一、什么是个人信息保护影响评估（PIA）？

在数字化时代，个人信息是一种重要的资源，也是一种敏感的数据。个人信息处理活动涉及到个人信息主体的隐私权、人格权、财产权等合法权益，如果不加以合理保护，可能会导致个人信息泄露、滥用、篡改等风险，给个人信息主体造成不可估量的损失。因此，个人信息保护影响评估（PIA）应运而生，作为一种有效的个人信息安全管理手段，得到了越来越多的关注和应用。个人信息保护影响评估（PIA）是根据《个人信息保护法》和《个人信息安全规范》等相关法律法规的要求，对个人信息处理活动进行全面审查和评价，判断其是否符合法律法规和行业标准，以及是否存在对个人信息主体权益造成损害的风险，并提出相应的改进措施和建议。

为了帮助企业更好地遵守《个人信息保护法》和《个人信息安全规范》等相关法律法规的规定，广东安证计算机司法鉴定所参照国家标准GB/T 39335-2020《信息安全技术 个人信息安全影响评估指南》，制定了完善的PIA流程和方法，并根据不同的业务场景和风险等级进行分类评估。

二、为什么要做PIA？

（1）满足法律法规要求

PIA是《个人信息保护法》和《个人信息安全规范》等相关法律法规的要求，是个人信息处理者履行法律义务和社会责任的表现。如果不进行个人信息保护影响评估，可能会面临法律风险和监管处罚。

（2）提高个人信息安全管理水平和能力

PIA是提高个人信息安全管理水平和能力的有效手段，可以帮助个人信息处理者及时识别和降低个人信息安全风险，防止发生个人信息泄露、滥用、篡改等安全事件，避免造成经济损失和声誉损害。

（3）增强个人信息主体信任和满意度

PIA是增强个人信息主体信任和满意度的重要途径，可以帮助个人信息处理者展示其保护个人信息安全的努力和成果，提高个人信息透明度和可信度，增加个人信息主体对其产品或服务的认可

三、怎么开展个人信息保护影响评估（PIA）？

个人信息保护影响评估（PIA）主要从以下几个方面进行：

（1）确立评估目标和范围

根据个人信息处理活动的性质和目的，明确评估的对象、客体和目标，以及评估所涉及的个人信息种类、敏感程度、处理流程、技术手段、第三方关系等。

（2）进行尽职调查

通过问卷、访谈、文档检查等方式，收集和分析有关个人信息处理活动的详细信息，包括数据清单、数据映射图表、数据生命周期管理、数据安全措施等。

（3）评估风险和影响

通过风险分析方法，识别和评估个人信息处理活动对个人信息主体权益造成损害的可能性和严重程度，以及现有措施是否有效防范或降低风险。

（4）提出改进建议

根据评估结果，提出针对性的改进措施和建议，包括完善数据治理制度、优化数据处理流程、加强数据安全技术、提高数据透明度和可信度等。

（5）编写评估报告

将评估过程和结果整理成报告形式，并按照相关要求进行保存和更新。

四、个人信息保护影响评估（PIA）适用场景

（1）履行《数据安全法》《个人信息保护法》等法律法规要求

处理敏感个人信息，利用个人信息进行自动化决策，委托处理个人信息、向其他个人信息处理，向境外提供个人信息，其他对个人权益有重大影响的个人信息处理活动

（2）行业监管政策

行业相关数据安全合规监管标准出台

（3）产品版本迭代

业务、场景、功能、隐私政策等变更带来的合规与安全风险

（4）发生突发事件

数据泄露等被通报、被处罚时

（5）新产品上线前

新产品上线前确保安全合规

（6）执法专项检查

监管部门专项检查活动