慎獨(dú)自律修己安人-個(gè)人信息保護(hù)影響評估的作用

個(gè)人信息保護(hù)影響評估（PrivacyImpactAssessment，以下稱PIA）是《個(gè)人信息保護(hù)法》的一項(xiàng)法定義務(wù)，既是個(gè)人信息保護(hù)主要的合規(guī)內(nèi)容之一，也是個(gè)人信息保護(hù)中非常有效的合規(guī)工具之一。自2021年11月，《個(gè)人信息保護(hù)法》實(shí)施以來，一些個(gè)人信息處理者已經(jīng)開展了相關(guān)PIA評估實(shí)踐，取得了積極效果，幫助企業(yè)防范和化解了相關(guān)風(fēng)險(xiǎn)，妥善處理個(gè)人信息保護(hù)糾紛和應(yīng)對個(gè)人信息保護(hù)監(jiān)督檢查。而目前尚未開展PIA的個(gè)人信息處理者，主要是對PIA不了解、不熟悉，或者知其重要性，但不知如何開展，以及不清楚個(gè)人信息保護(hù)影響評估的功能與價(jià)值，導(dǎo)致個(gè)人信息合規(guī)工作陷入困局，無法產(chǎn)生預(yù)期價(jià)值，過度投入成本而沒有獲得應(yīng)有的收益。然而，PIA在個(gè)人信息保護(hù)整體法治體系及執(zhí)法框架中，實(shí)際上具有非常重要的作用，并且在當(dāng)下及未來的《個(gè)人信息保護(hù)法》實(shí)施中，可能會變得越來越重要。為進(jìn)一步厘清個(gè)人信息保護(hù)影響評估的作用和功能，本文將全面分析PIA的背景知識、政策趨勢及PIA的效用增值，為相關(guān)企業(yè)開展PIA提供參考。一、哪些場景需要PIA一般而言，并非所有的個(gè)人信息處理活動都需要開展PIA。理論上，PIA是針對高風(fēng)險(xiǎn)個(gè)人信息處理活動的一項(xiàng)預(yù)防及應(yīng)對措施，主要針對個(gè)人信息權(quán)益等可能受到較大影響的場景，這些場景也由法律規(guī)定所確定。《個(gè)人信息保護(hù)法》第五十五條規(guī)定了需要開展PIA的五種情形，符合其中之一的，個(gè)人信息處理者應(yīng)當(dāng)事前進(jìn)行個(gè)人信息保護(hù)影響評估，并對處理情況進(jìn)行記錄。該五種情形為：（1）處理敏感個(gè)人信息；（2）利用個(gè)人信息進(jìn)行自動化決策；（3）委托處理個(gè)人信息、向其他個(gè)人信息處理者提供個(gè)人信息、公開個(gè)人信息；（4）向境外提供個(gè)人信息；（5）其他對個(gè)人權(quán)益有重大影響的個(gè)人信息處理活動?！秱€(gè)人信息保護(hù)法》首設(shè)了PIA制度以后，國家網(wǎng)信辦通過配套規(guī)定在跨境、合規(guī)審計(jì)、人臉識別等方面重申、強(qiáng)調(diào)了PIA的法定性、前置性要求，或者進(jìn)一步對PIA作出了相關(guān)細(xì)化規(guī)定，從體系性層面強(qiáng)化了PIA的重要性。1.跨境方面按照《個(gè)人信息保護(hù)法》的要求，“向境外提供個(gè)人信息”本身就是觸發(fā)PIA的法定場景之一。對此，《個(gè)人信息出境標(biāo)準(zhǔn)合同辦法》第五條要求，個(gè)人信息處理者向境外提供個(gè)人信息前，應(yīng)當(dāng)開展個(gè)人信息保護(hù)影響評估……?！秱€(gè)人信息跨境處理活動安全認(rèn)證規(guī)范》5.4中明確，個(gè)人信息處理者應(yīng)對擬向境外接收方提供個(gè)人信息的活動開展個(gè)人信息保護(hù)影響評估，并形成個(gè)人信息保護(hù)影響評估報(bào)告，評估報(bào)告至少保存三年?！