个人信息保护影响评估专题工作

2021年，《中华人民共和国个人信息保护法》正式实施，标志着我国个人信息保护法治迈入新阶段。作为贯彻风险预防和管理路径的重要机制，《个人信息保护法》第55条、第56条明确将个人信息保护影响评估制度（PIA）纳入个人信息处理者的义务。其中，第55条明确规定个人信息处理者在处理敏感个人信息、利用个人信息进行自动化决策、委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息、向境外提供个人信息等场景下应当事先进行个人信息保护影响评估；同时，兜底规定其他对个人权益有重大影响的个人信息处理活动也应当进行个人信息保护影响评估。第56条对个人信息保护影响评估的内容作出规定，并要求个人信息处理者形成相应的评估报告和处理情况记录，保存至少三年。

个人信息保护影响评估制度不仅是个人信息处理者落实合规义务的重点内容，也是履行个人信息保护职责的部门监管个人信息处理活动的有效工具，最终有助于全社会提升对个人信息处理活动的信任度，助力数字经济平稳健康发展。但《个人信息保护法》生效以来，企业在推进个人信息保护影响评估的过程中仍然着困惑和盲区：国家标准《信息安全技术 个人信息安全影响评估指南》（GB/T 39335-2020）虽已给出了PIA的实施流程、参考方法、高风险活动示例等，但通用性的指南在落地《个人信息保护法》中各类PIA场景以及各行业中PIA特殊风险时，难以对各方面细节兼顾，仍然需要业界共同推进PIA细分场景、行业的实施指引；

企业自身单方面推进PIA时，对个人权益影响分析、风险判定的结论是否足够合理、公正还存在一些争议，评估过程中存在疑虑时，也难以从外部获得专业性的指导，仍然需要业界研究工作机制，以共同推进PIA报告结论效力的评判尺度。

有鉴于此，为切实推进个人信息保护影响评估制度发挥实效，“中国网络安全产业联盟（CCIA）数据安全工作委员会”、“数据安全共同体计划（DSC）”、“数据保护官（DPO）社群”共同发起“个人信息保护影响评估专题工作”，在前期参与相关立法、标准编制工作的基础上，集合法律、技术、标准专家，探索个人信息保护影响评估的细化指引，回应企业落地难点与痛点，对标国内外监管动态和要求，推进业界共识，发掘优秀实践，助力产业生态健康发展。

“个人信息保护影响评估专题工作” 首期活动期望结合《个人信息保护法》中各场景要求，细化个人信息影响评估常用工具表，现面向专题工作发起方的组织、社群内部征集参编单位/专家，请有意参与的单位及专家于2022年3月16日17:00前反馈参编回执至联系人邮箱。