安全合规GDPR--13--关于PTA、PIA、DPIA风险评估.pdf

安全合规/GDPR--13--关于PTA、PIA、DPIA风险评估 一、目的 在开展一个涉及用户隐私信息的新产品、产品的新功能、内外部的新流程（以下统称 为“项目”）的早期阶段，需要对项目进行相应的隐私阈值分析（PTA），以帮助项 目人员充分了解项目在隐私合规中所产生的影响。同时，在一定条件下进行的隐私影 响评估（PIA）和数据保护影响评估（DPIA）能帮助项目人员充分了解项目在隐私数 据收集与处理中所产生的风险。 二、适用范围 适用于所有新项目、项目的新功能、内外部新流程。 三、评估说明 3.1 隐私阈值分析（PTA） 应明确隐私阈值分析（PTA）期间涵盖的基本信息。包括项目描述、涉及的隐私 数据、项目的开始日期与项目周期、项目的责任部门。 1 3.2 隐私影响评估（PIA） 从业务和合规性角度考虑，明确何时启动隐私影响评估（PIA）。同时，明确触发启 动PIA评估的原因，原因包括该项目是否收集了新的用户信息、是否进行了新的隐私 数据处理、是否涉及与其他服务提供商共享数据。 3.3 数据保护影响评估（DPIA） 依据PIA评估的结果，从隐私数据敏感处理的角度考虑，明确何时启动数据保护影响 评估（DPIA）。同时，依据PIA评估的报告，明确触发DPIA评估的原因。 四、评估流程 4.1 评估准备 在评估的每一步，包括确定进行隐私阈值分析（PTA）的必要性、填写评估问卷、审 查评估问卷、必要时提供信息安全审查和法律审查、批准评估等，都应当明确落实由 哪个团队或哪个部门负责。 4.2 评估流程图如下： 2 五、如何进行PTA 5.1 评估方式 填写PTA评估问卷 5.2 PTA评估结果分析 如果生成的PTA报告中有任何一项评估条例表明需要启动PIA评估，以查明和弥补所 存在的问题，则进行PIA评估。如果生成的PTA报告表明没有数据或隐私问题，则无 需采取进一步措施。 六、如何进行PIA 6.1 评估方式 填写PIA评估问卷 6.2 PIA评估结果分析 通过PIA问卷来判定潜在风险，以决定是否需要进行完整的DPIA评估。如果潜在风险 认定需要进行DPIA，则进行DPIA评估；如潜在风险认定不需要进行DPIA，则进入总 结阶段。 七、如何进行DPIA 7.1 评估方式 填写DPIA评估问卷 比较官方的一个DPIA评估问卷模板：.uk/media/for- organisations/documents/2553993/dpia-template.docx 7.2 DPIA评估结果分析 通过DPIA问卷来发现潜在的风险，并对其进行修复弥补。 八、总结 在项目上线之前，评估小组应依据以上过程中给出的评估建议，确认所有已发现的风险 都已经降低到了可控的水平。在确认所有已发现的风险都已经得到修复后，项目评估通 过。同时应总结项目中产生风险的原因，吸取经验，避免以后项目中再次产生这样的风 险。 最后，应明确被评估项目的参与人员名单和扮演的角色，如项目DPIA负责人、项目经理、 项目成员等。并在最终由DPO签署评估报告，项目准许上线。 3