如何进行个人信息保护影响评估？法律法规和国家标准解读

2023-04-25

根据《信息安全技术个人信息安全影响评估指南》（GB/T 39335-2020）（以下简称《指南》），个人信息保护影响评估（personal information security impact assessment），是指针对个人信息处理活动，检验其合法合规程度，判断其对个人信息主体合法权益造成损害的各种风险，以及评估用于保护个人信息主体的各项措施有效性的过程，旨在发现、处置和持续监控个人信息处理过程中对个人信息主体合法权益造成不利影响的风险。

从这一定义可以看出，个人信息保护影响评估是一种风险管理工具，它可以帮助个人信息处理者识别和分析其处理活动可能带来的法律、技术、组织等方面的风险，并采取相应的措施来降低或消除这些风险，从而提高个人信息处理的安全性和合规性。

个人信息保护影响评估

二、为什么要进行个人信息保护影响评估

有以下几方面的好处：

（1）符合法律法规和国家标准的要求。我国《网络安全法》、《民法总则》、《数据安全法（草案）》、《个人信息保护法（草案）》等法律法规以及《指南》、《数据出境安全评估指南（征求意见稿）》等国家标准都明确规定了在某些情况下应当进行个人信息保护影响评估。如果不按照规定进行评估，可能会受到监管部门的处罚或者被追究民事责任。

（2）提升企业形象和信誉。可以显示企业对于个人信息主体权益的尊重和重视，增强企业在公众和客户心目中的形象和信誉，有利于提升企业品牌价值和市场竞争力。

（3）优化企业内部管理。可以帮助企业建立健全内部管理制度和流程，规范个人信息处理活动，提高个人信息处理的效率和质量，防止或减少个人信息安全事件的发生，降低企业的运营成本和法律风险。

（4）保障个人信息主体权益。可以帮助企业及时发现和解决个人信息处理活动中可能存在的问题，避免对个人信息主体的合法权益造成不必要的损害，维护个人信息主体的隐私、自主、尊严等价值。

三、哪些行业和场景需要进行个人信息保护影响评估？

（1）根据《个人信息保护法（草案）》第五十四条的规定，如果个人信息处理者从事以下活动之一，应当事先进行个人信息保护影响评估：

1. 使用个人信息实现自动化决策；

2. 对个人信息进行跨境传输；

3. 对敏感个人信息进行处理；

4. 对个人信息进行共享、转让或者公开披露；

5. 对个人信息进行处理，可能对个人信息主体的合法权益造成重大影响的其他活动。

（2）根据《数据安全法（草案）》第三十条的规定，如果数据处理者从事以下活动之一，应当事先进行数据出境安全评估：

1. 向境外提供重要数据；

2. 向境外提供涉及国家安全、公共利益、或者涉及个人信息主体数量超过一定规模的数据。

（3）根据《网络安全法》第三十七条的规定，如果网络运营者从事以下活动之一，应当事先进行安全评估：

1. 向境外提供涉及国家安全、公共利益、或者涉及重要数据或者大量个人信息的网络产品或者服务；

2. 向境外提供涉及国家安全、公共利益、或者涉及重要数据或者大量个人信息的网络运营数据。

（4）根据《指南》第五章的规定，如果组织从事以下活动之一，也应当考虑是否需要进行个人信息保护影响评估：

1. 新建或改造涉及个人信息处理的系统、设备或技术；

2. 新增或变更涉及个人信息处理的业务流程或功能；

3. 新增或变更涉及个人信息处理的合作方或第三方；

4. 发生了可能影响个人信息安全的事件或变化。

四、如何进行个人信息保护影响评估

根据《指南》，进行个人信息保护影响评估应当遵循以下原则：

（1）合法性原则。应当符合法律法规和国家标准的要求，遵守行业规范和行业惯例，尊重个人信息主体的合法权益。

（2）系统性原则。应当全面覆盖个人信息处理活动的各个环节和方面，考虑各种可能的风险因素和影响结果，采用科学合理的方法和工具。

（3）透明性原则。应当公开透明地进行，及时向相关方披露评估目的、范围、过程、结果等信息，征求并充分考虑相关方的意见和建议。

（4）持续性原则。应当根据实际情况定期或不定期地进行，及时跟踪监测评估结果的执行情况，发现新的风险或变化时及时调整评估方案和措施。

五、根据《指南》，进行个人信息保护影响评估应当遵循以下步骤：

（1）确定是否需要进行评估。根据法律法规和国家标准的规定，以及企业自身的风险管理策略，判断是否有必要对某项或某类个人信息处理活动进行评估。

（2）确定评估范围和方法。根据评估目标和对象，确定评估涉及的个人信息处理活动、个人信息类型、风险类型等范围，以及评估所采用的方法、工具、标准等方式。

（3）收集并分析相关信息。收集与评估相关的各种资料和数据，包括法律法规、国家标准、行业规范、企业政策、技术文档、合同协议等，并对其进行分析和整理。

（4）识别并评估风险。识别出个人信息处理活动中可能存在的各种风险因素，包括威胁源、威胁事件、脆弱性等，并对其进行定性或定量的评估，确定风险等级和影响程度。

（5）制定并实施措施。根据风险评估结果，制定相应的措施来消除或降低风险，包括预防措施**、检测措施、应急措施等，并将其纳入企业的个人信息保护管理体系中，确保有效执行。

（6）编制并保存报告。根据《指南》的要求，编制个人信息保护影响评估报告，记录评估过程、结果和措施，并将其保存至少三年，以备监管部门或者个人信息主体查询或者核查。