《信息安全技術(shù) 個(gè)人信息安全影響評(píng)估指南-編制說(shuō)明》

一、任務(wù)來(lái)源

2017年3月，在信安標(biāo)委會(huì)議周，云計(jì)算及大數(shù)據(jù)特別工作組討論會(huì)議上，

一致同意編制《個(gè)人信息安全影響評(píng)估指南》。本標(biāo)準(zhǔn)為自主制定標(biāo)準(zhǔn)，標(biāo)準(zhǔn)由

頤信科技有限公司牽頭，中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院、深圳市騰訊計(jì)算機(jī)系統(tǒng)有

限公司、華為技術(shù)有限公司、全知科技有限公司、北京信息安全測(cè)評(píng)中心、四川

大學(xué)網(wǎng)絡(luò)空間安全研究院、中國(guó)信息通信研究院、阿里巴巴（北京）軟件服務(wù)有

限公司、螞蟻金服公司、陜西信息安全測(cè)評(píng)中心、國(guó)家金融IC卡檢測(cè)中心等參

與編制，歸口單位為全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（簡(jiǎn)稱信息安全標(biāo)委會(huì)，

TC260）。

二、編制背景

隨著社會(huì)的進(jìn)步和科技的發(fā)展，用戶個(gè)人信息安全問(wèn)題日漸凸顯。過(guò)度收

集個(gè)人信息、對(duì)個(gè)人信息進(jìn)行二次開(kāi)發(fā)利用以及個(gè)人信息交易等嚴(yán)重侵犯用戶隱

私的現(xiàn)象時(shí)有發(fā)生，訴諸法律訴訟的案件和官司纏身的網(wǎng)絡(luò)公司不勝枚舉。如何

保護(hù)用戶信息，采用何種方式保護(hù)，已經(jīng)成為維護(hù)用戶個(gè)人信息安全需要首先考

慮的問(wèn)題。根據(jù)中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)發(fā)布的《2016中國(guó)網(wǎng)民權(quán)益保護(hù)調(diào)查報(bào)告》，84%

的網(wǎng)民曾親身感受到由于個(gè)人信息泄露帶來(lái)的不良影響。從2015年下半年到今

年上半年的一年間，我國(guó)網(wǎng)民因垃圾信息、詐騙信息、個(gè)人信息泄露等遭受的經(jīng)

濟(jì)損失高達(dá)915億元。近年來(lái)，警方查獲曝光的大量案件顯示，公民個(gè)人信息的

泄露、收集、轉(zhuǎn)賣(mài)，已經(jīng)形成了完整的黑色產(chǎn)業(yè)鏈。

然而，數(shù)據(jù)、信息已經(jīng)成為我國(guó)實(shí)現(xiàn)經(jīng)濟(jì)轉(zhuǎn)型升級(jí)的基礎(chǔ)性資源?！笆濉?/p>

規(guī)劃綱要明確提出要“牢牢把握信息技術(shù)變革趨勢(shì)，實(shí)施網(wǎng)絡(luò)強(qiáng)國(guó)戰(zhàn)略，加快建

設(shè)數(shù)字中國(guó)，推動(dòng)信息技術(shù)與經(jīng)濟(jì)社會(huì)發(fā)展深度融合，加快推動(dòng)信息經(jīng)濟(jì)發(fā)展壯

大”。在實(shí)施國(guó)家大數(shù)據(jù)戰(zhàn)略這一章中，“十三五”規(guī)劃綱要指出要“把大數(shù)據(jù)作

為基礎(chǔ)性戰(zhàn)略資源，全面實(shí)施促進(jìn)大數(shù)據(jù)發(fā)展行動(dòng)，加快推動(dòng)數(shù)據(jù)資源共享開(kāi)放

和開(kāi)發(fā)應(yīng)用，助力產(chǎn)業(yè)轉(zhuǎn)型升級(jí)和社會(huì)治理創(chuàng)新?！绷?xí)近平主席指出，“網(wǎng)絡(luò)安全

