《信息安全技術(shù) 個人信息安全影響評估指南-編制說明》

一、任務(wù)來源

2017年3月，在信安標委會議周，云計算及大數(shù)據(jù)特別工作組討論會議上，

一致同意編制《個人信息安全影響評估指南》。本標準為自主制定標準，標準由

頤信科技有限公司牽頭，中國電子技術(shù)標準化研究院、深圳市騰訊計算機系統(tǒng)有

限公司、華為技術(shù)有限公司、全知科技有限公司、北京信息安全測評中心、四川

大學網(wǎng)絡(luò)空間安全研究院、中國信息通信研究院、阿里巴巴（北京）軟件服務(wù)有

限公司、螞蟻金服公司、陜西信息安全測評中心、國家金融IC卡檢測中心等參

與編制，歸口單位為全國信息安全標準化技術(shù)委員會（簡稱信息安全標委會，

TC260）。

二、編制背景

隨著社會的進步和科技的發(fā)展，用戶個人信息安全問題日漸凸顯。過度收

集個人信息、對個人信息進行二次開發(fā)利用以及個人信息交易等嚴重侵犯用戶隱

私的現(xiàn)象時有發(fā)生，訴諸法律訴訟的案件和官司纏身的網(wǎng)絡(luò)公司不勝枚舉。如何

保護用戶信息，采用何種方式保護，已經(jīng)成為維護用戶個人信息安全需要首先考

慮的問題。根據(jù)中國互聯(lián)網(wǎng)協(xié)會發(fā)布的《2016中國網(wǎng)民權(quán)益保護調(diào)查報告》，84%

的網(wǎng)民曾親身感受到由于個人信息泄露帶來的不良影響。從2015年下半年到今

年上半年的一年間，我國網(wǎng)民因垃圾信息、詐騙信息、個人信息泄露等遭受的經(jīng)

濟損失高達915億元。近年來，警方查獲曝光的大量案件顯示，公民個人信息的

泄露、收集、轉(zhuǎn)賣，已經(jīng)形成了完整的黑色產(chǎn)業(yè)鏈。

然而，數(shù)據(jù)、信息已經(jīng)成為我國實現(xiàn)經(jīng)濟轉(zhuǎn)型升級的基礎(chǔ)性資源?！笆濉?/p>

規(guī)劃綱要明確提出要“牢牢把握信息技術(shù)變革趨勢，實施網(wǎng)絡(luò)強國戰(zhàn)略，加快建

設(shè)數(shù)字中國，推動信息技術(shù)與經(jīng)濟社會發(fā)展深度融合，加快推動信息經(jīng)濟發(fā)展壯

大”。在實施國家大數(shù)據(jù)戰(zhàn)略這一章中，“十三五”規(guī)劃綱要指出要“把大數(shù)據(jù)作

為基礎(chǔ)性戰(zhàn)略資源，全面實施促進大數(shù)據(jù)發(fā)展行動，加快推動數(shù)據(jù)資源共享開放

和開發(fā)應(yīng)用，助力產(chǎn)業(yè)轉(zhuǎn)型升級和社會治理創(chuàng)新。”習近平主席指出，“網(wǎng)絡(luò)安全

和信息化是一體之兩翼、驅(qū)動之雙輪”。數(shù)據(jù)安全是信息化持續(xù)推進的基本前提。

對此，“十三五”規(guī)劃綱要提出要“建立大數(shù)據(jù)安全管理制度，實行數(shù)據(jù)資源分

類分級管理，保障安全高效可信應(yīng)用。實施大數(shù)據(jù)安全保障工程，加強數(shù)據(jù)資源

1

在采集、存儲、應(yīng)用和開放等環(huán)節(jié)的安全保護，加強各類公共數(shù)據(jù)資源在公開共

享等環(huán)節(jié)的安全評估與保護，建立互聯(lián)網(wǎng)企業(yè)數(shù)據(jù)資源資產(chǎn)化和利用授信機制。

加強個人信息保護，嚴厲打擊非法泄露和出賣個人數(shù)據(jù)行為?！币虼嗣嫦蛭磥?，

具備科學性、有效性、可操作性的個人信息保護框架和模式成為落實“十三五”