痘浉郯拇鬄硡^(qū)（內(nèi)地、香港）個(gè)人信息跨境流動標(biāo)準(zhǔn)合同實(shí)施指引》第五條規(guī)定，個(gè)人信息處理者按照本實(shí)施指引，通過訂立標(biāo)準(zhǔn)合同跨境提供個(gè)人信息前，應(yīng)當(dāng)開展個(gè)人信息保護(hù)影響評估；第七條規(guī)定，跨境提供個(gè)人信息的目的、范圍、種類、方式，或者接收方處理個(gè)人信息的用途、方式發(fā)生變化，延長保存期限，以及發(fā)生影響或者可能影響個(gè)人信息權(quán)益其他情況的，個(gè)人信息處理者應(yīng)當(dāng)重新開展個(gè)人信息保護(hù)影響評估，……。值得注意的是，《促進(jìn)和規(guī)范數(shù)據(jù)跨境流動規(guī)定》對跨境數(shù)據(jù)流動作出了很多創(chuàng)新安排，針對特定場景明確了豁免規(guī)定，但并未放寬其他有關(guān)個(gè)人信息出境安全保護(hù)措施的要求，其第十條明確規(guī)定，數(shù)據(jù)處理者向境外提供個(gè)人信息的，應(yīng)當(dāng)按照法律、行政法規(guī)的規(guī)定履行告知、取得個(gè)人單獨(dú)同意、進(jìn)行個(gè)人信息保護(hù)影響評估等義務(wù)。2.合規(guī)審計(jì)方面?zhèn)€人信息保護(hù)合規(guī)審計(jì)與PIA之間相互聯(lián)系，是否開展PIA以及PIA開展是否充分，都應(yīng)當(dāng)是個(gè)人信息保護(hù)合規(guī)審計(jì)的內(nèi)容之一。2023年8月，國家網(wǎng)信辦向社會公開征求意見的《個(gè)人信息保護(hù)合規(guī)審計(jì)管理辦法（征求意見稿）》中在委托處理個(gè)人信息（第六條）、提供個(gè)人信息（第八條）、自動化決策（第九條）、公開個(gè)人信息（第十條）、處理敏感個(gè)人信息（第十三條）、合規(guī)審計(jì)（第二十一條）等環(huán)節(jié)中都將個(gè)人信息保護(hù)影響評估作為重點(diǎn)審計(jì)事項(xiàng)，同時(shí)也專門對個(gè)人信息保護(hù)影響評估審計(jì)作出了規(guī)定（第二十五條）。雖然該征求意見稿尚未出臺，但PIA作為審計(jì)的一項(xiàng)重要內(nèi)容，已經(jīng)是立法釋放的明確信號。3.人臉識別2023年8月，國家網(wǎng)信辦向社會公開征求意見的《人臉識別技術(shù)應(yīng)用安全管理規(guī)定（試行）（征求意見稿）》第十五條中明確，人臉識別技術(shù)使用者處理人臉信息，應(yīng)當(dāng)事前進(jìn)行個(gè)人信息保護(hù)影響評估，并對處理情況進(jìn)行記錄。……個(gè)人信息保護(hù)影響評估報(bào)告應(yīng)當(dāng)至少保存三年。處理人臉信息的目的、方式發(fā)生變化，或者發(fā)生重大安全事件的，人臉識別技術(shù)使用者應(yīng)當(dāng)重新進(jìn)行個(gè)人信息保護(hù)影響評估。在《個(gè)人信息保護(hù)法》規(guī)定的基礎(chǔ)之上，行業(yè)監(jiān)管中逐步引用PIA工具作為個(gè)人信息保護(hù)的重要部分，主要在個(gè)人信息類型豐富、數(shù)量較大的一些行業(yè)領(lǐng)域，如快遞、金融、教育等行業(yè)都出臺了專門規(guī)定，強(qiáng)調(diào)了個(gè)人信息保護(hù)影響評估的前置性要求，作為行業(yè)領(lǐng)域個(gè)人信息保護(hù)的合規(guī)重點(diǎn)之一。1.快遞行業(yè)《快遞市場管理辦法》第三十七條規(guī)定，經(jīng)營快遞業(yè)務(wù)的企業(yè)委托其他企業(yè)處理用戶個(gè)人信息的，應(yīng)當(dāng)事前進(jìn)行用戶個(gè)人信息保護(hù)影響評估，并對受托企業(yè)處理個(gè)人信息的活動進(jìn)行監(jiān)督，不免除自身對用戶個(gè)人信息安全承擔(dān)的責(zé)任；《寄遞服務(wù)用戶個(gè)人信息安全管理規(guī)定》第八條第一款規(guī)定，寄遞企業(yè)為完成寄遞服務(wù)全流程操作委托第三方或者其他寄遞企業(yè)等開展代收代投、清關(guān)等業(yè)務(wù)，需要對寄遞服務(wù)用戶個(gè)人信息數(shù)據(jù)進(jìn)行委托處理時(shí)，應(yīng)當(dāng)事前進(jìn)行寄遞服務(wù)用戶個(gè)人信息保護(hù)影響評估，并依法約定委托處理的目的、期限、處理方式、個(gè)人信息種類、保護(hù)措施及雙方權(quán)利義務(wù)，并對受托人的個(gè)人信息處理活動進(jìn)行監(jiān)督。