(高清版)GB∕T 39335-2020 信息安全技術 個人信息安全影響評估指南

ICS35.040L80中華人民共和國國家標準信息安全技術個人信息安全影響評估指南I—G國家市場監(jiān)督管理總局國家標準化管理委員會GB／T39335—2020前言 2規(guī)范性引用文件 3術語和定義 4評估原理 4.2開展評估的價值 4.3評估報告的用途 4.4評估責任主體 4.5評估基本原理 4.6評估實施需考慮的要素 5評估實施流程 5.1評估必要性分析 5.2評估準備工作 5.3數據映射分析 5.4風險源識別 5.5個人權益影響分析 5.6安全風險綜合分析 5.8風險處置和持續(xù)改進 5.9制定報告發(fā)布策略 附錄A（資料性附錄）評估性合規(guī)的示例及評估要點 附錄B（資料性附錄）高風險的個人信息處理活動示例 附錄C（資料性附錄）個人信息安全影響評估常用工具表 附錄D（資料性附錄）個人信息安全影響評估參考方法 參考文獻 GB／T39335—2020本標準按照GB/T1.1—2009給出的規(guī)則起草。請注意本文件的某些內容可能涉及專利。本文件的發(fā)布機構不承擔識別這些專利的責任。本標準由全國信息安全標準化技術委員會(SAC/TC260)提出并歸口。本標準起草單位：中國電子技術標準化研究院、四川大學、頤信科技有限公司、深圳市騰訊計算機系統有限公司、華為技術有限公司、全知科技（杭州）有限責任公司、北京騰云天下科技有限公司、國家金融IC卡安全檢測中心、強韻數據科技有限公司、中國信息通信研究院、北京信息安全測評中心、聯想（北京）有限公司、清華大學、阿里巴巴（北京）軟件服務有限公司、中國軟件評測中心、浙江螞蟻小微金融服務集團股份有限公司、陜西省網絡與信息安全測評中心。本標準主要起草人：洪延青、何延哲、胡影、高強裔、陳湘、趙冉冉、劉賢剛、皮山杉、黃勁、葛夢瑩、Ⅰ1GB／T39335—2020信息安全技術個人信息安全影響評估指南本標準給出了個人信息安全影響評估的基本原理、實施流程。本標準適用于各類組織自行開展個人信息安全影響評估工作，同時可為主管監(jiān)管部門、第三方測評機構等組織開展個人信息安全監(jiān)督、檢查、評估等工作提供參考。2規(guī)范性引用文件下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T20984信息安全技術信息安全風險評估規(guī)范GB/T25069—2010信息安全技術術語GB/T35273—2020信息安全技術個人信息安全規(guī)范3術語和定義GB/T25069—2010、GB/T35273—2020界定的以及下列術語和定義適用于本文件。3.1個人信息以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息。[GB/T35273—2020,定義3.1]3.2個人敏感信息一旦泄露、非法提供或濫用可能危害人身和財產安全，極易導致個人名譽、身心健康受到損害或歧視性待遇等的個人信息。[GB/T35273—2020,定義3.2]3.3個人信息主體個人信息所標識或者關聯的自然人。[GB/T35273—2020,定義3.3]3.4個人信息安全影響評估針對個人信息處理活動，檢驗其合法合規(guī)程度，判斷其對個人信息主體合法權益造成損害的各種風 險，以及評估用于保護個人信息主體的各項措施有效性的過程。2GB／T39335—20204評估原理個人信息安全影響評估旨在發(fā)現、處置和持續(xù)監(jiān)控個人信息處理過程中對個人信息主體合法權益造成不利影響的風險。4.2開展評估的價值實施個人信息安全影響評估，能夠有效加強對個人信息主體權益的保護，有利于組織對外展示其保護個人信息安全的努力，提升透明度，增進個人信息主體對其的信任。包括：a)在開展個人信息處理前，組織可通過影響評估，識別可能導致個人信息主體權益遭受損害的風險，并據此采用適當的個人信息安全控制措施。b)對于正在開展的個人信息處理，組織可通過影響評估，綜合考慮內外部因素的變化情況，持續(xù)修正已采取的個人信息安全控制措施，確保對個人合法權益不利影響的風險處于總體可控的狀態(tài)。