規(guī)劃綱要要求的重要保障。

《網(wǎng)絡(luò)安全法》的發(fā)布，對個人信息保護也做出專門規(guī)定：網(wǎng)絡(luò)產(chǎn)品、服

務(wù)具有收集用戶信息功能的，其提供者應(yīng)當向用戶明示并取得同意；網(wǎng)絡(luò)運營者

不得泄露、篡改、毀損其收集的個人信息；任何個人和組織不得竊取或者以其他

非法方式獲取個人信息，不得非法出售或者非法向他人提供個人信息，并規(guī)定了

相應(yīng)法律責任。

在落實國家政策和法律要求，切實有效地降低個人信息處理過程中的安全

風險，推動數(shù)字經(jīng)濟長促發(fā)展的大背景下，制定和完善個人信息安全標準體系是

有力的抓手，其中規(guī)范有效地實施個人信息安全風險評估更是個人信息安全要求

落地的關(guān)鍵。

（2）項目必要性分析

個人信息安全及開展個人信息安全風險評估的重要性在前面有充分的闡

述，在此節(jié)不予重復(fù)介紹，針對項目本身的必要性進行分析如下：

本標準是《個人信息安全規(guī)范》標準落地的有力抓手，是完善我國個人信

息安全保護標準體系的關(guān)鍵環(huán)節(jié)。

在2016年制定的重點標準《個人信息安全規(guī)范》（征求意見稿）中，“5.2

節(jié)開展安全風險評估”中對個人信息安全風險評估有具體的要求，包括建立個人

信息安全風險管理制度，評估個人信息處理活動對個人信息主體的影響，評估的

主體內(nèi)容，定期（至少每年一次）開展個人信息安全風險評估，出具個人信息安

全風險評估報告等要求?！秱€人信息安全規(guī)范》通篇有20多處提及開展個人信息

安全風險評估工作，其重要程度可見一斑。《個人信息安全規(guī)范》為了加快促進

標準落地應(yīng)用，于附件D中提供了個人信息安全風險評估的簡單框架，但評估框

架在指導實施個人信息安全風險評估中的作用有限，迫切需要對該方面以標準形

式給予更科學、更專業(yè)、一致性的指導，促進個人信息安全風險評估取得實效，

便于監(jiān)管機構(gòu)用于檢查和監(jiān)督《個人信息安全規(guī)范》的落地，從而支撐我國《網(wǎng)

2

絡(luò)安全法》的實施工作。

此外，《個人信息安全規(guī)范》可以看作我國個人信息安全領(lǐng)域的基礎(chǔ)標準,

與ISO/IEC29100隱私保護系列標準相比，我國對于該領(lǐng)域的標準研究和制定僅

僅算是剛剛開始，從急需急用的原則分析，個人信息安全風險評估工作最易成為

有效抓手，因此，加快制定《個人信息安全風險評估指南》工作，既照顧了實際

需求，又為我國個人信息安全標準體系的完善向前推進了一大步。

個人信息安全風險評估與傳統(tǒng)信息安全風險評估方法不同，需要深入研究

和準確把握，以提升評估價值。

從風險評估的形式來看，信息安全風險評估的理念和方法已經(jīng)非常成熟，

獲得了很高的認可度和廣泛的應(yīng)用。從表面上來看，個人信息本身也具備保密性

（C）、完整性（I）、可用性（A）三大特征，所以可適用傳統(tǒng)信息安全風險評估

的方法，使用資產(chǎn)、威脅、脆弱性分析的方式進行評估。但是，除個人信息自身

安全因素外，個人信息處理行為也會同樣帶來風險，且處理行為正是《個人信息

安全規(guī)范》標準所強調(diào)的重點要求，因此其風險評估最終關(guān)注的是個人信息處理

行為對用戶權(quán)益產(chǎn)生的影響，比如個人信息的不當處理可能危害個人人身和財產(chǎn)

安全、損害個人名譽和身心健康、導致歧視性待遇等。這些影響層面和傳統(tǒng)信息

安全風險評估對資產(chǎn)、組織利益的關(guān)注完全不同，因此其實施方法和思路有所不

同。

正因為個人信息既具備傳統(tǒng)信息安全特性，又具備其特有的性質(zhì)，實施個

人信息安全風險評估的過程會比以往更復(fù)雜。雖然隱私影響評估（Privacy

ImpactAssessment）相關(guān)的方法在國際標準和其他國家標準中有大量體現(xiàn)、各

國實踐中也得到大量應(yīng)用，但往往在這兩者之間的邊界、操作方式等方面有所含

糊，也導致了評估方法不統(tǒng)一，評估效果受到影響。以ISO/IEC29134《隱私影

響評估》為例，其既套用了傳統(tǒng)風險評估中威脅、脆弱性等概念，又提及合規(guī)性

評估等方法兼顧個人信息處理行為，最終的舉例中更傾向于評估個人信息因傳統(tǒng)