2.金融行業(yè)《中國人民銀行關(guān)于發(fā)布金融行業(yè)標(biāo)準(zhǔn)做好個(gè)人金融信息保護(hù)技術(shù)管理工作的通知》6.1a）中明確，在共享和轉(zhuǎn)讓前，應(yīng)開展個(gè)人金融信息安全影響評估，并依據(jù)評估結(jié)果采取有效措施保護(hù)個(gè)人金融信息主體權(quán)益；金融監(jiān)管總局2024年3月發(fā)布的《銀行保險(xiǎn)機(jī)構(gòu)數(shù)據(jù)安全管理辦法（征求意見稿）》中規(guī)定，銀行保險(xiǎn)機(jī)構(gòu)在開展涉及對個(gè)人權(quán)益有重大影響的個(gè)人信息處理活動時(shí)，應(yīng)當(dāng)進(jìn)行個(gè)人信息保護(hù)影響評估，評估內(nèi)容包括個(gè)人信息處理的合法性、必要性，對個(gè)人權(quán)益的影響及安全風(fēng)險(xiǎn)，所采取的保護(hù)措施合法性、有效性以及是否與風(fēng)險(xiǎn)程度相適應(yīng)。個(gè)人信息保護(hù)影響評估報(bào)告和處理情況記錄應(yīng)當(dāng)至少保存三年。3.教育行業(yè)2021年9月，教育部辦公廳等六部門發(fā)布《關(guān)于做好現(xiàn)有線上學(xué)科類培訓(xùn)機(jī)構(gòu)由備案改為審批工作的通知》（教監(jiān)管廳〔2021〕2號），其中明確要求教育移動應(yīng)用提供者應(yīng)當(dāng)建立覆蓋個(gè)人信息收集、儲存、傳輸、使用等環(huán)節(jié)的數(shù)據(jù)保障機(jī)制，儲存100萬人以上個(gè)人信息的線上校外培訓(xùn)APP，應(yīng)通過個(gè)人信息保護(hù)影響評估、認(rèn)證或合二、PIA與個(gè)人信息保護(hù)合規(guī)審計(jì)仔細(xì)研讀《個(gè)人信息保護(hù)法》的規(guī)定，可以發(fā)現(xiàn)PIA和個(gè)人信息保護(hù)審計(jì)具有程序上的差別。個(gè)人信息保護(hù)合規(guī)審計(jì)分為自我審計(jì)和監(jiān)管審計(jì)，自我審計(jì)是根據(jù)《個(gè)人信息保護(hù)法》第五十四條的規(guī)定，定期開展的、對處理個(gè)人信息是否遵守法律、行政法規(guī)的情況進(jìn)行判斷；監(jiān)管審計(jì)是根據(jù)《個(gè)人信息保護(hù)法》第六十四條規(guī)定，由履行個(gè)人信息保護(hù)職責(zé)的部門要求存在較大風(fēng)險(xiǎn)或者發(fā)生個(gè)人信息安全事件的個(gè)人信息處理者，委托專業(yè)機(jī)構(gòu)對其個(gè)人信息處理活動是否遵守法律、行政法規(guī)的情況進(jìn)行判斷。根據(jù)《個(gè)人信息保護(hù)合規(guī)審計(jì)管理辦法（征求意見稿）》（2023年8月）的要求，自我審計(jì)分為每年至少一次（處理超過100萬人個(gè)人信息的個(gè)人信息處理者）和每二年至少一次（其他個(gè)人信息處理者），自我審計(jì)可以自行開展（由本組織內(nèi)部機(jī)構(gòu)負(fù)責(zé)）或者委托專業(yè)機(jī)構(gòu)開展。