和信息化是一體之兩翼、驅(qū)動(dòng)之雙輪”。數(shù)據(jù)安全是信息化持續(xù)推進(jìn)的基本前提。

對(duì)此，“十三五”規(guī)劃綱要提出要“建立大數(shù)據(jù)安全管理制度，實(shí)行數(shù)據(jù)資源分

類分級(jí)管理，保障安全高效可信應(yīng)用。實(shí)施大數(shù)據(jù)安全保障工程，加強(qiáng)數(shù)據(jù)資源

1

在采集、存儲(chǔ)、應(yīng)用和開(kāi)放等環(huán)節(jié)的安全保護(hù)，加強(qiáng)各類公共數(shù)據(jù)資源在公開(kāi)共

享等環(huán)節(jié)的安全評(píng)估與保護(hù)，建立互聯(lián)網(wǎng)企業(yè)數(shù)據(jù)資源資產(chǎn)化和利用授信機(jī)制。

加強(qiáng)個(gè)人信息保護(hù)，嚴(yán)厲打擊非法泄露和出賣(mài)個(gè)人數(shù)據(jù)行為?！币虼嗣嫦蛭磥?lái)，

具備科學(xué)性、有效性、可操作性的個(gè)人信息保護(hù)框架和模式成為落實(shí)“十三五”

規(guī)劃綱要要求的重要保障。

《網(wǎng)絡(luò)安全法》的發(fā)布，對(duì)個(gè)人信息保護(hù)也做出專門(mén)規(guī)定：網(wǎng)絡(luò)產(chǎn)品、服

務(wù)具有收集用戶信息功能的，其提供者應(yīng)當(dāng)向用戶明示并取得同意；網(wǎng)絡(luò)運(yùn)營(yíng)者

不得泄露、篡改、毀損其收集的個(gè)人信息；任何個(gè)人和組織不得竊取或者以其他

非法方式獲取個(gè)人信息，不得非法出售或者非法向他人提供個(gè)人信息，并規(guī)定了

相應(yīng)法律責(zé)任。

在落實(shí)國(guó)家政策和法律要求，切實(shí)有效地降低個(gè)人信息處理過(guò)程中的安全

風(fēng)險(xiǎn)，推動(dòng)數(shù)字經(jīng)濟(jì)長(zhǎng)促發(fā)展的大背景下，制定和完善個(gè)人信息安全標(biāo)準(zhǔn)體系是

有力的抓手，其中規(guī)范有效地實(shí)施個(gè)人信息安全風(fēng)險(xiǎn)評(píng)估更是個(gè)人信息安全要求

落地的關(guān)鍵。

（2）項(xiàng)目必要性分析

個(gè)人信息安全及開(kāi)展個(gè)人信息安全風(fēng)險(xiǎn)評(píng)估的重要性在前面有充分的闡

述，在此節(jié)不予重復(fù)介紹，針對(duì)項(xiàng)目本身的必要性進(jìn)行分析如下：

本標(biāo)準(zhǔn)是《個(gè)人信息安全規(guī)范》標(biāo)準(zhǔn)落地的有力抓手，是完善我國(guó)個(gè)人信

息安全保護(hù)標(biāo)準(zhǔn)體系的關(guān)鍵環(huán)節(jié)。

在2016年制定的重點(diǎn)標(biāo)準(zhǔn)《個(gè)人信息安全規(guī)范》（征求意見(jiàn)稿）中，“5.2

節(jié)開(kāi)展安全風(fēng)險(xiǎn)評(píng)估”中對(duì)個(gè)人信息安全風(fēng)險(xiǎn)評(píng)估有具體的要求，包括建立個(gè)人

信息安全風(fēng)險(xiǎn)管理制度，評(píng)估個(gè)人信息處理活動(dòng)對(duì)個(gè)人信息主體的影響，評(píng)估的

主體內(nèi)容，定期（至少每年一次）開(kāi)展個(gè)人信息安全風(fēng)險(xiǎn)評(píng)估，出具個(gè)人信息安

全風(fēng)險(xiǎn)評(píng)估報(bào)告等要求?！秱€(gè)人信息安全規(guī)范》通篇有20多處提及開(kāi)展個(gè)人信息

安全風(fēng)險(xiǎn)評(píng)估工作，其重要程度可見(jiàn)一斑?！秱€(gè)人信息安全規(guī)范》為了加快促進(jìn)

