個人信息安全影響評估參考方法

D.1 評估安全事件發生僧的可能性

安全事件可能性等級評價可采用定性、半定量和定量的方式。安全事件可能性等級判定準則見表D.1。

以定性方式為例，可從“網絡環境和技術措施”“處理流程規范性”“參與人員與第三方”“安全態勢及業務特點”等方面，依據表D.1的判定準則，對安全事件可能性等級進行評價。可能性等級分為“很高”“高”“中”“低”四個等級，安全事件可能性判定可參考表D.2。

評估過程中，可根據事件自身的性質估計和經驗數據評估其可能性，再根據組織所實施的針對性安全控制措施、相關事件處置經驗對可能性進行修正。比如，個人信息處理的規模超過1000萬人，但有完備的、針對性的個人信息保護措施和應急機制，或者已具備類似事件處置的經驗，并得到了個人信息主體的認同，則安全可能性等級可降低一個級別。在進行修正時需要具體說明修正的理由，必要時可咨詢外部專業組織保證修正過程的合理性。

D.2 評估個人信息主體權益影響程度

個人權益影響程度評價可采用定性、半定量和定量的方式。個人權益影響程度判定準則見表D.3。

以定性方式為例，可從“限制個人自主決定權”“引發差別性待遇”“個人名譽受損和遭受精神壓力”“人身財產受損”四個維度，依據表D.3的判定準則，對個人信息主體的權益進行影響程度評價。影響程度分為“嚴重”“高”“中”“低”四個等級，影響程度判定可參考表D.4。

評估過程中，可先分析個人信息處理活動對某一個個人信息主體造成的影響程度，再根據處理活動的規模、特點、外部環境、個人信息去標識化、群體性特征等要素修正影響等級。比如，個人信息處理活動涉及典型的個人敏感信息，如健康狀況等，且達到一定的數量(如50萬人)，則影響程度可上升一個級別；如果受影響個人信息主體群體抗財務風險能力差、心理承受能力差等情形，如未成年人、學生、老年人等，則影響程度可上升一個級別；如果個人信息經去標識化后已確認降低敏感程度的，影響程度可降低一個級別。在進行修正時需要具體說明修正的理由，必要時可咨詢外部專業組織，保證修正過程的合理性。

此外，從組織實踐角度出發，可以進一步將個人信息主體權益的影響映射到對組織的影響，以促進組織進一步認識到其中的風險。比如，可根據個人權益受損對組織付出的成本進行評價。成本一般包括：違規成本(如監管處罰、訴訟費用、整改費用等)、直接的業務損失(如流失客戶減少了業務收人等)、名譽損失(如品牌形象受損、客戶信任受損等)、內部企業文化損失(如企業執行力受損、價值觀沖突引起員工積極性下降等)等，以上方面還可以進行初步的半定量或定量分析(比如處罰的案例與罰金等)，以促進組織充分重視個人信息保護工作，積極改進，降低個人信息處理過程對個人權益的影響。

D.3 個人信息安全風險綜合評估

綜合分析個人權益影響程度和安全事件可能性兩個要素，得出風險等級，并給出相應的改進建議，最終形成評估報告。風險等級可分為：嚴重、高、中、低四個等級。以定性分析為例，可參考表D.5。

組織可以根據自身業務特點和內部風險管理策略，設計科學、合理的風險等級判定表，并設定何種等級風險為不可接受的風險，但注意保證風險等級判定表不得隨意變更或修訂，必要時可咨詢外部專業組織保證風險等級判定表的合理性。