而監(jiān)管審計(jì)則具有行政監(jiān)管性質(zhì)，必須由第三方專業(yè)機(jī)構(gòu)開展，在功能上體現(xiàn)為專業(yè)輔助性行政監(jiān)管，按照《個(gè)人信息保護(hù)合規(guī)審計(jì)管理辦法（征求意見稿）》的要求，個(gè)人信息處理者按照履行個(gè)人信息保護(hù)職責(zé)的部門要求委托專業(yè)機(jī)構(gòu)開展個(gè)人信息保護(hù)合規(guī)審計(jì)的，應(yīng)當(dāng)按照專業(yè)機(jī)構(gòu)給出的整改建議進(jìn)行整改，經(jīng)專業(yè)機(jī)構(gòu)復(fù)核后將整改情況報(bào)送履行個(gè)人信息保護(hù)職責(zé)的部門（第十一條）。據(jù)此，可以認(rèn)為個(gè)人信息保護(hù)合規(guī)審計(jì)是一種自我審視和評價(jià)的活動，是對個(gè)人信息處理活動違反《個(gè)人信息保護(hù)法》規(guī)定情況的識別和糾正，具有事后性的特點(diǎn)。相反，PIA評估屬于事前義務(wù)，個(gè)人信息處理者必須在相關(guān)高風(fēng)險(xiǎn)個(gè)人信息處理動作之前就應(yīng)當(dāng)開展PIA，從而識別風(fēng)險(xiǎn)并采取相應(yīng)的措施，以預(yù)防和避免風(fēng)險(xiǎn)的發(fā)生。這是一項(xiàng)強(qiáng)制性、前置性的合規(guī)義務(wù)，只要落入《個(gè)人信息保護(hù)法》第五十五條的范圍，就應(yīng)當(dāng)開展PIA，并留存相關(guān)評估報(bào)告和處理情況記錄。相對而言，由于《個(gè)人信息保護(hù)合規(guī)審計(jì)管理辦法（征求意見稿）》尚未出臺，《個(gè)人信息保護(hù)法》第五十四條關(guān)于“自我審計(jì)”的要求還不能形成閉環(huán)，因此其在強(qiáng)制性效果方面還具有一定的彈性空間。小結(jié)來說，個(gè)人信息保護(hù)審計(jì)主要針對事實(shí)進(jìn)行審查和評價(jià)，而PIA是針對風(fēng)險(xiǎn)（即尚未發(fā)生、未必發(fā)生的事實(shí)）進(jìn)行評估。PIA具有現(xiàn)實(shí)的強(qiáng)制性，對企業(yè)而言是務(wù)必需要履行的合規(guī)義務(wù)，而個(gè)人信息保護(hù)合規(guī)審計(jì)仍然具有自驅(qū)性的空間。當(dāng)然，PIA和個(gè)人信息保護(hù)合規(guī)審計(jì)雖然具有一定的差異性，但是從效果上來看，都具有輔助企業(yè)完善合規(guī)水平的功能，只是從不同的角度切入合規(guī)，兩者亦可以相互聯(lián)系起來互為輔助。比如，《個(gè)人信息保護(hù)合規(guī)審計(jì)管理辦法（征求意見稿）》的審計(jì)要點(diǎn)中，對委托處理、提供、自動化決策、公開、處理敏感個(gè)人信息等環(huán)節(jié)均將是否開展PIA作為審計(jì)要點(diǎn)，將是否建立PIA制度作為一項(xiàng)審計(jì)要點(diǎn)，并對PIA專門規(guī)定了一條審計(jì)項(xiàng)（第二十五條）。同時(shí)，從PIA的角度來說，需要考慮特定場景（即PIA的觸發(fā)情形）的相關(guān)個(gè)人信息保護(hù)情況，但個(gè)人信息處理者的整體合規(guī)水平也應(yīng)作為影響評估判斷的重要參考，因此將是否開展了個(gè)人信息保護(hù)合規(guī)審計(jì)及其審計(jì)情況，理論上也可以作為PIA的評估因素之一，未來具備相互掛鉤的可能性。三、PIA的功能PIA作為《個(gè)人信息保護(hù)法》的重要合規(guī)工具，在相關(guān)個(gè)人信息保護(hù)標(biāo)準(zhǔn)中都有涉及，并且已經(jīng)在相關(guān)行業(yè)規(guī)定中明確規(guī)定，在企業(yè)防范和應(yīng)對個(gè)人信息保護(hù)風(fēng)險(xiǎn)中具有突出的作用。PIA最直接的作用是評價(jià)企業(yè)是否滿足個(gè)人信息保護(hù)相關(guān)法規(guī)、標(biāo)準(zhǔn)要求。