【安永洞察】企业视角下的个人信息保护影响评估（PIA）

1.关于个人信息保护影响评估

个人信息保护影响评估（PIA）是指企业对个人信息的收集、存储、使用、加工、传输、提供、公开、删除等贯穿数据全生命周期活动的检验，判断活动合规程度、保护措施的有效程度以及对个人信息主体合法权益造成损害的风险。个人信息保护影响评估旨在发现、处置和持续监控个人信息处理过程中对个人信息主体合法权益造成不利影响的风险。

从覆盖地区来看，美国、加拿大、欧盟、中国等海内外国家和地区都制定了PIA的相关要求。从时间跨度来看，我国从2020年起发布了个人信息保护相关法律、国标、指南，对个人信息保护影响评估的监管要求不断加强完善。

► 1995年5月，美国《隐私法案》要求联邦机构在开发或改进信息系统时进行PIA，随后加拿大、欧盟、澳大利亚等国家和地区都制定PIA相关规定；

► 2000年4月，加拿大《个人信息保护与电子文件法》旨在保护个人信息的隐私和安全，适用于在联邦管辖范围内从事商业活动的组织；

► 2018年5月，欧盟《通用数据保护条例》（GDPR）要求对高风险数据处理活动进行DPIA评估；

► 2020年3月，中国发布《信息安全技术 个人信息安全规范》（GB/T 35273-2020）要求应建立个人信息保护影响评估制度；

► 2020年11月，中国发布《信息安全技术 个人信息安全影响评估指南》(GB/T 39335-2020)明确了个人信息保护影响评估的基本原理、实施流程；

► 2021年11月，中国《中华人民共和国个人信息保护法》明确了在特定情形下个人信息处理者应当事前进行个人信息保护影响评估；

► 2022年7月，中国《中华人民共和国数据出境安全评估办法》要求组织在出境数量达到一定量级时，应当进行数据出境安全风险评估。

综上，PIA通常被视为一种预警机制，可帮助企业在项目实际处理之前评估风险、实施预防措施和专项保护措施，同时PIA也作为一种工具，是个人信息控制者实施风险管理的重要组成部分，可帮助企业遵守数据保护义务并满足个人的隐私期望。有效的PIA将使企业能够在收集和处理个人信息前（早期阶段）进行，发现并解决问题，从而降低可能发生的相关成本和声誉损害。

2.企业为何要开展个人信息保护影响评估？

个人信息保护影响评估的意义在于保护个人信息主体的隐私权。对于企业而言，PIA可降低个人信息处理活动的风险，增强客户和合作伙伴的信任，保护声誉和品牌价值促进创新和可持续发展，提高数据安全和隐私保护水平。企业进行个人信息保护影响评估的意义具体可以分为以下三个层面：

国家层面：

► 满足合规性要求：《个人信息保护法》第五十五条明确规定了个人信息处理者应当进行PIA的几种情形，企业数据处理如果存在其中任何一种情形，PIA都将成为企业必须进行的合规项目。PIA可以帮助企业评估其个人信息处理活动的合规性，避免因不符合法律法规要求而面临的罚款、声誉等风险；

► 有效抗辩：企业面对监管机构或商业伙伴的调查、执法、合规性审计等活动时，可以证明其遵守了个人信息保护与数据安全等方面的法律、法规和标准的要求；如发生数据安全事件，PIA可用于证明企业已经主动评估风险并采取一定的安全保护措施，有助于减轻甚至免除企业相关责任和名誉损失。

企业层面：

► 完善企业管理：建立健全PIA管理制度流程可以帮助企业及时发现、处理和持续监控公司各日常业务活动在个人信息处理过程中的风险，加强个人信息保护工作；

► 数据安全保障：PIA可以帮助企业评估其个人信息处理活动所带来的安全风险，及时采取相应的安全保障措施，保障客户和用户的个人信息安全，防范黑客攻击、数据泄露等安全问题。