c)個人信息安全影響評估及其形成的記錄文檔，可幫助組織在政府、相關機構或商業(yè)伙伴的調查、執(zhí)法、合規(guī)性審計等中，證明其遵守了個人信息保護與數據安全等方面的法律、法規(guī)和標準的要求。d)在發(fā)生個人信息安全事件時，個人信息安全影響評估及其形成的記錄文檔，可用于證明組織已經主動評估風險并采取一定的安全保護措施，有助于減輕、甚至免除組織相關責任和名譽損失。e)組織可通過個人信息安全影響評估，加強對員工的個人信息安全教育。參與評估之中，員工能熟悉各種個人信息安全風險，增強處置風險的能力。f)對合作伙伴，組織通過評估的實際行動表明其嚴肅對待個人信息安全保護，并引導其能夠采取適當的安全控制措施，以達到同等或類似的安全保護水平。4.3評估報告的用途個人信息安全影響評估報告的內容主要包括：評估所覆蓋的業(yè)務場景、業(yè)務場景所涉及的具體的個人信息處理活動、負責及參與的部門和人員、已識別的風險、已采用及擬采用的安全控制措施清單、剩余風險等。因此，個人信息安全影響評估報告的用途包括但不限于：a)對于個人信息主體，評估報告可確保個人信息主體了解其個人信息被如何處理、如何保護，并使個人信息主體能夠判斷是否有剩余風險尚未得到處置。b)對于開展影響評估的組織，評估報告的用途可能包括：1)在產品、服務或項目的規(guī)劃階段，用于確保在產品或服務的設計中充分考慮并實現個人信息的保護要求（例如，安全機制的可實現性、可行性、可追蹤性等2)在產品、服務或項目的運營過程中，用于判斷運營的內外部因素（例如運營團隊的變動、互聯網安全環(huán)境、信息共享的第三方安全控制能力等）、法律法規(guī)是否發(fā)生實質變更，是否需要對影響評估結果進行審核和修正；3)用于建立責任制度，監(jiān)督發(fā)現存在安全風險的個人信息處理活動是否已采取安全保護措施，改善或消除已識別的風險；4)用于提升內部員工的個人信息安全意識。c)對于主管監(jiān)管部門，要求組織提供個人信息安全影響評估報告，可督促組織開展評估并采取有3GB／T39335—2020效的安全控制措施。在處理個人信息安全相關投訴、調查個人信息安全事件等時，主管監(jiān)管部門可通過影響評估報告了解相關情況，或將報告作為相關證據。d)對于開展影響評估的組織的合作伙伴，用于整體了解其在業(yè)務場景中的角色和作用，以及其應具體承擔的個人信息保護工作和責任。4.4評估責任主體組織指定個人信息安全影響評估的責任部門或責任人員，由其負責個人信息安全影響評估工作流程的制定、實施、改進，并對個人信息安全影響評估工作結果的質量負責。該責任部門或人員具有獨立性，不受到被評估方的影響。通常，組織內部牽頭執(zhí)行個人信息安全影響評估工作的部門為法務部門、合規(guī)部門或信息安全部門。組織內的責任部門可根據部門的具體能力配備情況，選擇自行開展個人信息安全影響評估工作，或聘請外部獨立第三方來承擔具體的個人信息安全影響評估工作。對于具體的產品、服務或項目，由相應的產品、服務或項目負責人確保個人信息安全影響評估活動的開展和順利進行，并給予相應支持。當由組織自行進行個人信息安全影響評估時，主管監(jiān)管部門和客戶可要求獨立審計來核證影響評估活動的合理性和完備性。同時，該組織允許主管監(jiān)管部門對影響評估流程以及相關信息系統或程序進行取證。4.5評估基本原理個人信息安全影響評估的基本原理如圖1。圖1評估原理示意圖開展評估前，需對待評估的對象（可為某項產品、某類業(yè)務、某項具體合作等）進行全面的調研，形成清晰的數據清單及數據映射圖表(并梳理出待評估的具體的個人信息處理活動。開展評估時，通過分析個人信息處理活動對個人信息主體的權益可能造成的影響及其程度，以及分析安全措施是否有效、是否會導致安全事件發(fā)生及其可能性，綜合兩方面結果得出個人信息處理活動的安全風險及風險等級，并提出相應的改進建議，形成評估報告。4.6評估實施需考慮的要素個人信息安全影響評估的規(guī)模往往取決于受到影響的個人信息主體范圍、數量和受影響的程度。