標(biāo)準(zhǔn)落地應(yīng)用，于附件D中提供了個(gè)人信息安全風(fēng)險(xiǎn)評(píng)估的簡(jiǎn)單框架，但評(píng)估框

架在指導(dǎo)實(shí)施個(gè)人信息安全風(fēng)險(xiǎn)評(píng)估中的作用有限，迫切需要對(duì)該方面以標(biāo)準(zhǔn)形

式給予更科學(xué)、更專業(yè)、一致性的指導(dǎo)，促進(jìn)個(gè)人信息安全風(fēng)險(xiǎn)評(píng)估取得實(shí)效，

便于監(jiān)管機(jī)構(gòu)用于檢查和監(jiān)督《個(gè)人信息安全規(guī)范》的落地，從而支撐我國(guó)《網(wǎng)

2

絡(luò)安全法》的實(shí)施工作。

此外，《個(gè)人信息安全規(guī)范》可以看作我國(guó)個(gè)人信息安全領(lǐng)域的基礎(chǔ)標(biāo)準(zhǔn),

與ISO/IEC29100隱私保護(hù)系列標(biāo)準(zhǔn)相比，我國(guó)對(duì)于該領(lǐng)域的標(biāo)準(zhǔn)研究和制定僅

僅算是剛剛開(kāi)始，從急需急用的原則分析，個(gè)人信息安全風(fēng)險(xiǎn)評(píng)估工作最易成為

有效抓手，因此，加快制定《個(gè)人信息安全風(fēng)險(xiǎn)評(píng)估指南》工作，既照顧了實(shí)際

需求，又為我國(guó)個(gè)人信息安全標(biāo)準(zhǔn)體系的完善向前推進(jìn)了一大步。

個(gè)人信息安全風(fēng)險(xiǎn)評(píng)估與傳統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估方法不同，需要深入研究

和準(zhǔn)確把握，以提升評(píng)估價(jià)值。

從風(fēng)險(xiǎn)評(píng)估的形式來(lái)看，信息安全風(fēng)險(xiǎn)評(píng)估的理念和方法已經(jīng)非常成熟，

獲得了很高的認(rèn)可度和廣泛的應(yīng)用。從表面上來(lái)看，個(gè)人信息本身也具備保密性

（C）、完整性（I）、可用性（A）三大特征，所以可適用傳統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估

的方法，使用資產(chǎn)、威脅、脆弱性分析的方式進(jìn)行評(píng)估。但是，除個(gè)人信息自身

安全因素外，個(gè)人信息處理行為也會(huì)同樣帶來(lái)風(fēng)險(xiǎn)，且處理行為正是《個(gè)人信息

安全規(guī)范》標(biāo)準(zhǔn)所強(qiáng)調(diào)的重點(diǎn)要求，因此其風(fēng)險(xiǎn)評(píng)估最終關(guān)注的是個(gè)人信息處理

行為對(duì)用戶權(quán)益產(chǎn)生的影響，比如個(gè)人信息的不當(dāng)處理可能危害個(gè)人人身和財(cái)產(chǎn)

安全、損害個(gè)人名譽(yù)和身心健康、導(dǎo)致歧視性待遇等。這些影響層面和傳統(tǒng)信息

安全風(fēng)險(xiǎn)評(píng)估對(duì)資產(chǎn)、組織利益的關(guān)注完全不同，因此其實(shí)施方法和思路有所不

同。

正因?yàn)閭€(gè)人信息既具備傳統(tǒng)信息安全特性，又具備其特有的性質(zhì)，實(shí)施個(gè)

