5.3 數據映射分析

組織在針對個人信息處理過程進行全面的調研后，形成清晰的數據清單及數據映射圖表。

數據映射分析階段需結合個人信息處理的具體場景。調研內容包括個人信息收集、存儲、使用、轉讓、共享、刪除等環節涉及的個人信息類型、處理目的、具體實現方式等，以及個人信息處理過程涉及的資源(如內部信息系統)和相關方(如個人信息處理者、平臺經營者、外部服務供應商、云服務商等第三方)。調研過程中盡可能考慮已下線系統、系統數據合并、企業收購、并購及全球化擴張等情況。

梳理數據映射分析的結果時，根據個人信息的類型、敏感程度、收集場景、處理方式、涉及相關方等要素，對個人信息處理活動進行分類，并描述每類個人信息處理活動的具體情形，便于后續分類進行影響分析和風險評價。

注：開展數據映射分析，可參考附錄C中表C.1和表C.2。