客户层面：

► 充分保护客户信息：通过PIA可以向客户证明其安全保护水平，从而赢得更多合作机会；亦可全方位梳理客户个人信息，采取适当的安全控制措施，以达到安全要求；

► 用户信任度提升：企业可以通过PIA评估和采取隐私保护措施，提高用户对其品牌的信任度，从而促进业务发展。在输出PIA评估报告的同时，企业可考虑制定相应的PIA评估报告发布策略，选择适宜的评估内容向公众进行公开发布，以显示企业对个人信息保护工作的重视并增加客户的信任。

3.开展个人信息保护影响评估时会遇到哪些难点？

什么场景需要开展PIA？

依据《个人信息保护法》中规定，在以下特定情形时，个人信息处理者应当事前开展个人信息保护影响评估工作：

► 处理敏感个人信息；

► 利用个人信息进行自动化决策；

► 委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息；

► 向境外提供个人信息；

► 其他对个人权益有重大影响的个人信息处理活动

以上是《个人信息保护法》中的相关要求，对于企业本身，具体落实到什么业务场景下需要开展PIA成为企业合规工作的一大难点。由于涉及对合规义务和法律规定的深入理解、具体场景的判断等主客观因素，企业需要仔细考量和决策。

安永综合考虑相关法律法规（包括《个人信息保护法》《数据出境安全评估办法》等）和国家推荐执行的标准规范（GB/T 35273-2020《信息安全技术 个人信息安全规范》GB/T 39335-2020《信息安全技术 个人信息保护安全评估指南》《数据出境安全评估指南》等），以及安永的行业经验，梳理出企业在以下业务场景中高频涉及PIA工作，分别为：

► 新产品或服务推出（新产品开发、产品需求变更等）

► 日常数据处理活动（个人信息申请/提取、个人信息增删改/批量处理等）

► 第三方合作和数据共享（第三方合作伙伴审核、数据共享协议签订等）

► 个人信息请求处理（信息主体请求合法性验证、个人信息主体权利响应等）

► 数据安全事件后的评估（数据泄露调查、安全修复和改进等）

► 法律法规要求的其他场景

每个场景下PIA该如何开展？

PIA涉及多种业务场景，如何保障PIA满足合规要求以及适配各业务场景的特点是PIA工作的挑战之一。

针对企业会涉及的多个PIA场景，安永建议既要保证评估的全面性，又要考虑不同场景的差异性。为此，安永定制形成PIA评估工具和模板，覆盖法律法规要求，保障评估的全面性和有效性，同时针对不同业务场景，安永依据每个场景的特点和数据的特殊性，差异化定制PIA评估模板。从个人信息风险评估矩阵、个人信息流程分析，到隐私影响评估问卷和风险问题优化建议，均需考虑场景定制。PIA评估模板中涉及的范围会包含业务场景基础信息、个人信息处理基本原则、个人信息全生命周期、个人信息主体权利、个人信息安全控制、组织治理控制等方面，致力于帮助企业能够在个人信息处理活动前期发现并解决问题。

4.个人信息保护影响评估应如何开展？

第一步：评估对象分析

首先判断该业务活动是否需要开展PIA工作并判断适用的评估模板，在此基础之上梳理该业务活动涉及的个人信息的基本情况以及映射关系。梳理业务活动下个人信息处理活动，个人信息处理活动主要包括个人信息收集、存储、使用、加工、传输、提供、公开、删除等环节，包括各环节下的数据类型、处理目的以及处理过程涉及的资源和相关方等，形成清晰的个人信息映射表及个人信息生命周期安全管理要求。

第二步：风险源识别

基于以上的个人信息映射分析进行风险源识别。风险源识别是为了分析个人信息处理活动面临哪些威胁源，是否缺乏足够的安全措施，导致存在脆弱性而引发安全事件。决定个人信息安全事件发生的要素很多，就威胁源而言，有内部威胁源，也有外部威胁源，有恶意人员导致的数据被窃取等事件，也有非恶意人员无意中导致的数据泄露等事件；就脆弱性而言，有物理环境影响导致的数据毁损，有技术因素导致的数据泄露、篡改、丢失等事件，也有管理不当引起的滥用等事件。对风险要素进行简化后，可归纳为网络环境和技术措施、个人信息处理流程、参与人员与第三方、业务特点和规模及安全趋势四个方面。