人信息安全風(fēng)險(xiǎn)評(píng)估的過(guò)程會(huì)比以往更復(fù)雜。雖然隱私影響評(píng)估（Privacy

ImpactAssessment）相關(guān)的方法在國(guó)際標(biāo)準(zhǔn)和其他國(guó)家標(biāo)準(zhǔn)中有大量體現(xiàn)、各

國(guó)實(shí)踐中也得到大量應(yīng)用，但往往在這兩者之間的邊界、操作方式等方面有所含

糊，也導(dǎo)致了評(píng)估方法不統(tǒng)一，評(píng)估效果受到影響。以ISO/IEC29134《隱私影

響評(píng)估》為例，其既套用了傳統(tǒng)風(fēng)險(xiǎn)評(píng)估中威脅、脆弱性等概念，又提及合規(guī)性

評(píng)估等方法兼顧個(gè)人信息處理行為，最終的舉例中更傾向于評(píng)估個(gè)人信息因傳統(tǒng)

安全問(wèn)題帶來(lái)的風(fēng)險(xiǎn)，如保密性、完整性、可用性受到破壞，對(duì)個(gè)人權(quán)益的影響

考慮偏少；也有組織評(píng)估是直接采用合規(guī)差距分析的方法，只分析與法律法規(guī)、

標(biāo)準(zhǔn)等的差距，不分析對(duì)個(gè)人權(quán)益造成的影響，容易出現(xiàn)評(píng)估目的錯(cuò)位的情況。

個(gè)人信息安全風(fēng)險(xiǎn)評(píng)估的方法論是一個(gè)難點(diǎn)問(wèn)題，這與個(gè)人信息安全管理

3

本身的復(fù)雜性密切相關(guān)，本標(biāo)準(zhǔn)將充分參考已有優(yōu)秀標(biāo)準(zhǔn)，研究實(shí)踐案例，梳理

個(gè)人信息安全風(fēng)險(xiǎn)評(píng)估過(guò)程中的關(guān)鍵要素，積極創(chuàng)新，爭(zhēng)取形成概念清晰、邏輯

明朗、指導(dǎo)意義強(qiáng)的標(biāo)準(zhǔn)，一方面更好地指導(dǎo)國(guó)內(nèi)組織落實(shí)評(píng)估工作，另一方面

爭(zhēng)取在全球隱私安全評(píng)估領(lǐng)域迎頭趕上，樹(shù)立行業(yè)標(biāo)桿。

個(gè)人信息安全風(fēng)險(xiǎn)評(píng)估是平衡個(gè)人信息應(yīng)用領(lǐng)域發(fā)展和安全的重要舉措。

個(gè)人信息保護(hù)工作的復(fù)雜性，往往體現(xiàn)在個(gè)人信息邊界的模糊性，動(dòng)態(tài)性，

個(gè)人信息處理活動(dòng)的廣泛性，個(gè)體認(rèn)識(shí)的差異性等方面，如果對(duì)其簡(jiǎn)單進(jìn)行理想

化、原則性的完全保護(hù)，會(huì)大大制約基于數(shù)據(jù)的信息化產(chǎn)業(yè)發(fā)展，這正是個(gè)人信

息安全工作最大的矛盾和爭(zhēng)議，而風(fēng)險(xiǎn)管理的思路為解決這個(gè)問(wèn)題提供了可能。

只要處理個(gè)人信息就不可能沒(méi)有風(fēng)險(xiǎn)，實(shí)施有效的個(gè)人信息安全風(fēng)險(xiǎn)評(píng)估，及時(shí)

整改高風(fēng)險(xiǎn)、中風(fēng)險(xiǎn)問(wèn)題，適當(dāng)接受低風(fēng)險(xiǎn)問(wèn)題，一方面?zhèn)€人權(quán)益得到了最大程

度的保護(hù)，另一方面也大大減輕了組織負(fù)擔(dān)，在個(gè)人信息的處理過(guò)程中保留了適

當(dāng)?shù)撵`活度，降低了對(duì)業(yè)務(wù)的影響。畢竟，不管法律法規(guī)、政策、標(biāo)準(zhǔn)其制定的

核心目的是為了保護(hù)個(gè)人權(quán)益不受侵害，而不是機(jī)械式地落實(shí)其要求而不談保護(hù)

