

(2)利用个人信息进行自动化决策；

(3)委托处理个人信息、向第三方提供个人信息、公开个人信息；

(4)向境外提供个人信息； 

(5)其他对个人有重大影响的个人信息处理活动。

需要注意的是，全国人大常委会法工委于2020年12月11日举办答记者会，指出2021年度的立法工作计划已纳入对《个人信息保护法》等法律案的继续审议，争取早日出台。根据人大常委会的立法进程，一般认为《个人信息保护法》有望2021年内通过，届时企业在实施第54条规定的个人信息活动之前，将承担实施个人信息安全影响评估的法定义务。

同时，尽管没有列入上述《个人信息保护法》第54条的规定，但根据《个人信息安全规范》，企业出现以下场景时，为降低个人信息处理活动的违规风险，应开展个人信息安全影响评估：（1）在产品或服务发布前，或业务功能发生重大变化时；（2）在法律法规有新的要求时：（3）在业务模式、信息系统、运行环境发生重大变更时；（4）发生或重大个人信息安全事件时。

对于企业实施上述个人信息处理活动、场景时的安全评估要点，《评估指南》附录A的相关指南做了详细规定，企业可以相应参照实施。

6 尽责性风险评估

企业在日常经营过程中，除为遵守相关法规的基线要求而实施安全评估之外，有时出于审慎经营、声誉维护、品牌建立等目的，往往主动选取可能对个人合法权益产生高风险的个人信息处理活动，开展尽责性风险评估，以尽可能降低对个人信息主体合法权益的不利影响。以下基于《评估指南》附录B，概括常见的高风险个人信息处理活动及场景示例。

个人信息处理活动

场景示例

a）数据处理渉及对个人信息主体的评价或评分，特别是对个人信息主体的工作表现、经济状况、健康状况、偏好或兴趣的评估或预测：

对个人信息主体使用社交网络和其他应用程序的行为进行分析，以便向其发送商业信息或垃圾邮件。

b）使用个人信息进行自动分析给出司法裁定或其他对个人有重大影响的决定：

电商平台监控用户购物行为，进行用户画像，分析用户的购买偏好和购买能力，设置针对用户特定偏好的营销计划。

c）系统性的监控分析个人或个人信息，如在公共区域监控、采集个人信息等，但仅在涉及违规事件分析时才使用的视频监测系统除外：

设置在工作场所的IT监测系统，监控员工的电子邮件、所使用的应用程序等，用于分析员工工作时间及使用工具（如电子邮件、互联网）的情况

d）收集的个人敏感信息数量、比重较多，收集频率要求高，与个人经历、思想观点、健康、财务状况等密切相关：

e）数据处理的规模较大，如涉及100万人以上、持续时间久、在某个特定群体的占比超过50%、涵盖的地理区域广泛或较集中等：

社交网络、在线浏览器、有线电视订阅服务大规模收集用户浏览网站、购买记录、观看记录、收听记录等数据。

f）对不同处理活动的数据集进行匹配和合并，并应用于业务：

电商平台、零售商店通过分析顾客的购物、优惠券使用等行为数据，结合顾客的信用数据、第三方和社交网络数据等，获得提高销售额的营销策略。

g）数据处理涉及弱势群体的，如未成年人、病人、老年人、低收入人群等：

能够连接网络的智能玩具收集儿童玩耍的音频、视频数据,或收集儿童的年龄、性别、位置等信息。

h）创新型技术或解决方案的应用，如生物特征识别、物联网、人工智能等：

健身俱乐部、酒店等入口控制系统，指纹支付或刷脸支付等支付程序，通过收集和处理个人信息主体的个人生物识别信息，判断是否拥有进入某些区域、使用某些功能的权限。

i）处理个人信息可能导致个人信息主体无法行使权利、使用服务或得到合同保障等。

7 个人信息安全影响评估的基本原理及主要流程

(一) 基本原理

开展评估前，需要对评估的对象（可能为某个系统、某类业务）进行全面的调研, 形成清晰的数据清单及数据映射图表（data flow charts），并梳理出待评估的具体的个人信息处理活动。

开展评估时，通过分析个人信息处理活动对个人信息主体的权益可能造成的影响及其程度，以及分析安全措施是否有效、是否会导致安全事件发生及其可能性，综合两方面结果得出个人信息处理活动的安全风险及风险等级，并提出相应的改进建议,形成评估报告。评估原理示意图如下所示（参见《评估指南》第4.5条）。

评估的规模往往取决于受到影响的个人信息主体范围、数量和受影响的程度。通常，企业在实施该类个人信息安全影响评估时，个人信息的类型、敏感程度、数量，涉及个人信息主体的范围和数量，以及能访问个人信息的人员范围等，都会成为影响评估规模的重要因素。

(二) 主要流程

不管是自评估还是检查评估，两种形式的评估的实施流程是一致的，主要的流程分为九大步骤，详细内容如下表所示。

8 个人信息安全影响评估报告的用途

实施个人信息安全影响评估，能够有效加强对个人信息主体权益的保护，有利于公司对外展示其保护个人信息安全的努力，提升透明度，増进个人信息主体对其的信任。具体而言，其主要用途包括： 

(1)在开展个人信息处理前，公司可通过影响评估，识别可能导致个人信息主体权益遭受损害的风险，并据此釆用适当的个人信息安全控制措施。

(2)个人信息安全影响评估及其形成的记录文档，可帮助公司在政府、相关机构或商业伙伴的调查、执法、合规性审计中，证明遵守了个人信息保护与数据安全等方面的法律、法规和标准的要求。

(3)在发生个人信息安全事件时，个人信息安全影响评估及其形成的记录文档，可用于证明企业己经主动评估风险并釆取一定的安全保护措施，有助于减轻、甚至免除企业的相关责任和名誉损失。

实践中，我们已协助一些企业参照《评估指南》实施个人信息安全影响评估的合规自查。对于企业来说，合理评估并处置个人信息处理活动存在的安全风险，是遵循相关法规的合规要求，更是主动应对大数据时代信息风险的应有之义。

9 相关文件及记录

              关注公众号回复 "信息安全影响评估"  即可下载哦！