当前位置：首页 > news >正文

企业如何开展个人信息安全影响评估（PIA）二

news 2025/12/19 1:02:33

在这里插入图片描述

基本概念
根据《信息安全技术个人信息安全影响评估指南》（GB/T 39335—2020；personal information security impact assessment，简称“PIA”），个人信息安全影响评估是指针对个人信息处理活动，检验其合法合规程度，判断其对个人信息主体合法权益造成损害的各种风险，以及评估用于保护个人信息主体的各项措施有效性的过程。个人信息安全影响评估旨在发现、处置和持续监控个人信息处理过程中对个人信息主体合法权益造成不利影响的风险。

基本原理
个人信息安全影响评估旨在发现、处置和持续监控个人信息处理过程中对个人信息主体合法权益造成不利影响的风险。开展评估前, 需对待评估的对象(可为某项产品、某类业务、某项具体合作等) 进行全面的调研, 形成清晰的数据清单及数据映射图表,并梳理出待评估的具体的个人信息处理活动。开展评估时, 通过分析个人信息处理活动对个人信息主体的权益可能造成的影响及其程度,以及分析安全措施是否有效、是否会导致安全事件发生及其可能性, 综合两方面结果得出个人信息处理活动的安全风险及风险等级, 并提出相应的改进建议, 形成评估报告。

什么时候需要进行个人信息保护影响评估

0
1

必须进行个人信息保护影响评估情形

根据《中华人民共和国个人信息保护法》规定，有下列情形之一的，个人信息处理者应当事前进行个人信息保护影响评估，并对处理情况进行记录：
1.处理敏感个人信息；
2.利用个人信息进行自动化决策；
3.委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息；
4.向境外提供个人信息；
5.其他对个人权益有重大影响的个人信息处理活动。

根据《信息安全技术个人信息安全规范》（GB/T 35273—2020）规定，个人信息控制者应建立个人信息安全影响评估制度，评估并处置个人信息处理活动存在的安全风险。在产品或服务发布前，或业务功能发生重大变化时，应进行个人信息安全影响评估。在法律法规有新的要求时，或在业务模式、信息系统、运行环境发生重大变更时，或发生重大个人信息安全事件时，应进行个人信息安全影响评估。

0
2

企业自主进行个人信息安全影响评估

  企业以合规管理、提升自身安全风险管理能力和安全水平的目的主动进行个人信息安全影响评估。企业自主启动个人信息安全影响评估的必要性, 取决于组织的个人信息安全目标,组织可根据实际的需求选取需要启动评估的业务场景。个人信息安全影响评估可用于合规差距分析, 也可以用于合规之上、进一步提升自身安全风险管理能力和安全水平的目的。

合规差距评估。当组织定义的个人信息安全目标为符合相关法律、法规或标准的基线要求时, 则个人信息安全影响评估主要目的在于识别待评估的具体个人信息处理活动已采取的安全控制措施,与相关法律、法规或标准的具体要求之间的差距, 例如在某业务场景中与第三方共享个人信息, 是否取得了个人信息主体的明示同意。
尽责性风险评估。出于审慎经营、声誉维护、品牌建立等目的, 组织往往选取可能对个人合法权益产生高风险的个人信息处理活动, 开展尽责性风险评估。此种风险评估的目标, 是在符合相关法律、法规和标准的基线要求之上, 尽可能降低对个人信息主体合法权益的不利影响。
03

由哪个主体进行个人信息影响安全评估

个人信息处理者

基本概念
进行个人信息安全影响评估的主体，在《个人信息保护法》中规定为“个人信息处理者”，《个人信息安全规范》规定为 “个人信息控制者”。在中华人民共和国法律体系下，个人信息处理者和个人信息控制者均是指在个人信息处理活动中自主或有能力决定个人信息处理目的、处理方式的组织、个人。
因此，就组织形式而言，公司、企业及外国机构驻中国代表处等组织都可以成为个人信息处理者。

牵头部门
通常而言, 公司等开展个人信息保护影响评估工作可以由其法务部门、合规部门或其信息安全部门牵头执行。上述企业内部的责任部门可以根据部门的具体能力配备情况, 自行开展个人信息保护影响评估工作或聘请外部独立的第三方来承担具体的评估工作。
个人信息保护影响评估工作应当具有独立性，应在不受被评估方影响的前提下进行。一般建议聘请外部独立的第三方与企业内部的责任部门协作，共同完成个人信息保护影响评估工作。

个人信息影响安全评估需要评估哪些内容

PIA评估内容

《个人信息安全保护法》
个人信息保护影响评估应当包括下列内容:

个人信息的处理目的、处理方式等是否合法、正当、必要;
对个人权益的影响及安全风险;
所采取的保护措施是否合法、有效并与风险程度相适应。

《信息安全技术个人信息安全规范》
个人信息安全影响评估内容包括但不限于：
1.个人信息收集环节是否遵循目的明确、选择同意、最小必要等原则；
2.个人信息处理是否可能对个人信息主体合法权益造成不利影响，包括是否会危害人身和财产安全、损害个人名誉和身心健康、导致差别性待遇等；
3.个人信息安全措施的有效性；
4.匿名化或去标识化处理后的数据集重新识别出个人信息主体或与其他数据集汇聚后重新识别出个人信息主体的风险；
5.共享、转让、公开披露个人信息对个人信息主体合法权益可能产生的不利影响；
6.发生安全事件时，对个人信息主体合法权益可能产生的不利影响。

企业如何开展个人信息安全影响评估（PIA）二

相关文章：

企业如何开展个人信息安全影响评估（PIA）二

android TextView 超出长度使用省略号

c++ | 字节转换 | 字长 | 机器位数

7-4 交换最小值和最大值

解决Pycharm的Settings中Project不见了也无法选择Python Interpreter的方法

AWS EKS 集群自动扩容 Cluster Autoscaler

excel中有哪些通配符、excel配置问题，数学函数篇1之sum系列

工控行业需要熟悉的工业级通信协议

力扣题解（1030. 距离顺序排列矩阵单元格），带注释

每天一道leetcode：剑指 Offer 34. 二叉树中和为某一值的路径（中等图论深度优先遍历递归）

利用POM完成脚本分离实现企业级自动化（POM设计模式+页面的框架封装+测试报告截图）

嵌入式设计中对于只有两种状态的变量存储设计，如何高效的对循迹小车进行偏差量化

day53 第九章动态规划part14● 1143.最长公共子序列 ● 1035.不相交的线 ● 53. 最大子序和动态规划

shell编程基础

人工智能在网络安全中的应用：分析人工智能、机器学习和深度学习等技术在预测、检测和应对网络攻击中的作用

使用 Redis 实现异步队列

RocketMQ、Dashboard部署以及安全设置

Android AlarmManager设置闹钟

【C# 基础精讲】LINQ to XML查询

Java学习笔记——（20）标识符命名规则和规范

【网络】每天掌握一个Linux命令 - iftop

深入剖析AI大模型：大模型时代的 Prompt 工程全解析

论文解读：交大港大上海AI Lab开源论文 | 宇树机器人多姿态起立控制强化学习框架（二）

突破不可导策略的训练难题：零阶优化与强化学习的深度嵌合

《通信之道——从微积分到 5G》读书总结

论文解读：交大港大上海AI Lab开源论文 | 宇树机器人多姿态起立控制强化学习框架（一）

（转）什么是DockerCompose?它有什么作用？

优选算法第十二讲：队列 + 宽搜优先级队列

【JVM】Java虚拟机（二）——垃圾回收

【学习笔记】erase 删除顺序迭代器后迭代器失效的解决方案