PIA屬于事前進(jìn)行的個(gè)人信息合規(guī)審計(jì)活動，都具有評價(jià)個(gè)人信息處理活動是否符合法律規(guī)定的功能，能夠幫助企業(yè)及時(shí)發(fā)現(xiàn)違規(guī)之處，提升個(gè)人信息處理合規(guī)水平，對于企業(yè)維護(hù)商譽(yù)、避免個(gè)人信息保護(hù)高額處罰等，具有較好的風(fēng)險(xiǎn)防范作用。正如考試做完試題要認(rèn)真檢查的道理一樣，PIA不僅可以落實(shí)《個(gè)人信息保護(hù)法》的強(qiáng)制規(guī)定，也可以與個(gè)人信息保護(hù)合規(guī)審計(jì)合并，成為企業(yè)風(fēng)險(xiǎn)控制的綜合有效工具。（二）PIA能夠提升透明性通過PIA能夠增加企業(yè)個(gè)人信息處理的內(nèi)部和外部透明性。一方面，開展PIA需要融合企業(yè)高層、業(yè)務(wù)、法務(wù)以及風(fēng)控等條線，可以在企業(yè)內(nèi)部提升個(gè)人信息處理的透明性，有助于發(fā)現(xiàn)和識別風(fēng)險(xiǎn)點(diǎn)，采取相應(yīng)的風(fēng)險(xiǎn)應(yīng)對措施，特別是在新技術(shù)新應(yīng)用上線過程中，能夠發(fā)揮有效的風(fēng)險(xiǎn)把控作用。另一方面，PIA可以通過權(quán)威機(jī)構(gòu)獲取相關(guān)標(biāo)識，以面向公眾展示個(gè)人信息保護(hù)工作努力及合規(guī)水平，應(yīng)對個(gè)人信息保護(hù)糾紛及公眾信任危機(jī)事（三）PIA可以有效降低風(fēng)險(xiǎn)《個(gè)人信息保護(hù)法》第六十九條確立了個(gè)人信息侵權(quán)的過錯(cuò)推定責(zé)任，即個(gè)人信息處理者不能證明自己沒有過錯(cuò)的，應(yīng)當(dāng)承擔(dān)損害賠償?shù)惹謾?quán)責(zé)任。這是關(guān)于民事責(zé)任的規(guī)定，適用于爭議解決場景。而在行政責(zé)任方面，《個(gè)人信息保護(hù)法》沒有作出明確的規(guī)定，但根據(jù)其第六十六條的綜合罰則來看，處罰事由是“違反本法規(guī)定處理個(gè)人信息，或者處理個(gè)人信息未履行本法規(guī)定的個(gè)人信息保護(hù)義務(wù)的”。據(jù)此可以認(rèn)為，處理個(gè)人信息是否具備合法性基礎(chǔ)，以及個(gè)人信息處理活動中是否履行了個(gè)人信息保護(hù)義務(wù)，是罰與不罰的基礎(chǔ)考量。根據(jù)《個(gè)人信息保護(hù)法》第六十三條規(guī)定，履行個(gè)人信息保護(hù)職責(zé)的部門，是通過詢問、查閱復(fù)制、現(xiàn)場檢查等方式進(jìn)行監(jiān)督管理。PIA評估報(bào)告和處理記錄，是證明個(gè)人信息處理者合規(guī)處理個(gè)人信息的重要證據(jù)。在發(fā)生糾紛或損害時(shí)，如果通過調(diào)取記錄，發(fā)現(xiàn)個(gè)人信息處理者進(jìn)行了有效的個(gè)人信息保護(hù)影響評估，對識別的風(fēng)險(xiǎn)采取了相應(yīng)的保護(hù)措施，就可以減輕或免除個(gè)人信息處理者的責(zé)任[1]。四、如何進(jìn)行PIA《個(gè)人信息保護(hù)法》明確了PIA的三項(xiàng)內(nèi)容：1.個(gè)人信息的處理目的、處理方式等是否合法、正當(dāng)、必要；2.對個(gè)人權(quán)益的影響及安全風(fēng)險(xiǎn)；3.所采取的保護(hù)措施是否合法、有效并與風(fēng)險(xiǎn)程度相適應(yīng)。據(jù)此規(guī)定，開展PIA首先應(yīng)當(dāng)確定個(gè)人信息處理的場景，特別是有無符合法定場景的情況，并基于場景評估個(gè)人信息的處理目的、處理方式，如處理目的是否與場景相一致，處理方式是否匹配個(gè)人信息處理的場景。