严格依据《个人信息保护法》及国标GB/T 39335-2020,针对敏感个人信息处理、自动化决策、数据对外提供、个人信息跨境传输等高风险场景,提供法定强制PIA评估服务。
服务内容包括:
- 全维度数据梳理
- 数据资产盘点
- 数据流程图绘制
- 合规差距核查
- 风险分级研判
- 安全保护措施评估
- 落地整改方案输出
出具合规有效的正式PIA报告与评估记录,满足监管3年留存备查、专项检查、上市尽调合规要求,有效规避高额行政处罚。
一、产品概述
个人信息保护影响评估(Personal Information Protection Impact Assessment,简称 PIA),是依据《中华人民共和国个人信息保护法》(以下简称《个保法》)及国家标准《信息安全技术 个人信息安全影响评估指南》(GB/T 39335-2020)要求,针对高风险个人信息处理活动开展的专项合规评估服务。
服务核心是系统性核查个人信息处理的合法、正当、必要性,识别对个人权益的影响与安全风险,评估现有保护措施的有效性并提出整改方案,帮助企业满足法定合规义务、降低数据安全风险、规避监管处罚,同时保障个人信息主体合法权益。
二、合规要求
(一)法律强制依据
《个保法》第 55 条明确规定,个人信息处理者必须事前开展 PIA 并留存记录的 5 类高风险场景心:
1.处理敏感个人信息(生物识别、医疗健康、金融账户、行踪轨迹等);
2.利用个人信息进行自动化决策(用户画像、精准营销、算法推荐等);
3.委托处理、对外提供、公开个人信息;
4.向境外提供个人信息(跨境数据传输);
5.其他对个人权益有重大影响的处理活动(如大规模数据收集、未成年人信息处理等)。
(二)评估核心内容(《个保法》第56 条)
1.处理目的、方式是否合法、正当、必要;
2.对个人权益的影响程度及潜在安全风险(泄露、滥用、篡改等);
3.现有保护措施是否合法、有效,且与风险程度相适应。
(三)留存与备查要求
PIA 报告及处理记录至少保存 3 年,监管检查时需随时提供;跨境数据、重大风险场景的评估报告需按规定备案心。
(四)国家标准依据
遵循 GB/T 39335-2020《信息安全技术 个人信息安全影响评估指南》,规范评估流程、方法、风险分级及报告编制标准。
三、适用企业类型
(一)强制适用企业(满足任一高风险场景)
1.互联网平台企业:APP、小程序、电商平台、社交平台(处理海量用户信息 / 敏感信息 / 自动化决策);
2.金融机构:银行、保险、证券、支付公司(处理金融账户、征信、生物识别等敏感信息);
3.医疗健康企业:医院、体检机构、医疗 APP、医药平台(处理病历、健康数据等敏感信息);
4.跨境业务企业:外贸、跨国公司、境外上市企业(存在个人信息出境传输);
5.教育机构:K12、高校、职业培训(处理未成年人信息、学籍信息);
6.人力资源 / 猎头公司:处理员工简历、身份信息、薪资等敏感信息;
7.房地产 / 出行 / 本地生活平台:处理行踪轨迹、地理位置、身份信息等。
(二)建议主动评估企业(降低合规风险)
1.拟开展新业务 / 新产品(涉及个人信息处理)的企业;
2.处理个人信息数量较大(如 10 万 + 用户)的企业;
3.曾发生数据安全事件或收到监管整改通知的企业;
4.计划融资 / 上市 / 并购(需数据合规尽调)的企业;
5.重视用户信任、需完善数据治理体系的企业。
四、实施流程(6 大阶段,标准闭环)
阶段1:评估准备(1-2 天)
1.组建专项团队(数据合规专家、律师、技术安全顾问、业务对接人);
2.明确评估范围(业务场景、系统、数据类型、处理流程);
3.收集基础资料(营业执照、业务架构、数据流程图、隐私政策、现有制度);
4.制定评估计划(时间节点、分工、访谈清单、评估方法)。
