首页 > 新闻动态> 个人信息保护影响评估及认证服务(PIA认证)
个人信息保护影响评估及认证服务(PIA认证)
2024-10-25

广东北源律师事务所联合深圳市安证企业合规管理(集团)有限公司(下称“北源律所及安证合规集团”)共同推出潜心打磨的「个人信息保护影响评估及认证」服务(简称“PIA认证服务”)。

PIA认证服务旨在帮助企业落实《个人信息保护法》规定的个人信息保护影响评估义务,并获得“中国网络安全产业联盟(CCIA)数据安全工作委员会”和“数据安全共同体计划(DSC)”针对PIA的认证证书,为企业落实PIA义务及肯定企业在个人信息合规方面的投入及能力提供有力的证明。

01 产品描述

PIA认证服务将结合《个人信息保护法》《数据安全法》《个人信息处理法律合规性评估指引》《信息安全技术 个人信息安全影响评估指南》(GB/T 39335-2020)等有关法规和指引以及PIA专题工作组编制的《个人信息保护影响评估常用工具表》开展个人信息保护影响评估,帮助企业依法落实个人信息保护影响评估(PIA)的法定义务,协助企业识别在特定场景的个人信息处理活动中可能对个人信息主体权益造成的风险,指导其采取对应的安全控制措施,增强风险处置和持续监控的能力。

该PIA开展过程,将结合企业的需求按需严格对标PIA专题工作发起方“中国网络安全产业联盟(CCIA)数据安全工作委员会”和“数据安全共同体计划(DSC)”所制定的个人信息保护影响评估常用工具表及相应PIA星级认证的各项要求,帮助企业完成PIA标识认证,以充分肯定企业在个人信息保护和信息安全的工作投入和成果,进一步提高公众信任度和品牌声誉。

02 客户对象和需求场景

客户对象:

涉及下列某一个人信息处理情形的,以双方商定的某具体业务及其所涉的个人信息处理行为及相关系统、安全管理措施、工具及流程等为评估对象。

需求场景:

根据《个人信息保护法》第五十五条的规定,企业在特定情况下必须进行个人信息保护影响评估:

 处理敏感个人信息;

 利用个人信息进行自动化决策;

 委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;

 向境外提供个人信息;

 其他对个人权益有重大影响的个人信息处理活动。

03 服务团队的工作内容、流程和经验

结合企业的合规需求,针对某一特定的高风险个人信息处理活动开展个人信息保护影响评估,识别合规及安全风险,并分析合规差距以及提供优化建议。具体评估维度包括:个人信息处理活动的合法、正当及必要性符合程度;个人信息安全管理及技术保障能力(含措施合法、有效程度及与风险相适应程度);个人信息主体权益保障情况和安全风险情况。

评估流程

北源律所联合安证合规集团在个人信息合规保护方面具有深厚的理论功底和实务经验,服务过多行业企业客户,帮助客户在个人信息保护方面落地相应的合规措施和保障措施,获得客户的高度认可。

此外,还推出了自研的配套SaaS工具——PIA合规评估平台(个人信息保护影响评估平台),该平台根据相关法律法规及国家标准或指引等分为速评版、深度版、算法版、行业版自评估方案,供企业结合其需求自行选用。企业登录平台填写基础信息和完成相应的评估问题项作答后,平台将结合作答情况自动生成包含合规依据、合规分析、合规结论和合规建议等多维度内容的结果报告,实现评估工作的智能化和高效化。

04 向客户交付的产品成果

  • 《个人信息保护影响评估服务方案》
  • 《个人信息保护影响评估差距分析结果和整改建议列表》
  • 《个人信息保护影响评估报告》
  • 《个人信息保护影响评估标识》(PIA标识证书)等。

(PIA标识证书图示)

05 客户获得的服务效果

1.落实《个人信息保护法》第五十五条等法定义务,满足国家法律法规的强制性要求和行业主管的监管要求,避免因违规而受到处罚;

2.识别和预防高风险,尤其是新业务、新技术、新应用所涉个人信息处理活动的合规差距及违法违规风险和安全风险,增强对个人信息主体权益的保护,降低个人信息安全事件发生的风险;

3.树立合规品牌,向监管机构、合作伙伴、用户及公众等证明企业的个人信息保护和数据安全合规能力,提升企业的信任度和品牌价值;

4.促进数据合法应用,通过开展PIA评估,降低和有效控制风险,促进个人信息的合法合规应用和流动,创造数据的价值。

06 产品服务主要法律依据

《个人信息保护法》

第五十五条:有下列情形之一的,个人信息处理者应当事前进行个人信息保护影响评估:

(一)处理敏感个人信息;

(二)利用个人信息进行自动化决策;

(三)委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;

(四)向境外提供个人信息;

(五)其他对个人权益有重大影响的个人信息处理活动。

第五十六条 个人信息保护影响评估应当包括下列内容:

(一)个人信息的处理目的、处理方式等是否合法、正当、必要;

(二)对个人权益的影响及安全风险;

(三)所采取的保护措施是否合法、有效并与风险程度相适应。

个人信息保护影响评估报告和处理情况记录应当至少保存三年。

第六十二条 国家网信部门统筹协调有关部门依据本法推进下列个人信息保护工作:

(一)制定个人信息保护具体规则、标准;

(二)针对小型个人信息处理者、处理敏感个人信息以及人脸识别、人工智能等新技术、新应用,制定专门的个人信息保护规则、标准;

(三)支持研究开发和推广应用安全、方便的电子身份认证技术,推进网络身份认证公共服务建设;

(四)推进个人信息保护社会化服务体系建设,支持有关机构开展个人信息保护评估、认证服务;

(五)完善个人信息保护投诉、举报工作机制。

第六十六条-第六十九条规定处理个人信息未履行规定的个人信息保护义务的:

【一般情况】企业将可能受到:警告、改正、没收违法所得、对违法处理个人信息的应用程序,责令暂停或者终止提供服务,100万元以下罚款;直接负责主管/责任人:1万元-10万元罚款。

【情节严重】企业将可能受到:没收违法所得并处5千万元以下/上一年度营业额5%以下罚款,暂停业务、停业整顿、通报、吊销营业执照;直接负责主管/责任人:10万元-100万,禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。

【记入信用档案】违法行为记入信用档案,并予以公示。

【侵权责任】处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。