个人信息安全影响评估制度模板.docxVIP

文件编号：密级：内部公开

文档版本：V1.0

发布日期：2021-05-30

实施日期：2021-05-30

个人信息安全影响评估制度

编制：xxx日期：2021年5月

审核：xxx日期：2021年5月

批准：xxx日期：2021年5月

声明：

本文件由“xxx”（以下简称“xxx”）内部使用，版权属xxx所有。文件信息未经许可，不可任意转载、链接、转贴或以其他方式复制发布/发表。

修订记录

版本

状态

修改内容

完成时间

修改人

审核人

V1.0

创建

创建文档。

2021-05-30

状态分别为：创建、更新

目录

TOC\o1-31目的 4

2范围 4

3术语与定义 4

4个人信息安全影响评估的义务主体及实施形式 7

5实施安全评估的场景及评估要点 8

6尽责性风险评估 9

7个人信息安全影响评估的基本原理及主要流程 11

8个人信息安全影响评估报告的用途 14

9相关文件及记录 15

目的

为了规范组织日常经营管理活动，减少管理和合规成本，树立企业形象

，满足内外部监管合规，特制定本制度。

范围

本程序适用于xxx业务活动范围内的所有人员。

术语与定义

(一)什么是个人信息安全影响评估

?“个人信息安全影响评估”（personalinformationsecurityimpactassessment，简称“PISIA”），在《网络安全法》、《个人信息保护法》以及《数据安全法》中属于“风险评估”或者“安全评估”的范畴1。根据《评估指南》，“个人信息安全影响评估”是指针对个人信息处理活动，检验其合法合规程度，判断其对个人信息主体合法权益造成损害的各种风险，以及评估用于保护个人信息主体的各项措施有效性的过程。个人信息安全影响评估旨在发现、处置和持续监控个人信息处理过程中对个人信息主体合法权益造成不利影响的风险。

(二)安全评估立法的国际动向

2011年以来，国际标准化组织、国际电工委员会先后公布的ISO/IEC29100：2011《信息技术安全技术隐私框架》、ISO/IEC29134：2017《隐私影响评估》形成了隐私保护标准体系，对隐私影响评估（PrivacyImpactAssessment，PIA）的评估过程、评估报告的结构和内容等做了规定。

在欧盟，《一般数据保护条例》（简称“GDPR”）专门规定了数据保护影响评估（简称“DPIA”）制度。GDPR第35条规定，数据控制者在进行数据处理之前，基于数据处理的性质、范围、内容及目的判断处理活动可能对个人的权利和自由构成高风险时，应实施DPIA2。

在日本，隐私影响评估主要体现为“特定个人信息保护评估”制度。根据2013年公布的《关于在行政程序使用识别特定个人的号码等的法律》，以及此后2014年、2018年先后公布的《关于特定个人信息保护评估的规则》、《特定个人信息保护评估指针》等配套规则，日本的行政机关、公共团体等在持有或者拟持有特定个人信息文件时，应预测对个人隐私等的权利利益可能产生的影响，并分析导致产生特定个人信息泄露以及其他事态的风险，通过特定个人信息保护评估表的形式确认并宣布采取减轻该风险的妥当措施3。

(三)我国有关PISIA的法规体系及《评估指南》的定位

随着2017年《网络安全法》、《民法总则》的实施，我国不断从民事权利、网络安全的角度强化对个人信息的保护规制，以下图所示的主要体系为中心不断完善。同时，在法律法规、国家标准等不同层面，逐步对个人信息安全影响评估提出明确的要求。

法律层面，2017年实施的《网络安全法》中明确规定了个人信息跨境传输及网络安全事件发生后的安全评估机制，2019年实施的《儿童个人信息网络保护规定》明确规定了企业在儿童个人信息转移及委托处理场景下的安全评估责任。2020年公布的《数据安全法》规定了重要数据处理者应当定期开展风险评估并向主管部门报送风险评估报告。2020年10月21日最新公布的《个人信息保护法》，进一步细化了《网络安全法》的有关要求，第54条还专门列举规定了PISIA的适用场景、评估内容及报告形式要件等。

国家标准层面，2018年开始实施的《个人信息安全规范》（2020年10月1日起被GB/T35273—2020替代）对PISIA做出定义，并详细规定其适用场景，具体包括基于个人信息的自动化决策、个人信息委托处理、共享/转让、公开披露活动等。2018年公布的《信息安全技术个人信息安全影响评估指南（征求意见稿）》对评估做了统一全面的规定；2019年