通常，組織在實施該類個人信息安全影響評估時，個人信息的類型、敏感程度、數量，涉及個人信息主體4GB／T39335—2020的范圍和數量，以及能訪問個人信息的人員范圍等，都會成為影響評估規(guī)模的重要因素。評估實施過程中采用的基本評估方法，包括但不限于以下三種：a)訪談：指評估人員對相關人員進行談話，以對信息系統中個人信息的處理、保護措施設計和實施情況進行了解、分析和取證的過程。訪談的對象包括產品經理、研發(fā)工程師、個人信息保護負責人、法務負責人員、系統架構師、安全管理員、運維人員、人力資源人員和系統用戶等。b)檢查：指評估人員通過對管理制度、安全策略和機制、合同協議、安全配置和設計文檔、運行記錄等進行觀察、查驗、分析，以便理解、分析或取得證據的過程。檢查的對象為規(guī)范、機制和活動，如個人信息保護策略規(guī)劃和程序、系統的設計文檔和接口規(guī)范、應急規(guī)劃演練結果、事件響應活動、技術手冊和用戶／管理員指南、信息系統的硬件／軟件中信息技術機制的運行等。c)測試：指評估人員通過人工或自動化安全測試工具進行技術測試，獲得相關信息，并進行分析以便獲取證據的過程。測試的對象為安全控制機制，如訪問控制、身份識別和驗證、安全審計機制、傳輸鏈路和保存加密機制、對重要事件進行持續(xù)監(jiān)控、測試事件響應能力以及應急規(guī)劃演練能力等。從實施主體來區(qū)分，個人信息安全影響評估分為自評估和檢查評估兩種形式。自評估是指組織自行發(fā)起對其個人信息處理行為的評估，自評估可以由本組織指定專門負責評估、審計的崗位或角色開展，也可以委托外部專業(yè)組織開展評估工作。檢查評估是指組織的上級組織發(fā)起的個人信息安全影響評估工作。上級組織是對組織有直接領導關系或負有監(jiān)督管理責任的組織。檢查評估也可以委托外部專業(yè)組織開展評估。在確定評估規(guī)模，選定評估方法、評估工作形式后，評估實施的具體流程可參照第5章內容。5評估實施流程5.1評估必要性分析個人信息安全影響評估可用于合規(guī)差距分析，也可以用于合規(guī)之上、進一步提升自身安全風險管理能力和安全水平的目的。因此啟動個人信息安全影響評估的必要性，取決于組織的個人信息安全目標，組織可根據實際的需求選取需要啟動評估的業(yè)務場景。當組織定義的個人信息安全目標為符合相關法律、法規(guī)或標準的基線要求時，則個人信息安全影響評估主要目的在于識別待評估的具體個人信息處理活動已采取的安全控制措施，與相關法律、法規(guī)或標準的具體要求之間的差距，例如在某業(yè)務場景中與第三方共享個人信息，是否取得了個人信息主體的明示同意。組織可根據所適用的個人信息保護相關法律、法規(guī)、政策及標準，分析特定產品或服務所涉及的全部個人信息處理活動與所適用規(guī)則的差距。該評估方式的應用場景包括但不限于以下情形：5GB／T39335—2020a)產品或服務的年度整體評估；b)新產品或新服務（不限技術平臺）設計階段評估；c)新產品或新服務（不限技術平臺）上線初次評估；d)法律法規(guī)、政策、標準等出現重大變化時重新評估；e)業(yè)務模式、互聯網安全環(huán)境、外部環(huán)境等發(fā)生重大變化的重新評估；f)發(fā)生重大個人信息安全事件后重新評估；組織可根據所適用的個人信息保護相關法律、法規(guī)、政策及標準，對特定產品或服務所涉及的部分個人信息處理活動與所適用規(guī)則的差距進行分析。該評估方式的應用場景包括但不限于以下情形：a)新增功能需要收集新的個人信息類型時的評估；c)業(yè)務模式、信息系統、運行環(huán)境等發(fā)生變化時評估。部分個人信息保護相關的法律、法規(guī)、標準的規(guī)定提出了評估性合規(guī)要求。這類規(guī)定并沒有針對特定的個人信息處理活動提出明確、具體的安全控制措施，而是要求組織針對特定個人信息處理活動，專門開展風險評估，并采取與風險程度相適應的安全控制措施，將對個人信息主體合法權益不利影響的風險降低到可接受的程度，才符合其規(guī)定。評估性合規(guī)要求往往針對的是對個人權益有重大影響的個人信息處理活動，例如處理個人敏感信息、使用自動化決策方式處理個人信息、委托處理個人信息、向第三方轉讓或共享個人信息、公開披露個人信息、向境外轉移個人信息等。