企业开展 PIA 星级认证的实务指南

栏目：律法实务作者：冯清清,霍雨佳来源：广东广悦律师事务所时间：2024-10-15 17:58:14浏览：9收藏

数据合规项目中企业开展 PIA 面临困境，PIA 星级认证提供解决方案，介绍本文目的及获取更多资料方式。

在当今数字化时代，数据合规成为企业发展的关键环节。然而，许多企业在数据合规项目中，尤其是在个人信息保护影响评估（PIA）方面，面临着诸多困境。业务场景的繁杂使得企业无从下手，评估流程的复杂性和高要求又让企业落地困难重重，部分企业即使开展了 PIA，也往往流于形式，未能将整改建议落到实处。

今年八月，“中国网络安全产业联盟（CCIA）数据安全工作委员会” 发布了第三批获得 “PIA 星级标识” 的企业名单，为企业有效开展个人信息保护影响评估提供了可行的解决方案。PIA 星级认证由 PIA 专题工作组发起，旨在通过对企业的个人信息保护影响评估工作进行审核和认证，推动企业主动履行个人信息保护的法定义务，提高个人信息保护水平。

本文基于过往经验梳理 PIA 认证的实务要点，从是什么、为什么和怎么做三个层面，逐一介绍 PIA 星级认证，帮助企业更好地理解和开展个人信息保护影响评估工作。

二、是什么 ——PIA 星级认证的 “诞生”

1. PIA 是《个人信息保护法》的法定义务，《评估指南》对其定义及企业在 PIA 中的痛点，包括开展意识欠缺、评估要求高落地难、流于形式等问题，介绍 PIA 专题工作组及星级标识含义。

个人信息保护影响评估（PIA）作为《个人信息保护法》的法定义务，其重要性不言而喻。然而，企业在实际操作中却面临着诸多痛点。

一方面，许多企业开展 PIA 的意识欠缺，处于 “被动合规” 状态。根据相关规定，大多数企业在处理敏感个人信息、利用个人信息进行自动化决策、委托处理个人信息等常见场景中，都负有进行 PIA 的法定义务。但在实际情况中，很多企业并无开展 PIA 的意识，或者虽然有意识去做，却不知道从何入手。例如，在一些企业的研讨会上，企业对 PIA 存在 “要不要做”“值不值得做” 以及 “做到什么程度” 三大疑惑，这使得企业离主动合规状态相差甚远，PIA 也因此成为企业在面对监管检查和内部合规工作整改中极易出现问题的环节。

另一方面，PIA 评估要求高、缺少标准，落地困难重重。《评估指南》规定的评估流程较为复杂，对实施人员能力和经验要求较高，且评估缺少统一的清单和标准。这使得企业在实务中面临 “知道很重要，就是做不到” 的局面。例如，企业在进行 PIA 时，需要对个人信息处理活动进行全面的分析和评估，包括数据映射分析、个人权益影响分析、安全保护措施有效性分析等多个环节，每个环节都需要专业的知识和技能。然而，很多企业缺乏具备这些能力的人员，也没有统一的标准和方法来指导评估工作，导致评估工作难以顺利开展。

此外，部分企业虽然开展了 PIA，形成了评估报告，但并未把整改建议落到实处，PIA 工作成效未显现，只是报告的表面功夫，流于形式。

PIA 专题工作组由中国信息通信研究院、中国电子技术标准化研究院等单位的法律与技术专家组成，旨在为企业开展 PIA 提供专业的指导和支持。专题工作组审核阶段，将以企业的个人信息保护影响评估报告为对象，对企业开展评估工作的过程等是否符合评估依据进行评价。

PIA 一星级标识，代表企业的评估工作参考了相应国家标准，及 PIA 专题工作制定的工具表格，工作方法较为规范。PIA 二星标识，则代表企业引入了权威第三方的测评结果，该第三方机构参考了相应国家标准及 PIA 专题工作制定的工具表格，出具了评估报告。

