现行基准: 《个人信息保护法》第 55-56 条 + 国家标准 GB/T 39335-2020
个人信息保护影响评估
最后更新:2026-04-06 | 由 LLM 基于知识库原始资料编译
关联概念:个人信息保护 | 数据出境安全评估 | 敏感个人信息处理规则 | 数据合规与数据分类分级
核心法条
- 《个人信息保护法》第 55 条:个人信息处理者在五种法定情形下应当事前进行个人信息保护影响评估 [现行有效]
- 《个人信息保护法》第 56 条:个人信息保护影响评估的内容和处理情况记录保存要求 [现行有效]
- 《个人信息保护法》第 51 条:个人信息处理者应当采取必要措施保障个人信息安全 [现行有效]
- GB/T 39335-2020《信息安全技术 个人信息安全影响评估指南》:个人信息保护影响评估的技术标准和操作指南 [现行有效]
规则沿革
| 时间节点 |
变化内容 |
依据 |
| 2021-11-01 |
《个人信息保护法》施行,确立 PIA 制度(第 55-56 条) |
《个人信息保护法》 |
| 2024-03-22 |
《促进和规范数据跨境流动规定》优化跨境场景下的评估要求 |
国家网信办 |
一、个人信息保护影响评估(PIA)的基本框架
1.1 概念与功能
个人信息保护影响评估(Privacy Impact Assessment, PIA)是指个人信息处理者在处理个人信息前,对处理活动的合法性、必要性和风险性进行系统化评估,以识别和降低个人信息处理风险。
| 功能 |
说明 |
| 风险识别 |
识别个人信息处理活动可能带来的风险 |
| 风险预防 |
在数据处理前采取措施降低风险 |
| 合规证明 |
作为履行合规义务的证据 |
| 监管检查 |
监管部门的重点检查事项 |
1.2 触发条件(五种法定情形)
根据《个人信息保护法》第 55 条,以下五种情形必须进行个人信息保护影响评估:
- 处理敏感个人信息——生物识别、医疗健康、金融账户、行踪轨迹等
- 利用个人信息进行自动化决策——算法推荐、自动定价、用户画像
- 委托处理个人信息——委托第三方处理个人信息
- 向他人提供个人信息——共享、转让、公开等
- 向境外提供个人信息——数据出境
二、个人信息保护影响评估的内容
2.1 评估内容(《个保法》第 56 条要求)
| 评估项目 |
评估要点 |
| 处理目的与方式的合法性、正当性、必要性 |
是否符合法定目的和处理范围?是否必要? |
| 对个人权益的影响及安全风险 |
数据泄露、滥用、歧视等风险 |
| 保护措施的有效性 |
加密、脱敏、访问控制等措施是否充分 |
2.2 评估方法
根据 GB/T 39335-2020,个人信息保护影响评估的一般步骤:
- 确定评估范围:明确个人信息处理活动的范围和目标
- 识别数据处理活动:收集、存储、使用、加工、传输、提供、公开等环节
- 识别个人信息处理者的合法基础:同意、合同必要、法定义务、公共利益、合法利益
- 识别个人权益影响:对个人隐私权、数据主权、数据安全等方面的影响
- 评估风险等级:按照影响程度和可能性进行风险评级
- 编制评估报告:形成完整的评估报告
2.3 评估报告的内容
评估报告应至少包括:
- 评估目的和范围
- 个人信息处理活动的详细描述
- 个人信息的影响评估结果
- 建议的风险缓解措施
- 评估的局限性
三、自动化决策与个人信息保护影响评估
3.1 自动化决策的法律要求
| 要求 |
说明 |
| 透明度 |
向用户公开自动化决策的基本逻辑、参与数据和对权益的影响 |
| 拒绝权 |
个人信息处理者应提供不通过自动化决策进行决策的方式 |
| 公平性 |
决策结果应当公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇 |
| 影响评估 |
必须进行个人信息保护影响评估 |
3.2 算法推荐合规要点
| 合规要点 |
说明 |
| 算法备案 |
依据《互联网信息服务算法推荐管理规定》,向网信部门备案 |
| 透明度 |
向用户公开算法推荐的基本原理和参与因素 |
| 用户权利 |
提供关闭算法推荐的选项 |
| 数据最小化 |
仅收集实现功能所必需的数据 |
四、个人信息保护影响评估与数据出境安全评估的关系
| 评估类型 |
触发条件 |
评估内容 |
法律依据 |
| 个人信息保护影响评估(PIA) |
处理敏感个人信息、自动化决策、委托处理、共享转让、出境等 |
个人信息权益影响及风险 |
《个保法》第55条 |
| 数据出境安全评估 |
CII运营者、100万+用户数据出境、累计10万人数据出境 |
出境后个人信息安全风险 |
《数据出境安全评估办法》 |
4.1 评估顺序
在数据出境场景中,应当先进行个人信息保护影响评估,再进行数据出境安全评估。两者评估内容相互补充。
| 步骤 |
操作 |
| 1 |
进行个人信息保护影响评估 |
| 2 |
根据评估结果,判断是否触发数据出境安全评估 |
| 3 |
如触发出境安全评估,提交评估材料 |
| 4 |
出境评估通过后,方可出境 |
五、个人信息保护影响评估的实务建议
5.1 企业内部 PIA 机制建设
| 要素 |
说明 |
| 组织架构 |
设立数据保护官(DPO)或合规负责人 |
| 流程 |
建立 PIA 启动、评估、审批、跟踪的流程 |
| 记录 |
保留评估报告和处理记录至少三年 |
| 定期审查 |
至少每年进行一次全面审查 |
5.2 高风险场景清单
| 场景 |
触发条件 |
评估要点 |
| 数据处理 |
处理敏感个人信息 |
评估对个人权益的影响 |
| 共享转让 |
向第三方提供个人信息 |
评估第三方的数据保护能力 |
| 自动化决策 |
算法推荐、自动定价 |
评估决策公平性和透明度 |
| 跨境传输 |
向境外提供个人信息 |
评估跨境传输风险 |
| 数据出境 |
出境数据涉及100万+用户 |
评估出境后的安全风险 |
知识库原始资料索引
法律法规与标准
学术文章