針對此類規(guī)定，組織可使用本指南提供的個人信息安全影響評估方法進行評估，保證個人信息處理活動的安全風險可控，以符合相應的法律、法規(guī)、標準的要求。注：評估性合規(guī)要求分析示例及具體評估要點可參考附錄A。出于審慎經營、聲譽維護、品牌建立等目的，組織往往選取可能對個人合法權益產生高風險的個人信息處理活動，開展盡責性風險評估。此種風險評估的目標，是在符合相關法律、法規(guī)和標準的基線要求之上，盡可能降低對個人信息主體合法權益的不利影響。注：高風險個人信息處理活動示例可參考附錄B。組織可使用本標準提供的個人信息安全影響評估方法，對高風險個人信息處理活動進行評估，進一步降低個人信息處理活動的安全風險。5.2評估準備工作組織確認并任命負責進行個人信息安全影響評估的人員（評估人）。此外，組織還要指定人員負責簽署評估報告。評估人明確規(guī)定個人信息安全影響評估報告的提交對象、個人信息安全影響評估的時間段、是否會公布評估報告或其摘要。如有必要評估人需申請團隊支持，例如由技術部門、相關業(yè)務部門及法律部門的代表構成的團隊。組織內部個人信息安全影響評估需要組織管理層給予長期支持。6GB／T39335—2020管理層需為個人信息安全影響評估團隊配置必要資源。計劃需清楚規(guī)定完成個人信息安全影響評估報告所進行的工作、評估任務分工、評估計劃表。此外，計劃還需考慮到待評估場景中止或撤銷的情況。具體操作時考慮以下方面：人員、技能、經驗及能力；b)執(zhí)行各項任務所需時間；c)進行評估每一步驟所需資源，如自動化的評估工具等。注：涉及的場景復雜、耗用資源多時，建議對原有方案進行更新迭代，針對常規(guī)評估活動或涉及待評估場景復雜度低等情形時，可沿用原有計劃或簡化該步驟。如涉及相關方咨詢，計劃需說明在何種情況下需要咨詢相關方、將咨詢哪些人員以及具體的咨詢方式（例如通過公眾意見調查、研討會、焦點小組、公眾聽證會、線上體驗等等）。5.2.3確定評估對象和范圍從以下三個方面描述評估的對象和范圍：a)描述系統基本信息，包括但不限于：1)處理個人信息的目的和類型；2)對支撐當前或未來業(yè)務流程的信息系統的描述；3)履行信息系統管理職責的部門或相關人員，以及其職責或履行水平；4)關于個人信息處理方式、處理范圍的說明、有權訪問個人信息的角色等；5)如預計委托第三方處理，或與第三方共享、轉讓信息系統的個人信息，說明上述第三方身份、第三方接入信息系統的情況等。b)描述系統設計信息，包括但不限于：2)物理結構概覽；3)包含個人信息的信息系統數據庫、表格和字段的清單和結構；4)按組件和接口劃分的數據流示意圖；5)個人信息生命周期的數據流示意圖，例如個人信息的收集、存儲、使用和共享等；6)描述通知個人信息主體的時間節(jié)點以及取得個人信息主體同意的時間節(jié)點和工作流程圖；7)可對外傳輸個人信息的接口清單；8)個人信息處理過程中的安全措施。c)描述處理流程和程序信息，包括但不限于：1)信息系統的身份與用戶管理概念；2)操作概念，包括信息系統或其中部分結構采用現場運行、外部托管，或云外包的方式；3)支持概念，包括列示可訪問個人信息的第三方范圍、其所擁有的個人信息訪問權限、其可訪問個人信息的位置等；4)記錄概念，包括已登入信息的保存計劃；5)備份與恢復計劃；6)元數據的保護與管理；7)數據保存與刪除計劃及存儲介質的處置。5.2.4制定相關方咨詢計劃相關方包括但不限于：7GB／T39335—2020—員工，例如人力資源、法律、信息安全、財務、業(yè)務運營職能、通信與內部審計（尤其是在監(jiān)管環(huán)境下）相關人員；—個人信息主體和消費者代表；—分包商和業(yè)務合作伙伴；—系統開發(fā)和運維人員；—對于評估有相應擔憂的其他組織人員。為保證評估流程的透明，實現降低安全風險的目標，評估人需詳細確認進入評估程序的內部或外部相關方。相關方與待評估的個人信息處理活動具有直接的利益關系，相關方可以是擁有或可能獲取個人信息訪問權限的組織或個人。評估人需確認相關方的分類，然后具體確認各類相關方中的特定組織或個人。