5.5 個人權益影響分析

5.5.1 個人權益維度

個人權益影響分析指分析特定的個人信息處理活動是否會對個人信息主體合法權益產生影響，以及可能產生何種影響。個人權益影響概括可分為“限制個人自主決定權”“引發差別性待遇”“個人名譽受損或遭受精神壓力”“人身財產受損”四個維度：

a)限制個人自主決定權，例如被強迫執行不愿執行的操作、缺乏相關知識或缺少相關渠道更正個人信息、無法選擇拒絕個性化廣告的推送、被蓄意推送影響個人價值觀判斷的資訊等；

b)引發差別性待遇，例如因疾病、婚史、學籍等信息泄露造成的針對個人權利的歧視，因個人消費習慣等信息的濫用而對個人公平交易權造成損害等；

c)個人名譽受損或遭受精神壓力，例如被他人冒用身份、公開不愿為人知的習慣、經歷等，被頻繁騷擾、監視追蹤等；

d)人身財產受損，例如引發人身傷害、資金賬戶被盜、遭受詐騙、勒索等。

5.5.2 個人權益影響分析過程

組織可根據數據映射分析結果及確定需要評估的個人信息處理活動，結合相關法律、法規、標準的要求或組織自定義的個人信息安全目標，分析個人信息處理活動全生命周期或特定處理行為對個人權益可能產生的影響，以及個人信息泄露、毀損、丟失、濫用等對個人權益可能產生的影響，以審視是否存在侵害個人信息主體權益的風險。

個人權益影響分析過程一般包含對個人信息敏感程度分析、個人信息處理活動特點分析、個人信息處理活動問題分析以及影響程度分析四個階段：

a)在個人信息敏感程度分析階段，組織可參照國家有關法律、法規、標準，依據數據映射分析結果，分析個人信息的敏感程度對個人權益可能產生的影響，例如健康生理信息的泄露、濫用等可能會對個人生理、心理產生較嚴重的影響；

b)在個人信息處理活動特點分析階段，組織可參照與國家有關法律、法規、標準，依據數據映射分析結果，分析個人信息處理活動是否涉及限制個人自主決定權、引發差別性待遇、個人名譽受損或遭受精神壓力、人身財產受損等，例如公開披露個人經歷的行為可能會對個人聲譽產生影響；

c)在個人信息處理活動問題分析階段，組織可參照與國家有關法律、法規、標準，依據數據映射分析結果，分析個人信息處理活動可能存在的弱點、差距和問題，其中5.4b)中的對個人信息流程規范性的分析結果可以支撐該階段的分析過程，對問題嚴重程度的分析有助于分析個人權益的影響程度；

d)在個人權益影響程度分析階段，組織可結合前幾個階段的分析結果，綜合分析個人信息處理活動對個人權益可能造成的影響，及其嚴重程度。

注：個人權益影響程度評估可參考D.2。