评估报告：专家解读丨PIA个人信息保护影响评估要点与难点

关于个人信息保护影响评估（以下简称「PIA评估」）的法定情形、智能化评估流程等，已于 《企业如何实现 PIA 智能评估？》 进 行详细介绍，本文将结合为企业提供PIA评估的服务经验及PIA自动化评估工具的开发经验，对PIA评估的要点进行梳理，并分享评估难点解决技巧，供企业参考。

现行监管规则，规定了PIA评估的7种法定情形，根据《个人信息保护法》第五十六条， PIA 的评估内容主要包括3方面：
① 个人信息的处理目的、处理方式等是否合法、正当、必要；
② 对个人权益的影响及安全风险；
③ 所采取的保护措施是否合法、有效并与风险程度相适应。

结合国标 GB/T39335—2020《信息安全技术 个人信息安全影响评估指南》（简称「评估指南」），以及 GB/T35273—2020《信息安全技术个人信息安全规范》（简称「安全规范」），可将PIA评估内容概括为以下5大要点：

1. 处理目的与合法性基础

《个人信息保护法》规定了处理个人信息的前提条件，并要求处理目的明确、合理，处理行为应当与处理目的直接相关，满足最小必要原则。

在评估处理目的和合法性基础之前，首先要了解所评估的业务的基本情况：包括该业务涉及哪些处理个人信息的场景，有哪些处理方式（如自动化决策、共享、跨境等），涉及哪些个人信息类型（如个人身份信息、指纹等），以及业务对个人信息的依赖程度等情况，以此作为背景判断处理目的是否明确、合理，以及收集个人信息是否满足最小必要。

本部分，主要关注：

①处理目的的评估：通过了解该业务处理个人信息所要实现的目的或实现的功能场景，以判断目的是否明确、合理等。例如目前不涉及支付业务的产品，收集客户的银行账户信息，或邀请客户绑定银行账户，只为了后续推出支付功能，这属于处理目的不合理，也属于过度收集个人信息的情形。

②最小必要的评估：最小必要即处理个人信息的类型、数量，应当与处理目的直接相关，并采取对个人权益影响最小的方式。

收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息（例如美图软件仅为实现图像处理功能，不应要求用户提供地理位置信息）；若一般个人信息能满足处理目的，则不应收集敏感个人信息等。

③ 合法依据：关注该处理行为是否具备合法前提，即是否满足《个人信息保护法》第十三条的任一规定，例如收集使用个人信息是否已经取得个人同意，或为签订、履行合同所必须等。只有在具备合法依据的前提下，才能处理个人信息。

2. 告知与同意

《个人信息保护法》充分保护个人的知情同意权，并要求企业「自证清白」，若处理个人信息的合法依据为「取得个人同意」，企业需依照法定告知方式、告知范围，履行告知义务，并在取得个人同意后，方能进行个人信息收集等处理活动。

本部分，主要关注：

① 告知时间:即是否在处理个人信息前告知，并取得同意。

②告知及同意方式：如隐私政策是否便于查询、单独设置、默认勾选；特定处理行为是否取得单独同意（例如处理敏感个人信息、对外公开、个人信息出境等）；处理儿童个人信息是否制定专门的个人信息处理规则等。

③ 告知内容：如隐私政策披露的内容是否全面；特定处理行为的告知内容是否合法合规。

例如：涉及使用自动化决策的场景，是否在隐私政策增加「自动化决策」章节，或在涉及自动化决策的页面，告知用户自动化决策的业务场景、所涉及的个人数据类型、对自动化决策规则的介绍、自动化决策结果带来的影响、用户拒绝自动化决策的方式、或申请人工决策的方式等内容。

这也是在评估过程中需要对产品的隐私政策或产品具体页面进行审查评估的内容。

3. 数据全生命周期

本部分是 PIA 评估的主要内容，主要从个人信息的收集、存储、使用、转移、披露、处置、出境、删除等数据全生命周期，对个人信息处理行为的合规风险进行全面检查，包括处理行为本身的合法合规性、制度体系建设及落实情况、安全技术措施有效性、安全事件应急与处理机制等。

存储的合规性评估可以参考 《一文掌握数据存储的合规性要求》 并结合企业 的行业特性和业务场景简化适用。

4. 个人权利响应

《个人信息保护法》高度保护个人在个人信息处理活动中的知情权、决定权，包括对个人信息进行查询、复制、修正、撤回同意、删除等，并要求个人信息处理者建立便捷的申请受理与处理机制。

因此，本部分主要评估企业是否已建立个人权利响应机制，以及具体落实情况，包括行使个人权利的途径、响应时间、处理方式等，是否能有效保障个人权利。

5. 安全保障措施

本部分主要评估企业所采取的保护措施是否合法、有效并与风险程度相适应，以防止因个人信息泄漏或被非法使用所造成的损害和影响。

例如：有无建立专门的隐私保护组织或任命 DPO ；是否建立了个人信息保护的相关制度流程；企业的信息网络系统是否通过国家网络安全等级测试，以及内部网络安全保护机制建设与落实情况；是否制定网络安全应急响应预案并定期演练更新；是否对涉及个人信息处理的人员进行数据合规隐私保护培训等。