如果相關方為個人，則該個人宜盡可能具有代表性。個人信息的范圍與規(guī)模，以及業(yè)務重要性、成本收益等因素，對于確定恰當的相關方非常重要。如對大型個人信息處理活動進行評估，則可能存在較多相關方。在這種情況下，社會團體（如消費者權益保護組織）可能被確認為相關方。相反，一些小型評估，可能不需要確認寬泛的相關方清單。制定咨詢計劃需明確不同的相關方所受的影響、后果（如果已知）以及所采取的用于降低不利影響的安全控制措施等相關問題。計劃中還包含咨詢范圍及計劃表。咨詢計劃的目標包括但不限于：a)確定相關方的數量與范圍；b)相關方參與識別并評估個人權益影響及安全風險的具體方式；注：相關方的反饋意見所提出的問題可能與主觀風險認識有關，而非客觀實際風險，但不能忽略這些意見，組織可將這些意見放在更廣泛的相關方管理問題中進行處理，為交流活動提供幫助。c)就評估報告咨詢相關方意見，以確認報告是否充分反映他們對有關問題的關注。組織在開展個人信息安全影響評估時，可以督促適當的相關方（主要包括分包商和業(yè)務合作伙伴）開展個人信息安全影響評估。適當的相關方有義務開展個人信息安全影響評估，或者配合組織開展個人信息安全影響評估，組織可以引用相關方的個人信息安全影響評估報告作為咨詢結果。5.3數據映射分析組織在針對個人信息處理過程進行全面的調研后，形成清晰的數據清單及數據映射圖表。數據映射分析階段需結合個人信息處理的具體場景。調研內容包括個人信息收集、存儲、使用、轉讓、共享、刪除等環(huán)節(jié)涉及的個人信息類型、處理目的、具體實現方式等，以及個人信息處理過程涉及的資源（如內部信息系統）和相關方（如個人信息處理者、平臺經營者、外部服務供應商、云服務商等第三方）。調研過程中盡可能考慮已下線系統、系統數據合并、企業(yè)收購、并購及全球化擴張等情況。梳理數據映射分析的結果時，根據個人信息的類型、敏感程度、收集場景、處理方式、涉及相關方等要素，對個人信息處理活動進行分類，并描述每類個人信息處理活動的具體情形，便于后續(xù)分類進行影響分析和風險評價。注：開展數據映射分析，可參考附錄C中表C.1和表C.2。5.4風險源識別風險源識別是為了分析個人信息處理活動面臨哪些威脅源，是否缺乏足夠的安全措施，導致存在脆弱性而引發(fā)安全事件。決定個人信息安全事件發(fā)生的要素很多，就威脅源而言，有內部威脅源，也有外部威脅源，有惡意人員導致的數據被竊取等事件，也有非惡意人員無意中導致的數據泄露等事件；就脆弱性而言，有物理環(huán)境影響導致的數據毀損，有技術因素導致的數據泄露、篡改、丟失等事件，也有管理不當引起的濫用等事件。8GB／T39335—2020GB/T20984中所描述的威脅識別和脆弱性識別方法均可用于對個人信息安全事件的分析過程。為進一步簡化個人信息安全事件可能性的分析過程，將與個人信息安全事件可能性相關的要素歸納為以下四個方面：a)網絡環(huán)境和技術措施。評估時關注的要素包括但不限于：1)處理個人信息的信息系統所處網絡環(huán)境為內部網絡還是互聯網，不同的網絡環(huán)境其面臨的威脅源不同，連接互聯網的信息系統面臨的風險更高；2)處理個人信息的信息系統與其他系統的交互方式，比如是否采用網絡接口進行數據交互，是否嵌入可收集個人信息的第三方代碼、插件等，通常情況下數據交互越多，需采取更加全面的安全措施防止信息泄露、竊取等風險；3)個人信息處理過程中是否實施嚴格的身份鑒別、訪問控制等措施；4)是否在網絡邊界部署了邊界防護設備，配置了嚴格的邊界防護策略，實施了數據防泄露技術措施；5)是否監(jiān)測和記錄網絡運行狀態(tài)，是否標記、分析個人信息在內部或與第三方交互時的狀態(tài)，及時發(fā)現異常流量和違規(guī)使用情況；6)是否采取了防范病毒和木馬后門攻擊、端口掃描、拒絕服務攻擊等網絡入侵行為的技術措施；7)是否采用加密傳輸、加密存儲等措施對個人敏感信息進行額外保護；8)是否對個人信息收集、保存、傳輸、使用、共享等各階段的個人信息處理活動進行審計，并對異常操作行為進行報警；9)是否建立了完備的網絡安全事件預警、應急處置、報告機制；10)是否對信息系統進行定期安全檢查、評估、滲透測試，并及時進行補丁更新和安全加固；11)是否對數據存儲介質加強安全管理，是否具備對數據進行備份和恢復的能力；12)其他必要的網絡安全技術保障措施。