首页 > 新闻动态> PIA个人信息保护影响评估:数据合规的必要手段
PIA个人信息保护影响评估:数据合规的必要手段
2024-01-10

一、PIA个人信息保护影响评估的定义和内容

(1)PIA个人信息保护影响评估定义

PIA是Personal Information Protection Impact Assessment的缩写,中文意思是个人信息保护影响评估。它是一种对个人信息处理活动进行审查和评价的过程,旨在检验个人信息处理活动是否符合法律法规的要求,评估个人信息处理活动可能对个人信息主体的合法权益造成的风险程度,以及分析个人信息处理活动所采取的保护措施的有效性。

个人信息是指以电子或者其他方式记录的,能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。个人信息处理活动是指对个人信息进行收集、存储、使用、加工、传输、提供、公开、删除等操作的活动。

(2)PIA个人信息保护影响评估内容

PIA的内容主要包括以下几个方面:

个人信息处理活动的基本信息,如处理目的、处理方式、处理范围、处理流程、处理系统等;

个人信息处理活动涉及的个人信息的基本信息,如信息类型、信息敏感度、信息来源、信息去向、信息主体等;

个人信息处理活动对个人信息主体的权益和利益的影响分析,如影响类型、影响程度、影响可能性等;

个人信息处理活动存在的风险分析,如风险类型、风险等级、风险来源、风险后果等;

个人信息处理活动采取的保护措施分析,如措施类型、措施内容、措施效果、措施依据等;

PIA的结论和建议,如处理活动的合法合规性、风险可接受性、保护措施的充分性、改进措施的必要性等。


二、为什么要进行PIA个人信息保护影响评估

进行PIA的原因有以下几点:

法律法规的要求。我国《个人信息保护法》第五十五条规定,有下列情形之一的,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录:

(1)处理敏感个人信息;

(2)利用个人信息进行自动化决策;

(3)委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;

(4)向境外提供个人信息;

(5)其他对个人权益有重大影响的个人信息处理活动。


《个人信息保护法》第五十六条还规定了个人信息保护影响评估的重点内容,评估报告及处理记录的保存期限(至少3年)。

此外,国标《GB/T 35273-2020 信息安全技术 个人信息安全规范》中对开展个人信息安全影响评估的场景进行了补充:

(1)在产品或服务发布前,或业务功能发生重大变化时,应进行个人信息安全影响评估;

(2)在法律法规有新的要求时,或在业务模式、信息系统、运行环境发生重大变更时,或者发生重大个人信息安全事件时,应进行个人信息安全影响评估。

(3)风险管理的需要

个人信息处理活动涉及多种主体、多种类型、多种场景、多种方式,可能存在各种潜在的或显性的风险,如个人信息泄露、篡改、丢失、滥用、误用、非法使用等,这些风险可能导致个人信息主体的隐私权、人格权、财产权等受到侵害,也可能给个人信息处理者带来法律责任、经济损失、声誉损害等后果。通过进行PIA,个人信息处理者可以及时发现和评估个人信息处理活动的风险,采取有效的措施进行预防、控制和处置,从而降低风险的发生和影响。

(4)信任建设的需要

个人信息处理活动涉及个人信息主体的敏感信息和重要权益,个人信息主体对个人信息处理者的信任程度直接影响个人信息处理者的业务发展和社会评价。通过进行PIA,个人信息处理者可以展示其对个人信息保护的重视和努力,提高个人信息处理活动的透明度和合理性,增强个人信息主体的信任感和满意度,从而建立良好的合作关系和口碑。


三、典型场景

(1)处理敏感信息

金融行业(金融信息)

医疗行业(生物健康信息)

游戏行业(实名制)

互联网行业(支付、出行导航、购物、教育)

(2)利用个人信息进行自动化决策

互联网行业(算法推荐)

车联网

出行导航、外卖

金融信用评估

(3)委托处理个人信息、向其他人提供公开个人信息

集成第三方SDK

第三方云数据存储

第三方系统运维

集团关联公司数据传输

外部合作伙伴数据交互

(4)向境外提供个人信息

跨国企业

跨港澳企业

出海企业

跨境电商、物流

pia个人信息保护影响评估应用场景


四、服务价值

(1)履行法律法规基本义务

通过数据合规建设,确保企业能够满足《网络安全法》《数据安全法》《个人信息保护法》所规定的基本法律义务,确保业务运作不违反法律法规的要求;同时支持企业应对数据合规相关的执法监管。

(2)规避数据安全风险

通过制度管理及技术措施,避免发生违法违规收集个人信息、数据泄露、未经授权访问等事件。

(3)合规挖掘数据价值

数字经济时代,数据作为关键生产要素对企业的业务发展至关重要,只有通过数据合规的构建,才能确保数据对于企业产生更大的价值。

(4)减免数据违规的责任

如不慎发生数据泄露、侵犯公民个人信息的事件,检察机关对于构成犯罪但建立合规计划的企业,会设置考验期来看企业完成企业合规的有效程度,使得违法企业免于或减轻刑事处罚和追诉,最大程度确保企业运营不受影响,维护企业的商业名誉和利益。