安全問題帶來的風險，如保密性、完整性、可用性受到破壞，對個人權(quán)益的影響

考慮偏少；也有組織評估是直接采用合規(guī)差距分析的方法，只分析與法律法規(guī)、

標準等的差距，不分析對個人權(quán)益造成的影響，容易出現(xiàn)評估目的錯位的情況。

個人信息安全風險評估的方法論是一個難點問題，這與個人信息安全管理

3

本身的復(fù)雜性密切相關(guān)，本標準將充分參考已有優(yōu)秀標準，研究實踐案例，梳理

個人信息安全風險評估過程中的關(guān)鍵要素，積極創(chuàng)新，爭取形成概念清晰、邏輯

明朗、指導意義強的標準，一方面更好地指導國內(nèi)組織落實評估工作，另一方面

爭取在全球隱私安全評估領(lǐng)域迎頭趕上，樹立行業(yè)標桿。

個人信息安全風險評估是平衡個人信息應(yīng)用領(lǐng)域發(fā)展和安全的重要舉措。

個人信息保護工作的復(fù)雜性，往往體現(xiàn)在個人信息邊界的模糊性，動態(tài)性，

個人信息處理活動的廣泛性，個體認識的差異性等方面，如果對其簡單進行理想

化、原則性的完全保護，會大大制約基于數(shù)據(jù)的信息化產(chǎn)業(yè)發(fā)展，這正是個人信

息安全工作最大的矛盾和爭議，而風險管理的思路為解決這個問題提供了可能。

只要處理個人信息就不可能沒有風險，實施有效的個人信息安全風險評估，及時

整改高風險、中風險問題，適當接受低風險問題，一方面?zhèn)€人權(quán)益得到了最大程

度的保護，另一方面也大大減輕了組織負擔，在個人信息的處理過程中保留了適

當?shù)撵`活度，降低了對業(yè)務(wù)的影響。畢竟，不管法律法規(guī)、政策、標準其制定的

核心目的是為了保護個人權(quán)益不受侵害，而不是機械式地落實其要求而不談保護

效果，否則可能適得其反，既沒有保護好個人信息，又制約了組織的發(fā)展，因此

開展個人信息安全風險評估將是組織平衡發(fā)展和安全策略的重要工具，非常有必

要從標準角度對此工作做詳細規(guī)范性的指導。

在2016年4月19日召開的網(wǎng)絡(luò)安全和信息化工作座談會上，習近平總書

記提出了“以人民為中心”的網(wǎng)信發(fā)展思想，并做出了“網(wǎng)絡(luò)安全為人民、網(wǎng)絡(luò)