其次，應(yīng)當(dāng)綜合判斷對個(gè)人權(quán)益的影響，此時(shí)不應(yīng)局限于特定場景，而應(yīng)從個(gè)人信息保護(hù)整體環(huán)境予以評估，如企業(yè)治理組織結(jié)構(gòu)及個(gè)人信息保護(hù)合規(guī)水平等。最后，應(yīng)當(dāng)評估保護(hù)措施是否充分合理。保護(hù)措施的設(shè)置也應(yīng)考慮兩個(gè)層面，一個(gè)層面是從全局層面上評估內(nèi)部管理制度、操作規(guī)程、人員培訓(xùn)、應(yīng)急響應(yīng)等方面是否滿足風(fēng)險(xiǎn)應(yīng)對的需要，另一個(gè)層面是從具體層面確定個(gè)人信息分類管理、安全技術(shù)措施（如加密、去標(biāo)識化等）、操作權(quán)限設(shè)置是否與個(gè)人信息處理活動的風(fēng)險(xiǎn)相一致。具體而言，2020年《個(gè)人信息安全影響評估指南》（GB/T39335-2020）（以下稱《評估指南》）正式發(fā)布，該指南作為國家標(biāo)準(zhǔn)，對PIA提供了詳細(xì)的指引。《評估指南》將PIA分為自評估和檢查評估兩種形式。自評估，是指組織自行發(fā)起對其個(gè)人信息處理行為的評估，可以由本組織指定專門負(fù)責(zé)評估、審計(jì)的崗位或角色開展，也可以委托外部專業(yè)組織開展評估工作；檢查評估，是指組織的上級組織（指對組織有直接領(lǐng)導(dǎo)關(guān)系或負(fù)有監(jiān)督管理責(zé)任的組織）發(fā)起的個(gè)人信息安全影響評估工作。檢查評估也可以委托外部專業(yè)組織開展評估。（參見《評估指南》4.6.3）理論而言，PIA是《個(gè)人信息保護(hù)法》所規(guī)定的強(qiáng)制性、前置性義務(wù)，應(yīng)由個(gè)人信息處理者主動完成，屬于法定合規(guī)義務(wù)的一部分，《個(gè)人信息保護(hù)法》并未規(guī)定履行個(gè)人信息保護(hù)職責(zé)的部門要求個(gè)人信息處理者開展個(gè)人信息保護(hù)影響評估的情形，因此無論是自評估還是檢查評估，從其內(nèi)涵上來說都應(yīng)當(dāng)看作企業(yè)自身合規(guī)建設(shè)的內(nèi)容?！对u估指南》所給出的“檢查評估”，不宜理解由行政監(jiān)管部門主導(dǎo)和發(fā)起PIA，這與個(gè)人信息保護(hù)合規(guī)審計(jì)相比是不同的。從功能上來看，PIA具有事前的預(yù)防性，而個(gè)人信息保護(hù)合規(guī)審計(jì)屬于事后的評價(jià)工作。行政監(jiān)管的功能主要是查實(shí)、糾正違法行為，更適合通過審計(jì)方式進(jìn)行監(jiān)督檢查，而PIA則應(yīng)由企業(yè)主動完成。那么，《評估指南》中的“檢查評估”實(shí)際上還是在企業(yè)內(nèi)部體系中的觸發(fā)機(jī)制，如集團(tuán)組織架構(gòu)中，總部對分支機(jī)構(gòu)提出PIA的要求。根據(jù)《評估指南》，PIA主要可以歸納為三個(gè)步驟。（一）組建評估團(tuán)隊(duì)、確定評估計(jì)劃及評估對象PIA需要指定專門責(zé)任部門或責(zé)任人員，《評估指南》指出，該責(zé)任部門或人員應(yīng)對個(gè)人信息安全影響評估工作結(jié)果的質(zhì)量負(fù)責(zé)，因此應(yīng)具有獨(dú)立性，不受到被評估方的影響。一般而言，企業(yè)的法務(wù)部門、合規(guī)部門或信息安全部門可以作為PIA的責(zé)任部門。PIA的責(zé)任部門可以根據(jù)其具體能力配備情況，選擇自行開展PIA，或聘請外部獨(dú)立第三方來承擔(dān)具體的PIA工作。（參見《評估指南》4.4和5.2.1）PIA責(zé)任部門開展評估前，應(yīng)采取數(shù)據(jù)映射分析的方法對待評估對象進(jìn)行調(diào)研，形成數(shù)據(jù)清單及數(shù)據(jù)映射圖標(biāo)（dataflowcharts），從而確定待評估的個(gè)人信息處理活動。