5.1 評估必要性分析

5.1.1 概述

個人信息安全影響評估可用于合規差距分析，也可以用于合規之上、進一步提升自身安全風險管理能力和安全水平的目的。因此啟動個人信息安全影響評估的必要性，取決于組織的個人信息安全目標，組織可根據實際的需求選取需要啟動評估的業務場景。

5.1.2 合規差距評估

5.1.2.1 概述

當組織定義的個人信息安全目標為符合相關法律、法規或標準的基線要求時，則個人信息安全影響評估主要目的在于識別待評估的具體個人信息處理活動已采取的安全控制措施，與相關法律、法規或標準的具體要求之間的差距，例如在某業務場景中與第三方共享個人信息，是否取得了個人信息主體的明示同意。

5.1.2.2 整體合規分析

組織可根據所適用的個人信息保護相關法律、法規、政策及標準，分析特定產品或服務所涉及的全部個人信息處理活動與所適用規則的差距。該評估方式的應用場景包括但不限于以下情形：

a) 產品或服務的年度整體評估；

b) 新產品或新服務(不限技術平臺)設計階段評估；

c) 新產品或新服務(不限技術平臺)上線初次評估；

d) 法律法規、政策、標準等出現重大變化時重新評估；

e) 業務模式、互聯網安全環境、外部環境等發生重大變化的重新評估；

f) 發生重大個人信息安全事件后重新評估；

g) 發生收購、兼并、重組等情形開展評估。

5.1.2.3 局部合規分析

組織可根據所適用的個人信息保護相關法律、法規、政策及標準，對特定產品或服務所涉及的部分個人信息處理活動與所適用規則的差距進行分析。該評估方式的應用場景包括但不限于以下情形：

a)新增功能需要收集新的個人信息類型時的評估；

b)法律、法規、政策、標準出現部分變化時的評估；

c)業務模式、信息系統、運行環境等發生變化時評估。

5.1.2.4 評估性合規要求分析

部分個人信息保護相關的法律、法規、標準的規定提出了評估性合規要求。這類規定并沒有針對特定的個人信息處理活動提出明確、具體的安全控制措施，而是要求組織針對特定個人信息處理活動，專門開展風險評估，并采取與風險程度相適應的安全控制措施，將對個人信息主體合法權益不利影響的風險降低到可接受的程度，才符合其規定。

評估性合規要求往往針對的是對個人權益有重大影響的個人信息處理活動，例如處理個人敏感信息、使用自動化決策方式處理個人信息、委托處理個人信息、向第三方轉讓或共享個人信息、公開披露個信息、向境外轉移個人信息等。

針對此類規定，組織可使用本指南提供的個人信息安全影響評估方法進行評估，保證個人信息處理活動的安全風險可控，以符合相應的法律、法規、標準的要求。

注：評估性合規要求分析示例及具體評估要點可參考附錄A。

5.1.3 盡責性風險評估

出于審慎經營、聲譽維護、品牌建立等目的，組織往往選取可能對個人合法權益產生高風險的個人信息處理活動，開展盡責性風險評估。此種風險評估的目標，是在符合相關法律、法規和標準的基線要求之上，盡可能降低對個人信息主體合法權益的不利影響。

注：高風險個人信息處理活動示例可參考附錄B。

組織可使用本標準提供的個人信息安全影響評估方法，對高風險個人信息處理活動進行評估，進一步降低個人信息處理活動的安全風險。