效果，否則可能適得其反，既沒(méi)有保護(hù)好個(gè)人信息，又制約了組織的發(fā)展，因此

開(kāi)展個(gè)人信息安全風(fēng)險(xiǎn)評(píng)估將是組織平衡發(fā)展和安全策略的重要工具，非常有必

要從標(biāo)準(zhǔn)角度對(duì)此工作做詳細(xì)規(guī)范性的指導(dǎo)。

在2016年4月19日召開(kāi)的網(wǎng)絡(luò)安全和信息化工作座談會(huì)上，習(xí)近平總書(shū)

記提出了“以人民為中心”的網(wǎng)信發(fā)展思想，并做出了“網(wǎng)絡(luò)安全為人民、網(wǎng)絡(luò)

安全靠人民”的重要指示。2016年，《信息安全技術(shù)個(gè)人信息安全規(guī)范》標(biāo)準(zhǔn)

制定項(xiàng)目在全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)立項(xiàng)，被列為重點(diǎn)標(biāo)準(zhǔn)項(xiàng)目，《個(gè)人

信息安全規(guī)范》標(biāo)準(zhǔn)強(qiáng)調(diào)展開(kāi)個(gè)人信息安全影響影響評(píng)估工作，旨在發(fā)現(xiàn)、處置

和持續(xù)監(jiān)控個(gè)人信息處理過(guò)程中的安全風(fēng)險(xiǎn)。個(gè)人信息安全影響評(píng)估與傳統(tǒng)信息

安全風(fēng)險(xiǎn)評(píng)估不同，其評(píng)估的風(fēng)險(xiǎn)是指對(duì)個(gè)人權(quán)益造成的損害，評(píng)估對(duì)象、評(píng)估

方法均有所不同，國(guó)際上針對(duì)個(gè)人信息安全風(fēng)險(xiǎn)評(píng)估有大量專門(mén)的標(biāo)準(zhǔn)和指南，

而我國(guó)尚無(wú)對(duì)個(gè)人信息主體權(quán)益影響進(jìn)行評(píng)估的指導(dǎo)文件，制定該指南標(biāo)準(zhǔn)，將

是推動(dòng)個(gè)人信息保護(hù)工作深入落地，提升保護(hù)水平的有效途徑。

三、編制原則

《個(gè)人信息安全影響評(píng)估指南》通過(guò)借鑒國(guó)外立法和標(biāo)準(zhǔn)的研究，結(jié)合國(guó)

4

內(nèi)應(yīng)用實(shí)踐和標(biāo)準(zhǔn)編制組的科研成果，提出與國(guó)際標(biāo)準(zhǔn)接軌、適合我國(guó)國(guó)情，并

具有一定創(chuàng)新性的“PIA”標(biāo)準(zhǔn)。為組織、監(jiān)管部門(mén)、第三方測(cè)評(píng)機(jī)構(gòu)等開(kāi)展評(píng)