待評估對象可以是某項(xiàng)產(chǎn)品、某類業(yè)務(wù)或者某項(xiàng)具體的合作。其中，《評估指南》還指出，出于審慎經(jīng)營、聲譽(yù)維護(hù)、品牌建立等目的，組織（企業(yè)）往往選取可能對個(gè)人合法權(quán)益產(chǎn)生高風(fēng)險(xiǎn)的個(gè)人信息處理活動，開展盡責(zé)性風(fēng)險(xiǎn)評估。（參見《評估指南》4.5和評估團(tuán)隊(duì)需要制定清晰的評估計(jì)劃，規(guī)定完成個(gè)人信息安全影響評估報(bào)告所進(jìn)行的工作、評估任務(wù)分工、評估計(jì)劃表等。同時(shí)，計(jì)劃還需要考慮到待評估場景中止或撤銷的情況，以及相關(guān)具體因素。（參見《評估指南》（二）開展評估并識別風(fēng)險(xiǎn)PIA的核心包括三項(xiàng)工作，數(shù)據(jù)映射分析、風(fēng)險(xiǎn)源識別和個(gè)人權(quán)益影響縫隙。數(shù)據(jù)映射分析需要對個(gè)人信息處理活動的全生命周期進(jìn)行調(diào)研分析，確定個(gè)人信息類型、處理目的、具體實(shí)現(xiàn)方式等，包括個(gè)人信息處理過程中涉及的資源（如內(nèi)部信息系統(tǒng)）和相關(guān)方（如個(gè)人信息處理者、平臺經(jīng)營者、外部服務(wù)供應(yīng)商、云服務(wù)商等第三方）。根據(jù)數(shù)據(jù)映射分析結(jié)果，可以對個(gè)人信息處理活動進(jìn)行分類，以進(jìn)一步作出風(fēng)險(xiǎn)評價(jià)。（參見《評估指南》5.3）風(fēng)險(xiǎn)源識別主要考慮個(gè)人信息處理活動中是否缺乏足夠的安全措施，導(dǎo)致存在脆弱性而引發(fā)安全事件?！对u估指南》歸納了四個(gè)方面來進(jìn)行風(fēng)險(xiǎn)源識別，包括網(wǎng)絡(luò)環(huán)境和技術(shù)措施、個(gè)人信息處理流程、參與人員與第三方、業(yè)務(wù)特點(diǎn)和規(guī)模及安全態(tài)勢。針對這四個(gè)方面，《評估指南》給出了詳細(xì)的評估時(shí)應(yīng)關(guān)注的因素。（參見《評估指南》5.4）個(gè)人權(quán)益影響分析主要是分析特定的個(gè)人信息處理活動是否會對個(gè)人信息主體合法權(quán)益產(chǎn)生影響，以及可能產(chǎn)生何種影響?！对u估指南》將個(gè)人權(quán)益影響概括為四個(gè)維度：限制個(gè)人自主決定權(quán)、引發(fā)差別性待遇、個(gè)人名譽(yù)受損或遭受精神壓力和人身財(cái)產(chǎn)受損。具體分析過程中，企業(yè)可以根據(jù)數(shù)據(jù)映射結(jié)果，結(jié)合相關(guān)法律、法規(guī)、標(biāo)準(zhǔn)，按照企業(yè)自定義的個(gè)人信息安全目標(biāo)，審視個(gè)人信息處理活動可能對個(gè)人權(quán)益產(chǎn)生的影響，以及個(gè)人信息泄露、毀損、丟失、濫用等可能對個(gè)人權(quán)益產(chǎn)生的影響?！对u估指南》進(jìn)一步將個(gè)人權(quán)益影響分析過程細(xì)分為四個(gè)階段，個(gè)人信息敏感程度分析、個(gè)人信息處理活動特點(diǎn)分析、個(gè)人信息處理活動問題分析和影響程度分析。（參見《評估指南》5.5.1和5.5.2）此外，《評估指南》還要求進(jìn)行安全風(fēng)險(xiǎn)綜合分析，考慮安全事件可能性和個(gè)人權(quán)益影響程度兩個(gè)要素，分析得出個(gè)人信息處理活動的安全風(fēng)險(xiǎn)等級。