個人信息保護評估的主要類型與相關合規要求

PbD：隱私融入設計

PbD，隱私融入設計，著眼于某個具體的產品在不同的生命周期的個人信息處理合規性。

歐盟GDPR明確規定，在產品設計階段即應加入隱私保護考量，產品默認設置應最大化保護個人信息安全。因此，在產品的需求、設計、開發、測試、發布等完整生命周期，同步規劃、同步實施、同步應用個人信息保護策略及技術。

我國工信部《關于進一步提升移動互聯網應用服務能力的通知》（工信部信管函〔2023〕26號）明確規定，“建立全生命周期個人信息保護機制，健全考核問責制度，將相關法規政策要求落實到產品研發、推廣和運營各環節，不斷提高合規水平”。

此外，《個人信息處理中告知和同意的實施指南（GBT 42574 -2023）》推薦“根據有關國家標準，通過個人信息安全工程等方法，對處理個人信息的系統架構設計進行充分評估”。

PIA：隱私影響評估

PIA，隱私影響評估，用于評估數據處理活動可能對個人隱私的影響，確保在處理個人信息是遵守隱私法規和標準。

一般認為源于國際標準化組織頒布的《ISO 29134:2017隱私影響評估指南》，用于分析判定個人信息處理項目、政策、計劃、服務、產品或者其他活動對隱私產生的影響的評估工具。

隱私影響評估側重于風險分析的安全控制，多出現在強調政府內部監管的語境。美國2002年通過的《電子商務法案》中要求政府的代理人在發展或使用IT系統存儲公共領域的個人信息或者電子方式收集信息時需要進行隱私影響評估（PIA）。

DPIA：數據保護影響評估

DPIA，數據保護影響評估，源于歐盟的《一般數據保護條例》（GDPR），是對PIA制度的繼承，是歐盟統一數據保護法律框架下的強制性義務。

當某種類型的處理，特別是適用新技術進行的處理，很可能會對自然人的權利與自由帶來高風險時，在考慮了處理的性質、范圍、語境與目的后，控制者應當在處理之前評估計劃的處理進程對個人數據保護的影響。

PIPIA：個人信息保護影響評估

PIPIA，個人信息保護影響評估，源于《個人信息保護法》第五十五條，是我國現行法律明文規定的隱私影響評估制度。在我國一般用PIA代指個人信息保護影響評估，個人信息安全影響評估（PISIA）通常也會被視為對個人信息保護影響評估具體實行的補充。

《個人信息保護法》第55條規定，企業在開展可能會影響個人權益、可能會有安全風險的特定的個人信息處理活動，應當事前開展個人信息保護影響評估。《個人信息保護法》明確了個人信息處理者應當事前進行個人信息保護影響評估的五類情形。

《個人信息安全規范（GBT 35273-2017）》提出了“個人信息安全影響評估”。要求個人信息控制者建立個人信息安全影響評估制度，定期（至少每年一次）開展個人信息安全影響評估。

《個人信息安全影響評估指南（GBT 39335-2020）》明確了個人信息安全影響評估的原理、評估的具體實施流程，對評估的實務工作有了更強的指導意義。《個人信息安全影響評估指南》要求“指定個人信息安全影響評估的責任部門或責任人員，由其負責個人信息安全影響評估工作流程的制定、實施、改進，并對個人信息安全影響評估工工作結果的質量負責。”

2022年7月發布的國家互聯網信息辦公室發布《數據出境安全評估辦法》規定數據處理者向境外提供數據，滿足規定情形，應當通過所在地省級網信部門向國家網信部門申報數據出境安全評估。

2023年3月發布的國家互聯網信息辦公室發布《個人信息出境標準合同辦法》規定個人信息處理者向境外提供個人信息前，應當開展個人信息保護影響評估，并對重點評估的內容作了進一步規定。

2023年5月發布的《個人信息處理中告知和同意的實施指南（GBT 42574-2023）》對涉及使用自動化決策方式處理個人信息的等情形需要開展個人信息保護影響評估作了進一步確認。

PIPCA：個人信息保護合規審計

PIPCA，個人信息保護合規審計，著眼于企業全場景的個人信息處理活動。

《個人信息保護法》《個人信息保護合規審計管理辦法》等規定，PIPCA是對個人信息處理者的個人信息處理活動是否遵守法律、行政法規的情況進行審查和評價的監督活動。

《個人信息保護合規審計管理辦法》規定，處理超過100萬人個人信息的個人信息處理者，應當每年至少開展一次個人信息保護合規審計；其他個人信息處理者應當每二年至少開展一次個人信息保護合規審計。

根據《個人信息保護合規審計管理辦法》附件所列參考要點，以及《個人信息保護合規審計指南》相關內容，審計的范圍不僅包含了企業層面的合規義務，還包含了各職能部門層面的合規責任，更包括具體產品及服務層面個人信息保護等合規要求，幾乎覆蓋了企業的全場景個人信息保護。