×

数字发展全球研报|个人信息保护影响评估(PIA)自查表

wang wang 发表于2026-02-22 00:37:24 浏览1 评论0

抢沙发发表评论

数字发展全球研报|个人信息保护影响评估(PIA)自查表

数字发展全球研报第四卷第8期(2026/02/16-2026/02/22)

本期综述个人信息保护影响自查表相关内容,供参考。

截至2026年2月,依据《个人信息保护法》《数据安全法》及配套法规,个人信息处理者必须事前开展个人信息保护影响评估(PIA 情形如下:

一、核心法定情形(《个人信息保护法》第五十五条)

一是处理敏感个人信息。包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹,以及不满14周岁未成年人的个人信息。

二是利用个人信息进行自动化决策。如算法推荐、用户画像、信用评分、精准营销、招聘筛选、风控决策等。

三是委托处理、向第三方提供、公开个人信息。包括委托第三方处理个人信息;向其他处理者共享、转让个人信息;主动公开个人信息(含脱敏后仍可识别的信息)。

四是向境外提供个人信息。无论采用安全评估、标准合同或认证方式,均需先做PIA。

五是其他对个人权益有重大影响的处理活动。如大规模处理、高频次处理、长期保存、与高风险业务结合等。

二、专项法规与场景化强制要求

一是人脸识别等生物识别应用。使用人脸识别技术前必须开展PIA。

二是个人信息出境相关。包括申报数据出境安全评估前;订立个人信息出境标准合同前;申请个人信息出境认证前。

三是重要数据与个人信息混合处理。处理同时包含重要数据与个人信息的数据集,需同步开展数据安全评估与个人信息保护评估。

四是互联网政务应用。机关事业单位对互联网政务应用每年至少开展一次安全检测与个人信息保护评估。

五是汽车数据处理。汽车数据处理者向境外提供个人信息或重要数据前,需开展专项评估。

三、实务中建议主动评估的情形(虽非强制但属合规最佳实践)

包括首次开展新类型个人信息处理活动;处理目的、方式、范围发生重大变更;个人信息泄露、滥用事件后复盘评估;监管部门要求开展专项评估;处理100万人以上个人信息的处理者,定期开展评估

四、个人信息保护影响评估(PIA)自查表(截至2026年2月)

说明:1.  自查结果填写“是/否/不适用”,“是”需同步完成PIA评估并留存报告;2.  备注栏填写具体场景(如“处理未满14周岁未成年人信息”“人脸考勤”)或特殊说明;3.  依据《个人信息保护法》《数据安全法》及配套专项法规编制,适用于企业合规自查。

序号

自查项目(PIA触发情形)

法规依据

核心自查要点

自查结果

备注

1

处理敏感个人信息

《个人信息保护法》第28条、第55条

1. 是否属于敏感个人信息范围;

2. 处理是否必要、符合最小必要原则;

3. 是否取得有效告知同意;4. 存储、访问、销毁是否合规

2

利用个人信息进行自动化决策

《个人信息保护法》第24条、第55条

1. 决策过程是否公平公正、透明;

2. 是否提供拒绝自动化决策的选项;3. 重大决定是否有人工复核机制

3

委托第三方处理个人信息

《个人信息保护法》第21条、第55条

1. 委托范围、权限是否明确;

2. 第三方是否具备安全资质;

3. 是否签订合规委托协议,明确违约责任

4

向第三方提供/转让个人信息

《个人信息保护法》第23条、第55条

1. 是否告知个人并取得单独同意;

2. 接收方安全能力是否达标;

3. 是否限制接收方再处理范围

5

公开个人信息

《个人信息保护法》第55条

1. 公开是否确有必要;

2. 公开范围是否可控;

3. 是否提供公开撤回选项

6

向境外提供个人信息

《个人信息保护法》第38条、第55条

1. 出境目的、范围是否明确;

2. 接收方所在国法律环境是否安全;3. 是否落实出境安全保障措施

7

其他对个人权益有重大影响的处理活动

《个人信息保护法》第55条

1. 是否属于大规模、高频次处理;2. 处理目的、方式是否发生重大变更;

3. 处理人数是否达百万级以上

8

使用人脸识别等生物识别信息

《人脸识别技术应用安全管理规定(试行)》

1. 是否无替代方案、确需使用;

2. 现场是否有明确标识;

3. 信息存储是否加密、是否可依法删除

9

重要数据与个人信息混合处理

《数据安全法》《重要数据识别指南》

1. 是否对两类数据分级分类;

2. 是否落实权限隔离措施;3. 是否符合出境限制要求

10

汽车数据处理(涉及个人信息/重要数据)

《汽车数据安全管理若干规定(试行)》

1. 车内信息是否脱敏处理;2. 是否默认不联网收集;

3. 向境外提供是否合规

11

互联网政务服务平台处理个人信息

政务数据安全相关规范

1. 是否每年开展至少一次安全检测;2. 是否同步开展PIA评估;

3. 评估报告是否留存

12

新系统/新业务上线前处理个人信息

合规最佳实践(衔接法定重大影响情形)

1. 处理流程是否合规;

2. 是否存在未覆盖的PIA触发场景;3. 是否提前完成PIA评估

13

发生数据泄露/安全事件后

合规最佳实践(衔接监管要求)

1. 是否复盘处理活动风险;2. 是否补充开展PIA评估;

3. 是否优化安全防控措施

自查人:__________  自查日期:__________  审核人:__________  审核日期:__________

结合合规要求及实操性,PIA 报告目录一般需包含以下核心内容(按规范顺序排列):

一 前言

二 评估基础信息

三 个人信息处理活动概况

四 评估依据与评估方法

五 个人信息保护影响评估内容

六 风险识别与分级

七 风险应对措施与整改方案

八 评估结论

九 附件

十 签署页

主编 丨 张烽

出品 丨 数字治理研究/万商天勤