4.4 評估責任主體

組織指定個人信息安全影響評估的責任部門或責任人員，由其負責個人信息安全影響評估工作流程的制定、實施、改進，并對個人信息安全影響評估工作結果的質量負責。該責任部門或人員具有獨立性，不受到被評估方的影響。通常，組織內部牽頭執行個人信息安全影響評估工作的部門為法務部門、合規部門或信息安全部門。

組織內的責任部門可根據部門的具體能力配備情況，選擇自行開展個人信息安全影響評估工作，或聘請外部獨立第三方來承擔具體的個人信息安全影響評估工作。

對于具體的產品、服務或項目，由相應的產品、服務或項目負責人確保個人信息安全影響評估活動的開展和順利進行，并給予相應支持。

當由組織自行進行個人信息安全影響評估時，主管監管部門和客戶可要求獨立審計來核證影響評估活動的合理性和完備性。同時，該組織允許主管監管部門對影響評估流程以及相關信息系統或程序進行取證。