注1：如果組織參照其他網絡安全、數據安全相關國家標準建立成熟的安全防護體系，可基于其已有基礎進行分析評估。b)個人信息處理流程。評估時關注的要素包括但不限于：1)個人敏感信息的判定是否準確；2)收集個人信息的目的是否正當、合法；3)從第三方獲得的數據是否得到正式的處理授權；4)告知方式和告知的內容是否友好可達，是否所有的處理活動都征得了用戶同意；5)是否定義了個人信息最小元素集，是否超范圍收集了個人信息；6)變更個人信息使用目的是否對個人信息主體產生影響；7)是否提供便捷有效的個體參與的機制，包括查詢、更正、刪除、撤回同意、注銷賬號等；8)接收個人信息的第三方是否會變更目的使用個人信息；9)個人信息的保存時間是否最小化，超出期限的刪除等機制是否合理；10)是否對用戶畫像機制進行限制，避免精確定位到特定個人；11)是否為個性化展示提供用戶可控制、可退出或關閉的機制；12)匿名化機制是否有效，去標識化后的個人信息是否能夠被關聯分析等，導致可重新識別個人信息主體身份；13)是否提供及時有效的安全事件通知機制和應急處置機制；14)是否提供有效的投訴和維權渠道等；15)是否未經用戶同意向第三方共享、轉讓個人信息；16)是否散播不準確的數據或不完整的誤導性數據；9GB／T39335—202017)是否誘導或強迫個人提供過多個人信息；18)是否過多地追蹤或監(jiān)視個人行為；19)是否無根據地限制個人控制其個人信息的行為等；20)其他個人信息處理流程的規(guī)范性。注2：對個人信息處理流程規(guī)范性的分析可參照GB/T35273—2020相應內容。c)參與人員與第三方。評估時關注的要素包括但不限于：1)是否任命個人信息保護負責人或個人信息保護工作機構，個人信息保護負責人是否由具有相關管理工作經歷和個人信息保護專業(yè)知識的人員擔任；2)是否依據業(yè)務安全需求，制定并執(zhí)行個人信息安全管理的方針和策略；3)是否制定涉及個人信息處理各環(huán)節(jié)的安全管理制度，并提出具體的安全管理要求；4)是否與從事個人信息處理崗位上的相關人員簽署保密協議，并對大量接觸個人敏感信息的人員進行背景審查；5)是否明確內部涉及個人信息處理不同崗位的安全職責，并建立發(fā)生安全事件的處罰、問責機制；6)是否對個人信息處理崗位上的相關人員開展個人信息安全專業(yè)化培訓和考核，并確保相關人員熟練掌握隱私政策和相關規(guī)程；7)是否明確可能訪問個人信息的外部服務人員需遵守的個人信息安全要求，并進行監(jiān)督；8)是否與第三方簽署有約束力的合同等文件，約定個人信息傳輸至第三方后的處理目的、方式、數據留存期限、超出期限后的處理方式；9)是否對第三方處理個人信息的行為進行定期檢查、審計，確保其嚴格執(zhí)行合同等約定；10)其他方面的必要措施。注3：如果組織參照其他網絡安全、數據安全相關國家標準建立成熟的安全管理體系，可基于其已有基礎進行分析d)業(yè)務特點和規(guī)模及安全態(tài)勢。評估時關注的要素包括但不限于：1)業(yè)務對個人信息處理的依賴性；2)業(yè)務處理或可能處理個人信息的數量、頻率、用戶規(guī)模、用戶峰值等；3)是否曾經發(fā)生過個人信息泄露、篡改、毀損、丟失等事件；4)個人信息保護相關執(zhí)法監(jiān)管動態(tài)；5)近期內遭受網絡攻擊或發(fā)生安全事件的情況；6)近期收到過或公開發(fā)布的安全相關的警示信息。組織在對以上維度的相應內容進行充分了解后，通過調研訪談、查閱支撐性文檔、功能檢查、技術測試等方式，識別已采取的措施與當前的狀態(tài)。針對5.5中對個人權益影響分析的不同維度，從以上四方面對安全事件發(fā)生的可能性等級進行綜合評價。注4：安全事件可能性等級評估可參考附錄D中D.1。5.5個人權益影響分析個人權益影響分析指分析特定的個人信息處理活動是否會對個人信息主體合法權益產生影響，以及可能產生何種影響。