第三步：风险影响分析

风险影响分析工具可通过自动化赋值的方式进行风险计算，得出风险影响指标。分析特定的个人信息处理活动是否会对个人信息主体合法权益产生影响，以及可能产生何种影响，主要包括四个维度：限制个人自主决定权、引发差别性待遇、个人名誉受损或遭受精神压力、人身财产受损。

第四步：风险评估

结合风险影响分析结果，综合考虑安全事件可能性和个人权益影响程度要索，分析得出个人信息处理活动的安全风险等级及整改措施。

第五步：风险处置

安永已针对常见的个人信息安全问题，形成处置建议库供参考。经过整体评估，通常情况下可根据安全风险的等级，对个人信息安全问题采取立即处置、限期处置、权衡影响和成本后处置、接受风险等处置方式。持续跟踪风险处置的落实情况，评估剩余风险，将风险控制在可接受的范围内。

5.结语

在当今数字化时代，个人信息的保护变得愈发重要。企业应意识到个人信息保护影响评估（PIA）的重要性，并将其纳入其信息安全策略和实践中。通过开展PIA，企业可以识别和管理个人信息处理活动中的潜在风险，确保法律合规性，并建立与客户和合作伙伴的信任关系。安永可提供支撑个人信息安全评估的自动化工具，确保我们以合规、安全和负责任的方式处理和保护个人信息，方便企业进行个人信息保护影响评估工作，帮助企业建立一个更加安全和可靠的信息安全世界，为企业带来长期的利益和可持续的发展。

欢迎联系我们。

高轶峰

主管合伙人

大中华区网络安全与隐私保护咨询服务

安永（中国）企业咨询有限公司

+86 21 2228 6611

kelvin.gao@cn.ey.com

兰瑜

合伙人（华北）

大中华区网络安全与隐私保护咨询服务

安永（中国）企业咨询有限公司

+86 10 5815 3951

bruce.lan@cn.ey.com

施建俊

合伙人（华中）

大中华区网络安全与隐私保护咨询服务

安永（中国）企业咨询有限公司

+86 21 2228 7599

alex.shi@cn.ey.com

夏文婷

合伙人（华中）

大中华区网络安全与隐私保护咨询服务

安永（中国）企业咨询有限公司

+86 21 2228 3320

wendy.xia@cn.ey.com

周旸

合伙人（华中）

大中华区网络安全与隐私保护咨询服务

安永（中国）企业咨询有限公司

+86 21 2228 3160

yang.zhou@cn.ey.com

张楠驰

合伙人（华中）

大中华区网络安全与隐私保护咨询服务

安永（中国）企业咨询有限公司

+86 21 2228 6419

nancy-nc.zhang@cn.ey.com

张伟

合伙人（华中）

大中华区网络安全与隐私保护咨询服务

安永（中国）企业咨询有限公司

+86 21 2228 6611

bruce.w.zhang@cn.ey.com

胡立基

合伙人（华南）

大中华区网络安全与隐私保护咨询服务

安永（中国）企业咨询有限公司

+86 20 2881 2731

winson.woo@cn.ey.com

陈光华

合伙人（中国香港）

大中华区网络安全与隐私保护咨询服务

安永咨询服务有限公司

+852 3758 5864

nelson.chan@hk.ey.com

本文是为提供一般信息的用途所撰写，并非旨在成为可依赖的会计、税务、法律或其他专业意见。请向您的顾问获取具体意见。

如欲转载本文，务必原文转载，不得修改，且标注转载来源为：安永中国海外投资业务部官方微信公众号。如需修改内容，需要获得安永的书面确认。