阶段2:数据梳理与映射(2-3 天)
1.全流程调研:访谈业务、技术、法务、运维部门,梳理数据收集、存储、使用、传输、销毁全链路;
2.数据资产盘点:编制个人信息清单(普通信息 / 敏感信息分类)、数据处理活动清单;
3.绘制数据地图:明确数据流向、存储位置、访问权限、第三方对接节点。
阶段3:风险识别与分析(3-4 天)
1.合规性核查:对照《个保法》及国标,核查处理目的、告知同意、最小必要、存储期限等合规要点;
2.风险源识别:识别数据泄露、滥用、篡改、丢失、合规处罚、声誉受损等风险;
3.风险分级:按“高 / 中 / 低” 分级,评估风险发生概率、影响范围、危害程度;
4.权益影响分析:重点评估对个人知情权、决定权、隐私权等权益的影响。
阶段4:保护措施评估与整改建议(2-3 天)
1.现有措施核查:评估技术措施(加密、脱敏、访问控制、日志审计)、管理措施(制度、培训、应急预案)的有效性;
2.合规差距分析:明确现有措施与法定要求的差距;
3.定制整改方案:针对高 / 中风险,提出可落地的技术优化、制度完善、流程调整建议(含优先级、实施周期、责任部门)。
阶段5:报告编制与评审(1-2 天)
1.编制《个人信息保护影响评估报告(初稿)》,核心内容:评估概述、数据处理情况、风险识别结果、措施评估、整改建议、风险结论;
2.组织企业内部评审(业务、法务、技术负责人),收集反馈并修订;
3.出具正式版 PIA 报告及《评估记录》,加盖评估机构公章。
阶段6:交付与持续支持(1 天)
1.交付正式报告、评估记录、整改方案、数据清单、数据地图等全套文档;
2.协助企业完成报告内部审批、归档备查;
3.提供3 个月免费咨询(整改落地指导、监管咨询答疑);
4.年度动态评估提醒(业务变更、法规更新时需重新评估)。
五、实施时间(标准周期10-15 个工作日)
表格
|
企业规模 / 复杂度 |
实施周期 |
备注 |
|
小微企业(单一业务、数据量 < 10 万、无敏感信息) |
7-10 个工作日 |
简化流程,重点核查核心场景 |
|
中型企业(多业务、数据量 10-100 万、少量敏感信息) |
10-15 个工作日 |
标准全流程,全面梳理数据链路 |
|
大型企业 / 集团(跨区域、多系统、数据量 100 万 +、敏感信息多 / 跨境) |
15-20 个工作日 |
分模块评估,增加专项评审环节 |
六、交付成果(全套合规文档,可直接备查)
(一)核心交付物
1.《个人信息保护影响评估报告(正式版)》(含风险结论、整改建议);
2.《个人信息保护影响评估记录》(法定留存文件);
3.《个人信息资产清单》(普通信息 + 敏感信息分类);
4.《数据处理活动流程图》+《数据地图》;
5.《个人信息合规差距分析报告》;
6.《数据安全整改方案(可落地版)》(含优先级、责任分工)。
(二)辅助交付物
1.配套制度模板(隐私政策、数据安全管理制度、应急预案、培训记录模板);
2.监管自查清单(覆盖《个保法》核心合规要点);
3.评估过程访谈纪要、评审会议纪要。
(三)增值交付
1.报告解读培训(1 次,线上 / 线下);
2.3 个月免费合规咨询(整改落地、监管答疑);
3.年度合规动态提醒(法规更新、业务变更需重评估)。
七、服务价值
1.合规免责:满足《个保法》强制要求,避免最高 5000 万元或 ** 上一年度营业额 5%** 的罚款;
2.风险防控:提前识别数据安全风险,避免数据泄露、用户投诉、声誉受损;
3.治理完善:梳理数据资产、规范处理流程,搭建长效数据合规体系;
4.信任提升:向用户、监管、合作伙伴证明合规能力,增强品牌信任;
5.商业赋能:满足融资、上市、并购的数据合规尽调要求,支撑业务拓展。