此外，PIA评估涉及的监管规则繁多，实际评估过程中，除关注《个人信息保护法》、《安全规范》、《评估指南》外，企业还需结合具体行业的监管要求进行。

例如车企PIA评估，除通用规定外，还需同时遵照汽车行业的法律法规、部门规章、国家标准、行业标准等规定，如下图：

为此，我们结合实践经验，总结出以下5大解决技巧，供企业参考：

1. 以问卷配合访谈，以访谈同步检查，从方法上解决低效问题

检查，是通过查阅及分析企业管理制度、安全策略和机制、运行记录等资料，核实风险情况。

测试，则是对安全控制机制进行技术测试（如测试事件响应能力等），对待定风险进一步落实的过程。

为提高访谈质量与效率，我们通常以问卷配合访谈，以「问题+选项」的形式，降低回答难度；通过递进式询问，保证访谈深度；通过问卷题目的设计，确保访谈全面。

其次，将访谈与检查相结合，例如在对应题目中，要求被访谈人上传「证据」，如制度文本、隐私政策链接等，以便核实答题的真实性，同时代替了以《尽调清单》重新收集资料的工作。

2. 7大法定评估情形单独设置问卷，按需组合，解决问卷冗长、重复评估问题

为便于执行与落地，首先，我们根据PIA评估7大法定情形，分别设定了7套问卷：

其次，各套问卷的架构和侧重点有所不同。例如在「PIA问卷：敏感个人信息」涵盖了所有评估要点，包括业务基本情况、目的与合法依据、告知与同意、全生命周期、个人权利响应、网络安全等，作为基础问卷。

其余6套，则分别侧重对应的评估内容，例如「 PIA 问卷：个人信息出境」侧重出境保护，「 PIA 问卷：自动化决策」侧重算法评估、算法安全，且不在问卷中体现数据全生命周期、个人权利响应、网络安全等共性内容的题目。

最后，在实际评估过程中，按业务需要对问卷、题目进行组合使用。例如，当业务同时涉及敏感个人信息处理、个人信息出境，可将「 PIA 问卷：个人信息出境」的题目嵌入到「 PIA 问卷：敏感个人信息」，同时完成 2 项情形的评估，从而避免重复填写与评估。

当业务仅涉及个人信息出境，可将「 PIA 问卷：敏感个人信息」的通用题目，组合到「 PIA 问卷：个人信息出境」中，从而保证评估的全面性。

3. 将法律语言转化为业务语言，增加提示，解决理解与沟通问题

实践中，PIA评估通常由企业法务部发起，由其他多个部门共同填写完成。

因问卷题目主要源于监管条文，鉴于领域差异产生的理解差异，填写人员经常难以准确理解问卷题目的实际意思，进而「答非所问」或需要反复与法务人员沟通、确认，从而影响评估效率与质量。

为此，我们在问卷题目设计中，应站在业务的角度，对题目进行「整合与翻译」，以技术、业务人员的语言，表达法律要求，减少理解偏差。

例如：判断处理个人信息是否满足「最小必要原则」时，不宜直接询问「该业务处理个人信息是否满足最小必要原则？」或「处理行为是否与处理目的直接相关？」，而应对「最小必要原则」进行翻译和拆解，如「若减少对个人信息类型、数量、频次的收集或使用，会对该业务功能或处理目的造成怎样的影响？」，评估人员根据询问结果，再做是否「最小必要」或「之间相关」的法律判断。

此外，还可以增加提示，降低理解难度。对于问题中的法律名词，我们可以在题目中补充提示，比如询问「该业务涉及哪些个人敏感信息？」，可同时列举具体敏感信息的类型，如下图：

又如，在询问「除隐私政策外，处理敏感个人信息采取了下列哪些明示告知方式？」时，我们可以通过选项或提示，举例「明示告知」的常见类型：

总而言之，我们需尽可能站在问卷填写人的角度，帮助其准确理解题目意思，轻松作答，从而保障评估质量与效率。

4. 通过附件收集资料，「访谈」与「检查」同步，解决评估准确性问题

鉴于难以保证每个填写人员对业务实际情况、问卷题目的理解都准确、全面，或者无法排除理解正确但填写错误的情形，因此，若仅以问卷填写人回答的内容，直接判定风险，评估结果与实际情况将可能存在较大偏差。

为保证评估的客观、真实性，我们可以根据实际情况，在题目中，设置提供「证据」的要求。

例如：在询问如何进行用户告知同意时，要求填写人员同时上传制度文本、《隐私政策》链接、告知弹窗等资料，供评估人员在评估时检查、核验，进一步确认具体情况。

5. 系统内置评估依据，解决临时寻找评估标准的效率问题

我们在问卷设计中，对于涉及风险的每个题目，甚至每个选项，都做到「有法可依」，在评估阶段，才能针对具体答题结果，作出合规判断。

鉴于评估内容较多，且评估依据散落在不同的监管文件中，评估时，若要临时或重新对评估依据进行查找、确认，将耗费大量时间精力，严重影响评估进度。

为此，我们在设计问卷时，将评估依据（即设计依据，包括监管文件名称、具体条文等），同时梳理出来并内置于评估系统中，评估人员在具体题目的评估或复核中，可直观评估依据，立即做出合规判断，从而大大提高评估效率与准确度。

把握了评估要点，及难点解决技巧， PIA评估将不再是个无从下手的大工程。以上为PIA评估的关键内容，希望我们长期的研究与实践成果，对您有所帮助。

• 下一篇：个人信息安全影响评估报告的适用情况