（參見《評估指南》5.6）（三）合規(guī)整改及形成評估報(bào)告PIA本身包含了合規(guī)分析的內(nèi)容，《評估指南》指出，如果企業(yè)的個(gè)人信息安全目標(biāo)為符合相關(guān)法律、法規(guī)或標(biāo)準(zhǔn)的基線要求時(shí)，PIA的主要目的在于識別待評估的具體個(gè)人信息處理活動已采取的安全控制措施，與相關(guān)法律、法規(guī)或標(biāo)準(zhǔn)的具體要求之間的差距?！对u估指南》在合規(guī)分析方面區(qū)分了全景式和局部式兩種方式。一般而言，PIA牽涉面較大，需要對個(gè)人信息處理活動作深入評價(jià)和挖掘，全面、系統(tǒng)分析風(fēng)險(xiǎn)點(diǎn)及相應(yīng)緩釋措施。結(jié)合《個(gè)人信息保護(hù)法》的規(guī)定，PIA主要適用于高風(fēng)險(xiǎn)場景，不過由于PIA在本質(zhì)上具備合規(guī)的內(nèi)在功能，因此企業(yè)既可以考慮針對高風(fēng)險(xiǎn)場景開展PIA，同樣也可以通過PIA的方式實(shí)現(xiàn)整體合規(guī)——正如前文所述，PIA與個(gè)人信息保護(hù)合規(guī)審計(jì)相互掛鉤，可以相互轉(zhuǎn)換、相互映證?！对u估指南》將“合規(guī)差距評估”分為“整體合規(guī)分析”和“局部合規(guī)分析”（參見《評估指南》和）。整體合規(guī)分析的應(yīng)用場景主要包括：（1）產(chǎn)品或服務(wù)的年度整體評估；（2）新產(chǎn)品或新服務(wù)（不限技術(shù)平臺）設(shè)計(jì)階段評估；（3）新產(chǎn)品或新服務(wù)（不限技術(shù)平臺）上線初次評估；（4）法律、法規(guī)、政策、標(biāo)準(zhǔn)等出現(xiàn)重大變化時(shí)重新評估；（5）業(yè)務(wù)模式、互聯(lián)網(wǎng)安全環(huán)境、外部環(huán)境等發(fā)生重大變化的重新評估；（6）發(fā)生重大個(gè)人信息安全事件后重新評估；（7）發(fā)生收購、兼并、重組等情形開展評估。局部合規(guī)分析的應(yīng)用場景主要包括：（1）新增功能需要收集新的個(gè)人信息類型時(shí)的評估；（2）法律、法規(guī)、政策、標(biāo)準(zhǔn)出現(xiàn)部分變化時(shí)的評估；（3）業(yè)務(wù)模式、信息系統(tǒng)、運(yùn)行環(huán)境等發(fā)生變化時(shí)評估。五、未成年人網(wǎng)絡(luò)保護(hù)PIA需要注意的是，PIA在未成年人個(gè)人信息保護(hù)領(lǐng)域更為重要，甚至可能從特定場景變?yōu)橥ㄓ梅ǘx務(wù)?！段闯赡耆司W(wǎng)絡(luò)保護(hù)條例》已于2024年1月1日起實(shí)施，對未成年人網(wǎng)絡(luò)保護(hù)合規(guī)作出了全面性、系統(tǒng)性規(guī)定。（詳見：《兒童急走追黃蝶，飛入菜花無處尋——如何構(gòu)建未成年人網(wǎng)絡(luò)保護(hù)合規(guī)體系？》）未成年人個(gè)人信息保護(hù)是未成年人網(wǎng)絡(luò)保護(hù)合規(guī)的主要內(nèi)容之一，《未成年人網(wǎng)絡(luò)保護(hù)條例》對未成年人個(gè)人信息保護(hù)也做了專章的規(guī)定。未成年人信息保護(hù)是在一般個(gè)人信息保護(hù)框架基礎(chǔ)上的特殊保護(hù)，按照對未成年人優(yōu)先保護(hù)、特殊保護(hù)的原則，對未成年人個(gè)人信息保護(hù)應(yīng)遵循更為嚴(yán)格的標(biāo)準(zhǔn)。根據(jù)《個(gè)人信息保護(hù)法》的規(guī)定，不滿十四周歲的未成年人（兒童）個(gè)人信息屬于敏感個(gè)人信息，實(shí)行更為嚴(yán)格的保護(hù)。綜合來看，未成年人個(gè)人信息保護(hù)包括兩個(gè)部分，已滿十四周歲的未成年人個(gè)人信息和不滿十四周歲的敏感個(gè)