三、为什么 —— 开展 PIA 星级认证的原因

1. 法律法规对 PIA 的相关规定

《个保法》第 55、56 条构建了我国个人信息保护影响评估制度。

开展 PIA 评估的场景：

《个保法》明确规定了应当事前进行个人信息保护影响评估的个人信息处理场景，包括处理敏感个人信息、利用个人信息进行自动化决策、委托处理个人信息等五种情形。并非所有个人信息处理活动都需开展 PIA，对于 “其他对个人权益有重大影响的个人信息处理活动”，《信息安全技术个人信息安全规范》（GB/T 35273—2020）及《评估指南》予以了细化，如基于不同业务目的所收集个人信息的汇聚融合、产品或服务发布等情况。若企业涉及上述处理活动，可根据实际处理的个人信息敏感程度、类型、数量等综合评估是否有必要采取个人信息保护影响评估。

PIA 评估包含的内容：

根据《个保法》第 56 条，个人信息保护影响评估应当包括个人信息的处理目的、处理方式等是否合法、正当、必要；对个人权益的影响及安全风险；所采取的保护措施是否合法、有效并与风险程度相适应。在时限上，个人信息保护影响评估报告和处理情况记录，应当至少保存三年。

2. PIA 星级认证的必要性

履行法定义务与合规要求：

作为《个保法》明文规定的法定义务，企业开展 PIA 星级认证，能够确保符合法律法规的强制性要求，以及行业主管部门的监管要求。引入律师事务所和第三方专业机构，对个人信息全生命周期进行评估和风险防范，履行法定义务。

公开透明与公众形象：

PIA 星级标识目前为批次性发放，取得认证的企业名单会统一公布。如 “PIA 专题工作” 于 2023 年 7 月 - 10 月开展了第一批评估工作，其中获评一星级的企业有 12 家，二星级的企业有 11 家；2023 年 11 月 - 2024 年 2 月开展了第二批评估工作，向 5 家企业发放了一星级标识，向 11 家企业发放了二星级标识；2024 年 2 月 - 2024 年 7 月开展了第三批评估工作，其中获评一星级的企业 13 家，二星级的企业有 16 家。通过公开透明的 PIA 星级认证结果，企业可以向公众展示其在个人信息保护与安全合规方面的高水平、高标准，提高公众对其产品和服务的信任程度，助力企业的合规品牌形象的树立。

四、怎么做 —— 开展 PIA 星级认证的实务指引

1. PIA 评估的内容与流程

（1）数据映射分析

数据映射分析是个人信息保护影响评估流程的基础环节。企业需结合个人信息处理的具体场景，对个人信息收集、存储、使用、转让、共享、删除等环节涉及的个人信息类型、处理目的、具体实现方式等，以及个人信息处理过程涉及的资源（如内部信息系统）和相关方（如企业、平台运营者、外部服务商等第三方合作机构）进行全面调研。例如，合合信息作为国内人工智能及大数据行业重点科技企业，在进行数据映射分析时，详细梳理了其通过智能文字识别及商业大数据技术为全球用户提供服务过程中涉及的个人信息处理活动，明确了个人信息的类型包括用户的文字识别数据、商业数据等，处理目的是为用户提供数字化、智能化的产品及服务，实现方式包括智能算法处理等，并对涉及的内部信息系统和第三方合作机构进行了清晰的界定。

通过数据映射分析，企业可以根据个人信息的类型、敏感程度、收集场景、处理方式、涉及相关方等要素，对个人信息处理活动进行分类，并描述每类个人信息处理活动的具体情形。这样便于后续分类进行影响分析和风险评价，为个人信息保护影响评估提供扎实的数据基础。

（2）个人权益影响分析

完成数据映射分析后，企业进入个人权益影响分析环节。此环节主要从 “限制个人自主决定权”“引发差别性待遇”“个人名誉受损或遭受精神压力”“人身财产受损” 等四个维度进行分析，以确定特定个人信息处理活动对个人信息主体合法权益的影响程度，并最终得出严重、高、中、低四个级别。

以处理健康医疗数据为例，若企业如未向用户履行单独同意义务，亦未提供实现用户个人信息权益的有效路径，则在限制个人自主决定权的维度上，其处理活动将对个人权益有较为 “严重” 的影响。平安健康在处理敏感个人信息时，高度重视个人权益影响分析，从多个维度综合评估个人信息处理活动对用户权益的影响，确保其处理活动合法、正当、必要，采取了有效的安全措施，有效保障了用户的敏感个人信息和安全风险的可控性。

（3）安全措施有效性分析

安全措施有效性分析侧重于分析个人信息安全事件发生的可能性，识别可能存在的个人信息安全危险源，并评估现有安全措施是否已足够应对可能产生的安全事件。评估维度主要为网络环境和技术措施、参与人员与第三方、个人信息处理流程、业务特点和规模及安全态势，集中在技术手段、内部职权划分、商业发展等方面。

