一、哪些情形应当开展个人信息保护影响评估？

根据《个人信息保护法》第五十五条，个人信息处理者在以下场景中需事前完成PIA：

处理敏感个人信息：比如刷脸支付、医疗健康等数据收集、处理；

自动化决策场景：典型场景包括算法推荐商品、信用评分等；

共享或委托处理个人信息：包括把数据交给第三方处理（如委托数据分析公司）、共享给合作方、APP接入第三方SDK等；

跨境传输个人信息：即便符合豁免条件（如跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等）也需要开展影响评估；

以及其他可能显著影响个人权益的活动：需结合业务具体判断。

二、个人信息保护影响评估应包含哪些核心内容？

根据法律规定，PIA主要围绕以下三方面展开：

合法性验证：个人信息处理目的、方式是否遵循“合法、正当、必要”原则；

风险识别：分析个人信息处理对用户权益的潜在影响及安全风险；

保护措施匹配度：验证现有安全手段（如加密、权限控制等）是否与安全风险等级相适应

三、事前未进行PIA，事后补做是否有效？

根据《个人信息保护法》要求，PIA应以事前评估为基本原则，旨在从源头规避风险，若因历史原因未及时评估，企业可对已开展的业务进行补充性PIA，但需确保：

评估方法符合国家标准《信息安全技术 个人信息安全影响评估指南》（编号：GB/T-39335，以下简称为：“《个人信息安全影响评估指南》”）的要求；

有效识别可能侵害个人权益的情形；

针对已识别的风险采取整改措施（如完善用户告知、优化数据加密方案）。

需特别强调的是：事后补充评估仅能弥补历史业务漏洞，不能替代新业务的“事前评估”法定义务。未来新增业务或功能迭代时，企业仍需严格履行事前合规责任。

四、如何合理并合规地界定PIA的评估对象及范围？

从企业整体合规的角度考虑，原则上应将所有业务线全部纳入PIA评估范围，但在实际落地执行时，全面覆盖对大部分企业来讲可能都会面临资源与效率的双重挑战。因此实操过程中大部分PIA是以涉及个人信息处理活动的具体业务流程/业务场景作为评估对象，例如进行个人跨境传输的场景下，针对跨境涉及的业务流程、场景、个人信息字段、传输方式、个人信息主体的知情同意落实情况、安全保护措施等内容进行评估。

若企业涉及多项业务均需开展PIA，可依据风险等级与资源投入的平衡原则，优先选择核心业务（如涉及敏感个人信息处理、用户基数庞大的业务）或合规风险较高的场景（如自动化决策、委托第三方处理数据）开展评估，后续通过分阶段扩展逐步覆盖其他业务。实操过程中，企业可建立动态评估机制，例如将新增业务或重大变更场景自动纳入待评估清单，并结合年度合规计划逐步推进，最终实现业务的全覆盖，同时确保评估逻辑的连贯性与文档的可追溯性，为后续审计提供完整依据。

五、如何把握评估工作的精细程度？

评估的精细程度需以不低于法定基础要求以及国标指引为基准，同时结合业务实际灵活调整。

根据《个人信息安全影响评估指南》，PIA需系统覆盖技术措施、流程规范、人员管理及业务特征等维度。例如，技术层面需核查数据传输加密、访问权限控制等基础安全能力是否达标；流程层面需验证告知同意的执行是否合法（如是否存在默认勾选、变更用途时是否重新授权）；人员管理需评估内部培训制度、第三方合作约束机制是否健全；业务层面则需结合用户规模、数据敏感度等动态调整防护等级。

需注意的是，评估并非机械照搬国标条款，企业可基于业务复杂度合并同类项（如相似场景共用评估模板）或补充特定风险点（如跨境传输场景增加数据接收方资质审查），但核心控制项（如用户权利保障、风险处置闭环）不可简化。

此外，评估过程需完整留存文档（如隐私政策迭代记录、用户授权凭证、整改报告），确保逻辑可追溯、证据链完整，避免因细节缺失导致合规效力弱化。

六、已经开展过评估的业务，是否可以“一劳永逸”？

不可以，已完成的PIA不可视为永久有效，需根据业务动态变化及合规环境更新重新评估。

根据《个人信息保护法》及《个人信息安全影响评估指南》要求，PIA本质上是围绕业务场景开展的动态合规管理工具，而非一次性任务。因此，即使企业已完成全部业务的初始评估，在后续运营中仍需关注以下触发条件：

业务新增功能或版本迭代（如上线新服务模块）；

合作方调整（如引入第三方处理数据）；

用户规模显著增长（如日活量激增）；

合规要求更新（如新的法律法规、政策、国标等发布）；

重大安全事件（如数据泄露）。

如涉及以上情况其中之一的，则需要重新进行PIA。

此外，建议企业建立定期评估机制（如年度复评），结合业务发展与安全态势动态调整评估范围，确保合规覆盖的完整性与时效性。实践中，企业应留存历次评估报告及更新记录，形成可追溯的合规“证据链条”。

七、涉及跨境传输个人信息的业务，无论是否属于免予申报数据出境安全评估/订立个人信息出境标准合同/通过个人信息保护认证的情形，是否都要做PIA？

是的。

企业的业务涉及跨境传输个人信息，且根据《数据出境安全评估办法》《个人信息出境标准合同办法》《个人信息跨境处理活动安全认证规范》《促进和规范数据跨境流动规定》等规定，需要通过数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证这三条个人信息出境合规路径之一完成个人信息数据跨境的强制性合规义务的，在进行安全评估、标准合同备案、保护认证过程中，必须向网信办等相关部门提交PIA报告。

需要特别注意的是，个保法中第五十五条明确指出向境外提供个人信息的个人信息处理者应当事前进行个人信息保护影响评估，并对处理情况进行记录，这一要求是广泛适用的。因此，即使属于免予申报数据出境安全评估/订立个人信息出境标准合同/通过个人信息保护认证的情形，仍需要开展出境场景下的PIA，并形成评估报告以供开展合规审计时备查

文件硬盘数据销毁

。