安全靠人民”的重要指示。2016年，《信息安全技術(shù)個人信息安全規(guī)范》標準

制定項目在全國信息安全標準化技術(shù)委員會立項，被列為重點標準項目，《個人

信息安全規(guī)范》標準強調(diào)展開個人信息安全影響影響評估工作，旨在發(fā)現(xiàn)、處置

和持續(xù)監(jiān)控個人信息處理過程中的安全風險。個人信息安全影響評估與傳統(tǒng)信息

安全風險評估不同，其評估的風險是指對個人權(quán)益造成的損害，評估對象、評估

方法均有所不同，國際上針對個人信息安全風險評估有大量專門的標準和指南，

而我國尚無對個人信息主體權(quán)益影響進行評估的指導文件，制定該指南標準，將

是推動個人信息保護工作深入落地，提升保護水平的有效途徑。

三、編制原則

《個人信息安全影響評估指南》通過借鑒國外立法和標準的研究，結(jié)合國

4

內(nèi)應(yīng)用實踐和標準編制組的科研成果，提出與國際標準接軌、適合我國國情，并

具有一定創(chuàng)新性的“PIA”標準。為組織、監(jiān)管部門、第三方測評機構(gòu)等開展評

估工作提供的指導和依據(jù)。

本標準的編制遵循以下原則：

(1)先進性：標準反映當今個人信息保護的先進技術(shù)水平；

(2)開放性：標準的編制、評審與使用具有開放性；

(3)適應(yīng)性：標準結(jié)合我國國情；

(4)簡明性：標準易于理解、實現(xiàn)和應(yīng)用；

(5)中立性：公正、中立，不與任何利益攸關(guān)方發(fā)生關(guān)聯(lián)；

(6)一致性：術(shù)語與國內(nèi)外標準所用術(shù)語最大程度保持一致。

四、工作過程簡要說明

1、2017年3月，在云計算及大數(shù)據(jù)特別工作組討論會議上，一致同意編制

《個人信息安全影響評估指南》，對個人信息安全影響評估方法、應(yīng)用、政策和

標準進行調(diào)研分析，確定標準化需求。

2、2017年5月初，成立正式的個人信息安全影響評估指南標準編制組，標

準由頤信科技有限公司牽頭，中國電子技術(shù)標準化研究院、深圳市騰訊計算機系

統(tǒng)有限公司、華為技術(shù)有限公司、全知科技有限公司、北京信息安全測評中心、

四川大學網(wǎng)絡(luò)空間安全研究院、中國信息通信研究院、阿里巴巴（北京）軟件服

務(wù)有限公司、螞蟻金服公司、陜西信息安全測評中心等組成標準編制組。

3、2017年7月，在中國電子技術(shù)標準化研究院召開第一次標準編制組工作

會議，對標準編制背景、標準化內(nèi)容等進行了深入討論，確定了標準編制工作機

制，確定了標準編制提綱。

3、2017年9月，標準編制組按照參與單位提供的資料匯總形成了國家標準

《信息安全技術(shù)個人信息安全影響評估指南》初步草案。

4.2017年10月16日，標準編制組在全國信息安全標準化技術(shù)委員會2017

年第二次工作組廈門會議周進行工作匯報，工作組成員單位對標準草案提出了建

議和意見。會議決定維持標準草案狀態(tài)，繼續(xù)完善。

5．2017年12月20日，在中國電子技術(shù)標準化研究院召開第二次標準編制

組工作會議，對標準存在的問題和意見進行了修改，并對草案需增加的內(nèi)容進行

5

了安排。

6.2018年3月26日，在中國電子技術(shù)標準化研究院召開第三次標準編制

組工作會議，再次完善了標準草案內(nèi)容。

7.2018年4月14日，標準編制組在全國信息安全標準化技術(shù)委員會2018

年第一次工作組武漢會議周進行工作匯報，將標準推進到征求意見稿狀態(tài)。

五、標準結(jié)構(gòu)和內(nèi)容說明

本標準主要內(nèi)容分為6個章節(jié)，分別針對個人信息安全影響評估的原理和

框架、評估流程、評估的具體實施方式進行了詳細的說明，資料性附錄中給出了

評估過程使用的判定準則和工具表。

個人信息安全影響評估是個人信息控制者實施風險管理的重要組成部分，

旨在發(fā)現(xiàn)、處置和持續(xù)監(jiān)控個人信息處理過程中的安全風險。一般情況下，個人

信息控制者必須在收集和處理個人信息前開展個人信息安全影響評估，明確個人

信息保護邊界，根據(jù)評估結(jié)果實施適當?shù)陌踩刂拼胧?，降低收集和處理個人信

息的過程對個人信息主體權(quán)益造成的影響；另外，個人信息控制者還需按照要求

定期開展個人信息安全影響評估，根據(jù)業(yè)務(wù)現(xiàn)狀、威脅環(huán)境、法律法規(guī)、標準要

求等情況持續(xù)修正個人信息保護邊界，調(diào)整安全控制措施，使個人信息處理過程

處于風險可控的狀態(tài)。

《個人信息安全影響評估指南》的核心思路是針對個人信息處理活動，評

估可能對個人權(quán)益造成的影響以及風險，影響主要包括四個方面：

一是，影響個人自主決定權(quán)，比如被強迫執(zhí)行不愿執(zhí)行的操作、無法更正

錯誤上傳的個人信息、無法選擇推送廣告的種類、被蓄意推送影響個人價值觀判

斷的資訊；

二是，引發(fā)差別性待遇，比如隱私信息（疾病、婚史、種族等）泄露造成

的歧視、故意設(shè)置個人福利、資格、權(quán)利的差別等；

三是，個人名譽受損或遭受精神壓力，比如公開不愿為人知的事實（生活

習慣、以往經(jīng)歷等），被頻繁騷擾、監(jiān)視追蹤等；

四是，個人財產(chǎn)受損或遭受人身傷害，比如賬戶被盜、遭受詐騙、被勒索

恐嚇、限制自由等。

本標準主要結(jié)構(gòu)如下：

6

評估的原理和框架

評估流程

評估實施

附錄A個人信息安全影響評估參考方法

附錄B個人信息安全影響評估常用工具表

參考文獻

六、與相關(guān)法律法規(guī)及國家有關(guān)規(guī)定、國內(nèi)相關(guān)標準的關(guān)系

2012年4月工信部直屬中國軟件測評中心聯(lián)合30多家單位起草的《信息安

全技術(shù)、公共及商用服務(wù)信息系統(tǒng)個人信息保護指南》已通過評審并報國家標準

化管理委員會批準。這是目前我國唯一的個人信息保護國家標準。2016年，《個

人信息安全規(guī)范》標準制定項目在全國信息安全標準化技術(shù)委員會立項，被列為

重點標準項目，從更專業(yè)、更全面的角度對個人信息安全管理工作提出要求，為

加強我國個人信息安全工作解了燃眉之急?！秱€人信息安全規(guī)范》已經(jīng)正式發(fā)布，

標準號為GB/T35273-2017。

本標準是《個人信息安全規(guī)范》的配套標準，研究過程中將借鑒美、歐等

國家和地區(qū)在個人信息安全風險