估工作提供的指導(dǎo)和依據(jù)。

本標(biāo)準(zhǔn)的編制遵循以下原則：

(1)先進(jìn)性：標(biāo)準(zhǔn)反映當(dāng)今個(gè)人信息保護(hù)的先進(jìn)技術(shù)水平；

(2)開(kāi)放性：標(biāo)準(zhǔn)的編制、評(píng)審與使用具有開(kāi)放性；

(3)適應(yīng)性：標(biāo)準(zhǔn)結(jié)合我國(guó)國(guó)情；

(4)簡(jiǎn)明性：標(biāo)準(zhǔn)易于理解、實(shí)現(xiàn)和應(yīng)用；

(5)中立性：公正、中立，不與任何利益攸關(guān)方發(fā)生關(guān)聯(lián)；

(6)一致性：術(shù)語(yǔ)與國(guó)內(nèi)外標(biāo)準(zhǔn)所用術(shù)語(yǔ)最大程度保持一致。

四、工作過(guò)程簡(jiǎn)要說(shuō)明

1、2017年3月，在云計(jì)算及大數(shù)據(jù)特別工作組討論會(huì)議上，一致同意編制

《個(gè)人信息安全影響評(píng)估指南》，對(duì)個(gè)人信息安全影響評(píng)估方法、應(yīng)用、政策和

標(biāo)準(zhǔn)進(jìn)行調(diào)研分析，確定標(biāo)準(zhǔn)化需求。

2、2017年5月初，成立正式的個(gè)人信息安全影響評(píng)估指南標(biāo)準(zhǔn)編制組，標(biāo)

準(zhǔn)由頤信科技有限公司牽頭，中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院、深圳市騰訊計(jì)算機(jī)系

統(tǒng)有限公司、華為技術(shù)有限公司、全知科技有限公司、北京信息安全測(cè)評(píng)中心、

四川大學(xué)網(wǎng)絡(luò)空間安全研究院、中國(guó)信息通信研究院、阿里巴巴（北京）軟件服

務(wù)有限公司、螞蟻金服公司、陜西信息安全測(cè)評(píng)中心等組成標(biāo)準(zhǔn)編制組。

3、2017年7月，在中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院召開(kāi)第一次標(biāo)準(zhǔn)編制組工作

會(huì)議，對(duì)標(biāo)準(zhǔn)編制背景、標(biāo)準(zhǔn)化內(nèi)容等進(jìn)行了深入討論，確定了標(biāo)準(zhǔn)編制工作機(jī)

制，確定了標(biāo)準(zhǔn)編制提綱。

3、2017年9月，標(biāo)準(zhǔn)編制組按照參與單位提供的資料匯總形成了國(guó)家標(biāo)準(zhǔn)

《信息安全技術(shù)個(gè)人信息安全影響評(píng)估指南》初步草案。

4.2017年10月16日，標(biāo)準(zhǔn)編制組在全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)2017

年第二次工作組廈門(mén)會(huì)議周進(jìn)行工作匯報(bào)，工作組成員單位對(duì)標(biāo)準(zhǔn)草案提出了建

議和意見(jiàn)。會(huì)議決定維持標(biāo)準(zhǔn)草案狀態(tài)，繼續(xù)完善。

5．2017年12月20日，在中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院召開(kāi)第二次標(biāo)準(zhǔn)編制

組工作會(huì)議，對(duì)標(biāo)準(zhǔn)存在的問(wèn)題和意見(jiàn)進(jìn)行了修改，并對(duì)草案需增加的內(nèi)容進(jìn)行

5

了安排。

6.2018年3月26日，在中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院召開(kāi)第三次標(biāo)準(zhǔn)編制

組工作會(huì)議，再次完善了標(biāo)準(zhǔn)草案內(nèi)容。

7.2018年4月14日，標(biāo)準(zhǔn)編制組在全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)2018

