数据跨境视角下的个人信息保护影响评估（下）

《指南》作为推动个人信息保护影响评估落地的重要指导文件，进一步细化了具体的评估流程，具体包括数据映射分析、风险源识别、个人权益影响分析以及安全风险综合分析四个方面。评估原理示意图如下：

（一）评估前

相关企业应组建评估团队、制定评估计划、确定评估对象和范围以及制定相关方咨询计划。相关企业需任命评估人并由其确定个人信息保护影响评估报告的提交对象、评估时间段以及是否会公布报告或其摘要。制定评估计划时应清楚规定完成评估需进行的工作、评估任务分工、评估计划表，并考虑评估场景中止或撤销的处置方式。

（二）评估中

1.数据映射分析

相关企业需要梳理评估场景涉及的个人信息处理过程，形成清晰的数据清单及数据映射图表。相关企业需要梳理内部的个人信息收集、存储、使用、转让、共享、删除等全生命周期涉及的个人信息类型、处理目的、具体实现方式等，以及个人信息处理过程涉及的资源和相关方，形成明确的内部数据梳理表。

2.风险源识别

风险源识别是为了分析个人信息处理活动面临哪些威胁源，是否缺乏足够的安全措施，导致存在脆弱性而引发安全事件。对个人信息安全事件的风险识别可使用威胁识别方法和脆弱性识别方法。《指南》提出为进一步简化个人信息安全事件可能性的分析过程，应重点评估网络环境和技术措施；个人信息处理流程；参与人员与第三方；业务特点和规模及安全态势。出境场景需要特别关注境外接收方本身的风险，例如境外接收方所在地的法律政策变化导致的风险。

3.个人权益影响分析

个人权益影响分析过程一般包含对个人信息敏感程度分析、个人信息处理活动特点分析、个人信息处理活动问题分析以及影响程度分析四个阶段。个人权益影响分析指分析个人信息处理活动是否会对个人信息主体合法权益产生影响，以及可能产生何种影响。个人权益影响可依据限制个人自主决定权、引发差别性待遇、个人名誉受损或遭受精神压力、人身财产受损这四个维度进行具体分析。跨境场景会涉及境外接收方，因为语言、监管要求等方面的差异，需要特别关注个人信息权益维护的渠道是否通畅。

4.安全风险综合分析

评价安全事件发生的可能性等级，分析对个人权益的影响，综合分析得出个人信息处理活动的安全风险等级。进行安全风险综合分析时，首先应分析已实施的安全措施、相关方、处理规模等要素，评价安全事件发生的可能性等级；其次应分析可能发生的安全事件会对个人权益产生何种影响，并评价对个人权益影响的程度等级；再次应综合考虑安全事件可能性和个人权益影响程度两个要素，综合分析得出个人信息处理活动的安全风险等级。

（三）评估后

相关企业需要完成内部的个人信息保护影响评估报告，选择公开的报告可以在现有报告基础上予以简化。但是《指南》指出，即使内容可以简化，报告内容应至少包含收集和处理个人信息的类型和必要性（个人敏感信息需单独强调）；个人信息处理的例外情况（法律法规规定等）；合规性分析的概况；评估过程和结果概况；已实施和将要实施的风险处置措施概况；对个人信息主体的建议；实施评估责任部门和人员的联系方式和解答疑问的渠道等信息。

《个保法》规定个人信息跨境前需要先开展个人信息保护影响评估，《规定》虽然明确了很多数据跨境的豁免情形，但是其第十条仍然要求相关企业在涉及个人信息跨境活动时，应当按照法律、行政法规的规定进行个人信息保护影响评估。因此，只要相关企业开展个人信息跨境活动，无论是基于豁免情形，还是基于数据出境安全评估、个人信息出境标准合同、个人信息保护认证的途径开展跨境活动，都需要履行个人信息保护影响评估义务。相关企业可以基于《个保法》、《合同办法》、《认证要求》的相关评估内容，结合《指南》的流程规范，开展个人信息保护影响评估。