個人權益影響概括可分為“限制個人自主決定權”“引發(fā)差別性待遇”“個人名譽受損或遭受精神壓力”“人身財產受損”四個維度：a)限制個人自主決定權，例如被強迫執(zhí)行不愿執(zhí)行的操作、缺乏相關知識或缺少相關渠道更正個人信息、無法選擇拒絕個性化廣告的推送、被蓄意推送影響個人價值觀判斷的資訊等；b)引發(fā)差別性待遇，例如因疾病、婚史、學籍等信息泄露造成的針對個人權利的歧視，因個人消費GB／T39335—2020習慣等信息的濫用而對個人公平交易權造成損害等；c)個人名譽受損或遭受精神壓力，例如被他人冒用身份、公開不愿為人知的習慣、經歷等，被頻繁騷擾、監(jiān)視追蹤等；d)人身財產受損，例如引發(fā)人身傷害、資金賬戶被盜、遭受詐騙、勒索等。5.5.2個人權益影響分析過程組織可根據數據映射分析結果及確定需要評估的個人信息處理活動，結合相關法律、法規(guī)、標準的要求或組織自定義的個人信息安全目標，分析個人信息處理活動全生命周期或特定處理行為對個人權益可能產生的影響，以及個人信息泄露、毀損、丟失、濫用等對個人權益可能產生的影響，以審視是否存在侵害個人信息主體權益的風險。個人權益影響分析過程一般包含對個人信息敏感程度分析、個人信息處理活動特點分析、個人信息處理活動問題分析以及影響程度分析四個階段：a)在個人信息敏感程度分析階段，組織可參照國家有關法律、法規(guī)、標準，依據數據映射分析結果，分析個人信息的敏感程度對個人權益可能產生的影響，例如健康生理信息的泄露、濫用等可能會對個人生理、心理產生較嚴重的影響；b)在個人信息處理活動特點分析階段，組織可參照與國家有關法律、法規(guī)、標準，依據數據映射分析結果，分析個人信息處理活動是否涉及限制個人自主決定權、引發(fā)差別性待遇、個人名譽受損或遭受精神壓力、人身財產受損等，例如公開披露個人經歷的行為可能會對個人聲譽產生影響；c)在個人信息處理活動問題分析階段，組織可參照與國家有關法律、法規(guī)、標準，依據數據映射分析結果，分析個人信息處理活動可能存在的弱點、差距和問題，其中5.4b)中的對個人信息流程規(guī)范性的分析結果可以支撐該階段的分析過程，對問題嚴重程度的分析有助于分析個人權益的影響程度；d)在個人權益影響程度分析階段，組織可結合前幾個階段的分析結果，綜合分析個人信息處理活動對個人權益可能造成的影響，及其嚴重程度。注：個人權益影響程度評估可參考D.2。5.6安全風險綜合分析進行安全風險綜合分析時，可參照4.5中的基本原理，采取以下步驟：參照5.4,分析已實施的安全措施、相關方、處理規(guī)模等要素，評價安全事件發(fā)生的可能性等級；參照5.5,分析可能發(fā)生的安全事件會對個人權益產生何種影響，并評價對個人權益影響的程度等級；c)綜合考慮安全事件可能性和個人權益影響程度兩個要素，綜合分析得出個人信息處理活動的安全風險等級。注：安全風險分析的具體過程和風險等級的判定可參考D.3,安全風險分析的具體過程可參考使用表C.3、表C.4和在完成針對特定個人信息處理活動影響評估之后，組織可綜合針對所有相關個人信息處理活動的評估結果，形成對整個評估對象（如業(yè)務部門、具體項目、具體合作等）的風險等級。評估報告的內容通常包括：個人信息保護專員的審批頁面、評估報告適用范圍、實施評估及撰寫報告的人員信息、參考的法律、法規(guī)和標準、個人信息影響評估對象（明確涉及的個人敏感信息）、評估內容、涉及的相關方等，以及個人權益影響分析結果，安全保護措施分析結果、安全事件發(fā)生的可能性分析GB／T39335—2020結果、風險判定的準則、合規(guī)性分析結果、風險分析過程及結果、風險處置建議等。5.8風險處置和持續(xù)改進根據評估結果，組織可選取并實施相應的安全控制措施進行風險處置。通常情況下，可根據風險的等級，采取立即處置、限期處置、權衡影響和成本后處置，接受風險等處置方式。組織需持續(xù)跟蹤風險處置的落實情況，評估剩余風險，將風險控制在可接受的范圍內。此外，還可將評估結果用于下一次個人信息安全影響評估工作。5.9制定報告發(fā)布策略為促進自身持續(xù)提升個人信息保護水平、配合監(jiān)管活動、增加客戶信任，組織可制定個人信息安全影響評估報告發(fā)布策略。