4.5 評估基本原理

個人信息安全影響評估的基本原理如圖1。

開展評估前，需對待評估的對象(可為某項產品、某類業務、某項具體合作等)進行全面的調研，形成清晰的數據清單及數據映射圖表(data flowcharts) ， 并梳理出待評估的具體的個人信息處理活動。開展評估時，通過分析個人信息處理活動對個人信息主體的權益可能造成的影響及其程度，以及分析安全措施是否有效、是否會導致安全事件發生及其可能性，綜合兩方面結果得出個人信息處理活動的安全風險及風險等級，并提出相應的改進建議，形成評估報告。