例如，就对外提供个人信息的行为，企业应重点评估对外传输过程是否已进行加密、数据接收方是否具备相应的数据安全能力、是否定期审计检查第三方的处理行为、相关负责人员是否已签署保密协议等。如答案均为否，那么此项活动发生安全事件的可能性级别应为 “高” 甚至 “很高”。桔子数科在个人信息保护方面，不仅成立了消费者权益保护部门，负责将消费者权益保护工作落实到日常经营中，还建立了事前审查、事中管控和事后监督三位一体的全流程管控机制，全面践行消费者权益保护的企业责任，切实维护消费者合法权益。同时，桔子数科获得了国家信息安全三级等保认证，建立了完备的网络安全保护体系，为网络安全工作及信息化建设长远发展打下了坚实基础。

（4）确定风险级别

结合个人权益影响级别及安全事件的可能性等级，参考风险等级判定表，可得出风险等级，完成个人信息保护影响的综合评估。通过这一环节，企业能够全面了解个人信息处理活动的风险状况，为制定针对性的整改措施提供依据。

2. PIA 星级认证的流程

PIA 星级认证流程首先由企业或者委托律所对个人信息处理活动进行全面分析、调研，分析个人信息处理的必要性、影响程度和可能性，得出风险等级并给出改进建议，形成评估报告。

企业在进行自我评估时，可以参考相关国家标准和 PIA 专题工作制定的工具表格，如《信息安全技术个人信息安全影响评估指南》（GB/T 39335-2020）。同时，企业还可以借鉴其他获得 PIA 星级认证的企业的经验，如合合信息、桔子数科、平安健康等，学习他们在个人信息保护方面的先进做法和成功经验。

其后将评估报告提交给 PIA 专题工作组，由其对评估报告进行审核。审核通过后，发放星级标识，并统一公布星级认证名单。PIA 专题工作组由中国信息通信研究院、中国电子技术标准化研究院等单位的法律与技术专家组成，具有专业的审核能力和丰富的经验，能够确保认证的权威性和公正性。

总之，PIA 星级认证为企业提供了一套系统、规范的个人信息保护影响评估方法和流程，帮助企业提高个人信息保护水平，增强企业的竞争力和公信力。

五、结语

在数字经济蓬勃发展的当下，个人信息的安全和保障成为了全社会普遍关注的焦点。随着企业经营活动中涉及的个人信息处理量不断增加，如何有效地保护个人信息，不仅关系到信息主体的权益，也关乎企业的生存与发展。

PIA 星级认证对于企业而言，具有至关重要的意义。一方面，它是企业提升自身竞争力的有力手段。在市场竞争日益激烈的环境中，消费者在选择数字产品和服务时，越来越注重个人信息的安全保护。正如公众选择餐厅会参考点评榜单一样，企业获得 PIA 星级标识，能够让公众更加倾向于选择经过认证的产品或品牌。例如，桔子数科荣膺 PIA 二星级标识后，筑牢了用户安全防火墙，展示了其在个人信息保护方面的高水平，吸引了更多用户的信赖。合合信息旗下的名片全能王、启信宝等产品获得 “PIA 二星级标识”，也为其在全球范围内赢得了亿级用户基础，充分发挥了行业示范效应，增强了消费者对使用数字产品和服务的信心。

另一方面，PIA 星级认证有助于企业树立良好的公众形象。通过公开透明的认证结果，企业向社会展示了其在个人信息保护与安全合规方面的高标准，提高了公众对其产品和服务的信任程度。长安汽车旗下的阿维塔科技荣获 “个人信息保护影响评估（PIA）专题工作” 二星级标识，不仅提升了阿维塔品牌的市场形象，更为长安汽车在智能出行时代的隐私保护树立了新的标杆。企业积极参与 PIA 星级认证，体现了其在当今数字化转型中对于个人信息保护的重视程度与自主合规意识。

总之，PIA 星级认证不仅是对企业的一种约束和规范，更是企业在数字经济时代实现可持续发展的重要途径。它为企业提供了明确的个人信息保护方向和方法，推动企业不断提升个人信息保护水平，为社会信息安全共建坚实的 “护城河”。