PIA隐私影响评估要点（上）

“PIA”是什么

PIA全称为Privacy Impact Assessment，即隐私影响评估，一般认为源于国际标准化组织颁布的《ISO/IEC 29134:2017 隐私影响评估指南》

用于分析判定个人信息处理项目、政策、计划、服务、产品或者其他活动对隐私产生的影响的评估工具。

DPIA全称为Date Protection Impact Assessment，即数据保护影响评估，源于欧盟的《一般数据保护条例》（“GDPR”），是对PIA制度的继承，是欧盟统一数据保护法律框架下的强制性义务。

当某种类型的处理，特别是适用新技术进行的处理，很可能会对自然人的权利与自由带来高风险时，在考虑了处理的性质、范围、语境与目的后，控制者应当在处理之前评估计划的处理进程对个人数据保护的影响。

PISA全称为Personal Information Security Impact Assessment，即个人信息安全影响评估，源于国家标准GB/T 35273-2020《信息安全技术 个人信息安全规范》，后被国家标准GB/T 39335-2020《信息安全技术 个人信息安全影响评估指南》继承，通常认为，PISA的制定对DPIA有所借鉴。

针对个人信息处理活动，检验其合法合规程度，判断其对个人信息主体合法权益造成损害的各种风险，以及评估用于保护个人信息主体的各项措施有效性的过程。

个人信息保护影响评估的英文全称为Personal Information Protection Impact Assessment，源于《中华人民共和国个人信息保护法》第五十五条，是我国现行法律明文规定的隐私影响评估制度。

可能对个人权益造成重大影响的高风险信息处理活动进行合规及风险等评估，以实现对侵害个人信息行为的事先预防，提前消除危险，预防侵害个人权益后果的发生。

l 在我国目前的实践中，一般用PIA代指个人信息保护影响评估。同时，由于下位法律对个人信息保护影响评估的执行规定尚不明确，PISA在实践中通常会被视为对个人信息保护影响评估具体实行的补充。

（下文所称PIA均指个人信息保护影响评估）
为什么要进行PIA

一、PIA是个人信息处理者的法定义务

根据《中华人民共和国个人信息保护法》第五十五条之规定，实施处理敏感个人信息，利用个人信息进行自动化决策，向境外提供个人信息以及委托处理、向其他个人信息处理者提供或公开个人信息等对个人权益有重大影响的个人信息处理活动的个人信息处理者，必须要进行PIA，并形成相关的书面记录。

二、PIA可以有效实现事前风险检测

个人信息处理活动涉及自然人的权利和自由，不少活动对自然人的权利和自由存在“高风险”，如果该些活动不加以规制，将会对自然人造成难以想象的影响与风险。

PIA可以评估及识别出个人信息处理活动中“高风险”部分，有助于企业调整或转移“高风险”处理活动，从而减少或避免因前述错误处理带来的不合规风险，避免企业声誉受损。

1.在开展个人信息处理前，处理者可通过PIA，识别可能导致个人信息主体权益遭受损害的风险，并据此采用适当的个人信息安全控制措施。

2.对于正在开展的个人信息处理，处理者可通过PIA，持续修正已采取的个人信息安全控制措施，确保对个人合法权益不利影响的风险处于总体可控的状态。

三、PIA可以在事后证明个人信息处理者已尽责合规

PIA及其形成的记录文档，可帮助组织在政府、相关机构或商业伙伴的执法、合规性审计、调查等中，证明其遵守了个人信息保护与数据安全等方面的法律、法规和标准的要求。

在发生个人信息安全事件时，PIA及其形成的记录文档，可用于证明组织已经主动评估风险并采取一定的安全保护措施，有助于减轻、甚至免除组织相关责任和名誉损失。

四、满足用户和合作伙伴期待

企业可以通过PIA，提高用户及其合作伙伴对其品牌的信任度，从而促进业务发展。

五、不进行PIA的后果——“罚款吊证”，依法追究刑事责任

《中华人民共和国个人信息保护法》第六十六条

违反本法规定处理个人信息，或者处理个人信息未履行本法规定的个人信息保护义务的，由履行个人信息保护职责的部门责令改正，给予警告，没收违法所得，对违法处理个人信息的应用程序，责令暂停或者终止提供服务；拒不改正的，并处一百万元以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

有前款规定的违法行为，情节严重的，由省级以上履行个人信息保护职责的部门责令改正，没收违法所得，并处五千万元以下或者上一年度营业额百分之五以下罚款，并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款，并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。

一般来说，个人信息保护负责人会被认定为直接责任人员，如果企业不依法进行pia，个人信息保护负责人存在被罚款的可能。

随着我国数据保护制度的发展，罚款的金额将来可能也会与国外进行接轨。

Meta被欧盟数据监管机构处以创纪录的12亿欧元（约91亿人民币）罚款，并被命令停止将欧盟公民的Facebook数据传输到美国。欧盟法院认为，此类数据传输使欧盟公民面临隐私侵犯。这笔罚款是根据欧洲标志性数据隐私法《通用数据保护条例》（GDPR）所征收的最高额罚款。

3

什么场景需要开展PIA

个人信息处理活动是一项持续、动态的过程，即PIA并非是一次性即可完成的评估，而是一个持续的过程——PIA不分整体或是局部，结合国内外现行文件，本团队建议，除《个人信息保护法》第55款规定的情形外，若企业出现以下业务场景，应即进行PIA工作。

1.推出新产品或服务（设计开发阶段、上线测试阶段）；

2.产品或服务新增功能涉及收集个人信息；

3.产品或服务存在对自然人进行评估或评分的功能（包括用户画像或对自然人相关的工作表现、经济状况、监控、个人兴趣、位置等个人信息进行评估）；

4.存在系统性监测（通过网络收集的数据或对公众可进入区域进行大规模系统性监测）；

5.存在大规模处理个人信息（涉及人数大、持续时间长、相关人群中占比较高）；

6.与第三方进行数据共享；

7.发生重大个人信息安全事件；

8.发生收购、兼并、重组等情形。

4

四、PIA怎么做

一、确定自身是否需要进行PIA

具体见本文【三、什么场景需要开展PIA？】中的列举。

二、数据映射，找出个人信息处理活动

1.根据数据全生命周期，找出数据处理活动，如。

（1）数据收集阶段；

（2）数据使用、加工阶段；

（3）数据传输、提供阶段；

（4）数据储存、删除阶段；

（5）数据出境阶段。

2.对数据进行分级，筛选出个人信息处理活动。

3.通过核查企业提供的材料，对产品或服务进行穿行测试，对企业相关人员进行访谈等手段，确定个人信息处理活动的数据映射表。

三、对个人信息处理活动进行评估

根据《中华人民共和国个人信息保护法》第五十六条之规定，PIA的评估大致可以概括为两个部分，合规性评估和尽责性评估。

1.合规性评估

（1）个人信息的处理目的、处理方式等是否合法、正当、必要；

（2）对个人权益的影响及安全风险。

2.尽责性评估

所采取的保护措施是否合法、有效，与风险程度是否相适应。

四、对个人信息处理活动发生安全事件的可能性进行评估

结合步骤一至三，对个人信息处理活动涉及的风险源进行排查，对个人信息处理活动发生安全事件的可能性进行分析，得出个人信息处理活动的风险级别。

五、出具报告

根据《中华人民共和国个人信息保护法》第五十六条之规定，PIA报告和处理情况记录应当至少保存三年。