个人信息影响评估（PIA）

最后更新：2026-04-06 | 由 LLM 基于知识库原始资料编译
关联概念：个人信息保护 | 敏感个人信息处理规则 | 数据处理者义务与责任 | 数据分类分级
现行基准： 以《个人信息保护法》（2021年施行）第55-56条为核心规范

核心法条

• 《个人信息保护法》第55条：个人信息处理者应当事前进行个人信息保护影响评估的法定情形 [现行有效]
• 《个人信息保护法》第56条：个人信息保护影响评估应当包括的内容 [现行有效]
• 《个人信息保护法》第58条：提供重要互联网平台服务者的额外义务——成立独立监督机构、定期发布个人信息保护社会责任报告 [现行有效]
• 《信息安全技术 个人信息安全规范》（GB/T 35273-2020）：个人信息安全影响评估（PIA）的推荐性国家标准 [现行有效]
• 《网络数据安全管理条例》（2024年施行）：进一步细化了数据处理者的安全评估义务 [现行有效]

规则沿革

时间节点	变化内容	依据
2017-06-01	《网络安全法》施行	现行有效
2021-09-01	《数据安全法》施行	现行有效
2021-11-01	《个人信息保护法》施行	现行有效

一、个人信息影响评估的法律定位

个人信息保护影响评估（Personal Information Protection Impact Assessment，简称 PIA）是《个人信息保护法》确立的一项事前合规义务，其性质与 GDPR 中的数据保护影响评估（DPIA）功能相似但要求更为具体。

与 GDPR 的对比

项目	中国 PIA	欧盟 GDPR DPIA
法律依据	《个保法》第55条	GDPR 第35条
触发条件	列举式（6项情形）	风险导向（可能对个人权利和自由产生高风险）
报告要求	法定内容要求	由监管机关细化指南
监管态度	强制性法定义务	以风险为导向的合规工具

二、PIA 的法定触发情形

根据《个人信息保护法》第55条，以下情形必须进行个人信息保护影响评估：

1. 处理敏感个人信息

包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等，以及不满十四周岁未成年人的个人信息。

2. 利用个人信息进行自动化决策

包括推荐算法、信用评分、个性化定价等场景。

3. 委托处理个人信息

数据处理者委托第三方代为处理个人信息时的合规审查义务。

4. 向第三方提供或公开个人信息

包括向关联公司共享、向合作伙伴提供数据等。

5. 向境外提供个人信息

与数据出境安全评估制度衔接，出境前须完成 PIA。

6. 其他对个人权益有重大影响的个人信息处理活动

兜底条款，赋予监管机关裁量权。

三、PIA 的法定内容要求

根据《个人信息保护法》第56条，个人信息保护影响评估应当包括以下内容：

评估要素	具体内容
处理目的、方式	个人信息的处理目的、处理方式等是否合法、正当、必要
对个人权益的影响	对个人权益的实际和潜在影响，特别是安全风险和不利后果
保护措施的有效性	所采取的保护措施是否合法、有效并与风险程度相适应

评估报告的保存要求

• 评估情况和个人信息处理情况的记录应当至少保存三年
• 评估报告应作为监管执法的证据材料
• 企业应建立 PIA 档案管理制度

四、PIA 的实施流程

1. 启动评估

在个人信息处理活动启动之前，由合规部门或数据保护官（DPO）发起评估程序。

2. 信息收集

• 梳理涉及的数据类型、流向、处理环节
• 识别利益相关方（数据主体、处理者、监管机构等）
• 确定评估范围和深度

3. 风险分析

• 评估合法性、正当性、必要性
• 分析可能的安全风险和不利后果
• 识别高风险环节

4. 保护措施设计

• 技术措施（加密、匿名化等）
• 管理措施（权限控制、审计等）
• 法律措施（合规审查、用户同意等）

5. 评估结论与后续跟踪

• 出具评估报告
• 提出整改建议
• 定期复审（至少每年一次或在处理活动发生重大变化时）

五、律师实务建议

1. 建立 PIA 制度框架：在企业内部制定 PIA 管理规范，明确评估流程、责任部门和审批机制
2. 分类管理：根据处理活动的风险等级确定评估深度，高风险活动应当聘请专业第三方
3. 与数据分类分级衔接：PIA 应当与数据分类分级管理制度联动，确保高风险数据得到重点评估
4. 留存记录：妥善保存评估报告和后续跟踪记录，至少保存三年，以备监管检查
5. 动态更新：在处理活动发生重大变化时（如数据处理目的、方式、范围变更），应重新进行 PIA

知识库原始资料索引

权威法条

• 中华人民共和国个人信息保护法

国家标准

• 信息安全技术 个人信息安全规范

公众号资源

• 数据合规实务解读