年第一次工作組武漢會(huì)議周進(jìn)行工作匯報(bào)，將標(biāo)準(zhǔn)推進(jìn)到征求意見(jiàn)稿狀態(tài)。

五、標(biāo)準(zhǔn)結(jié)構(gòu)和內(nèi)容說(shuō)明

本標(biāo)準(zhǔn)主要內(nèi)容分為6個(gè)章節(jié)，分別針對(duì)個(gè)人信息安全影響評(píng)估的原理和

框架、評(píng)估流程、評(píng)估的具體實(shí)施方式進(jìn)行了詳細(xì)的說(shuō)明，資料性附錄中給出了

評(píng)估過(guò)程使用的判定準(zhǔn)則和工具表。

個(gè)人信息安全影響評(píng)估是個(gè)人信息控制者實(shí)施風(fēng)險(xiǎn)管理的重要組成部分，

旨在發(fā)現(xiàn)、處置和持續(xù)監(jiān)控個(gè)人信息處理過(guò)程中的安全風(fēng)險(xiǎn)。一般情況下，個(gè)人

信息控制者必須在收集和處理個(gè)人信息前開(kāi)展個(gè)人信息安全影響評(píng)估，明確個(gè)人

信息保護(hù)邊界，根據(jù)評(píng)估結(jié)果實(shí)施適當(dāng)?shù)陌踩刂拼胧档褪占吞幚韨€(gè)人信

息的過(guò)程對(duì)個(gè)人信息主體權(quán)益造成的影響；另外，個(gè)人信息控制者還需按照要求

定期開(kāi)展個(gè)人信息安全影響評(píng)估，根據(jù)業(yè)務(wù)現(xiàn)狀、威脅環(huán)境、法律法規(guī)、標(biāo)準(zhǔn)要

求等情況持續(xù)修正個(gè)人信息保護(hù)邊界，調(diào)整安全控制措施，使個(gè)人信息處理過(guò)程

處于風(fēng)險(xiǎn)可控的狀態(tài)。

《個(gè)人信息安全影響評(píng)估指南》的核心思路是針對(duì)個(gè)人信息處理活動(dòng)，評(píng)

估可能對(duì)個(gè)人權(quán)益造成的影響以及風(fēng)險(xiǎn)，影響主要包括四個(gè)方面：

一是，影響個(gè)人自主決定權(quán)，比如被強(qiáng)迫執(zhí)行不愿執(zhí)行的操作、無(wú)法更正

錯(cuò)誤上傳的個(gè)人信息、無(wú)法選擇推送廣告的種類、被蓄意推送影響個(gè)人價(jià)值觀判

斷的資訊；

二是，引發(fā)差別性待遇，比如隱私信息（疾病、婚史、種族等）泄露造成

的歧視、故意設(shè)置個(gè)人福利、資格、權(quán)利的差別等；

三是，個(gè)人名譽(yù)受損或遭受精神壓力，比如公開(kāi)不愿為人知的事實(shí)（生活

習(xí)慣、以往經(jīng)歷等），被頻繁騷擾、監(jiān)視追蹤等；

四是，個(gè)人財(cái)產(chǎn)受損或遭受人身傷害，比如賬戶被盜、遭受詐騙、被勒索

恐嚇、限制自由等。

本標(biāo)準(zhǔn)主要結(jié)構(gòu)如下：

6

評(píng)估的原理和框架

評(píng)估流程

評(píng)估實(shí)施

附錄A個(gè)人信息安全影響評(píng)估參考方法

附錄B個(gè)人信息安全影響評(píng)估常用工具表

參考文獻(xiàn)

六、與相關(guān)法律法規(guī)及國(guó)家有關(guān)規(guī)定、國(guó)內(nèi)相關(guān)標(biāo)準(zhǔn)的關(guān)系

2012年4月工信部直屬中國(guó)軟件測(cè)評(píng)中心聯(lián)合30多家單位起草的《信息安

全技術(shù)、公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》已通過(guò)評(píng)審并報(bào)國(guó)家標(biāo)準(zhǔn)

化管理委員會(huì)批準(zhǔn)。這是目前我國(guó)唯一的個(gè)人信息保護(hù)國(guó)家標(biāo)準(zhǔn)。2016年，《個(gè)

人信息安全規(guī)范》標(biāo)準(zhǔn)制定項(xiàng)目在全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)立項(xiàng)，被列為

重點(diǎn)標(biāo)準(zhǔn)項(xiàng)目，從更專業(yè)、更全面的角度對(duì)個(gè)人信息安全管理工作提出要求，為

加強(qiáng)我國(guó)個(gè)人信息安全工作解了燃眉之急。《個(gè)人信息安全規(guī)范》已經(jīng)正式發(fā)布，

標(biāo)準(zhǔn)號(hào)為GB/T35273-2017。

本標(biāo)準(zhǔn)是《個(gè)人信息安全規(guī)范》的配套標(biāo)準(zhǔn)，研究過(guò)程中將借鑒美、歐等

國(guó)家和地區(qū)在個(gè)人信息安全風(fēng)險(xiǎn)