選擇公開發(fā)布的個人信息安全影響評估報告可以在已有評估報告基礎上予以簡化，但其內容通常不少于以下方面：a)收集和處理個人信息的類型和必要性；b)收集和處理的個人信息類型（個人敏感信息需單獨強調c)個人信息處理的例外情況（法律法規(guī)規(guī)定等）；d)合規(guī)性分析的概況；e)評估過程和結果概況；f)已實施和將要實施的風險處置措施概況；g)對個人信息主體的建議；h)實施評估責任部門和人員的聯系方式和解答疑問的渠道等。GB／T39335—2020附錄A（資料性附錄）評估性合規(guī)的示例及評估要點常見的個人信息相關法律、法規(guī)、標準中評估性合規(guī)要求，包括處理個人敏感信息、使用自動化決策方式處理個人信息、委托處理個人信息、向第三方轉讓或共享個人信息、公開披露個人信息、向境外轉移個人信息、個人信息處理目的變更評估、個人信息匿名化和去標識化效果評估，以及確定個人信息安全事件處置方案的評估等，其中部分評估要點示例如下。A.2個人信息出境安全評估個人信息出境場景的評估可參照有關國家標準執(zhí)行。A.3個人信息處理目的變更前的影響評估分析個人信息處理活動的影響時，需要考慮多種因素，以評估“與收集個人信息時所聲稱的目的具有直接或合理關聯的范圍”的影響為例，如果新設目的與原目的有直接或合理的關聯，且不會為個人權益帶來額外影響，無需再次告知個人信息主體并征得其明示同意。判斷時是否有直接或合理的關聯，至少需要考慮如下因素：—個人信息主體對原先目的、組織處理個人信息方式和方法的合理性的理解程度；—個人信息收集時的場景，包括個人信息主體和組織之間的關系、產品或服務的范圍及使用的商標和名稱、個人信息主體使用產品或服務的方式、產品或服務為個人信息主體提供的便利等；—特定場景中可合理預期的個人信息處理方式，如常規(guī)商業(yè)運營中，可預見到的將被使用的個人信息的類型，與個人信息主體之間直接互動的范圍、頻率、性質、歷史，以及為提供產品或服務，或改進或推廣產品或服務，可預見到的將被使用的個人信息的類型；—如將所收集的個人信息用于學術研究或得出對自然、科學、社會、經濟等現象總體狀態(tài)的描述，屬于與收集目的具有合理關聯的范圍之內。但對外提供學術研究或描述的結果時，需對結果中所包含的個人信息進行去標識化處理，否則在對目的變更后的影響評估中可能會得出存在高風險的判斷。A.4個人信息匿名化和去標識化效果評估匿名化和去標識化對個人信息進行了技術處理，使其在不借助額外信息的情況下，無法識別個人信息主體。但數據接收方可能會借助于額外的信息以及技術手段，進行重標識攻擊，從而將去標識化的數據集歸因到原始個人信息主體或一組個人信息主體。常見的用于重標識的方法如下：—篩選：基于是否能唯一確定一個個人信息主體，將屬于一個個人信息主體的記錄篩選出來；—關聯：將不同數據集中關于相同個人信息主體的信息關聯； —推斷：通過其他屬性的值以一定概率推斷出一個屬性的值。評估個人信息匿名化和去標識化效果時，可充分考慮以下要素：GB／T39335—2020—個人信息匿名化和去標識化過程的規(guī)范性，所采用技術的通用性；—匿名化后的個人信息是否為統計型結果；—去標識化后的個人信息是否能夠達到使用目的；—匿名化和去標識化后的個人信息使用場景；—如委托第三方進行去標識化或匿名化時，需評估其采用的方案及數據安全保障能力；—能否在公開渠道或數據交易組織獲得類似的個人信息；—未經去標識化或匿名化處理保留的個人信息類型和內容的特殊性。A.5個人信息委托處理、轉讓、共享或公開披露前的影響評估在對個人信息進行委托處理、轉讓、共享和公開披露前，開展個人信息安全影響評估，評估的內容包括但不限于以下方面：—個人信息的類型、數量、敏感程度等；—是否向個人信息主體告知了轉讓、共享、公開披露的基本情況，并征得個人信息主體的明示授權同意；—數據發(fā)送方的安全管理保障和安全技術保障能力；—數據接收方的安全管理保障和安全技術保障能力（不包括公開披露—數據接收方可能會開展的個人信息處理活動，或公開披露的個人信息可能會被使用的個人信息處理場景；—個人信息是否進行過去標識化處理；—發(fā)生個人信息安全事件后的補救措施；—數據接收方所能響應個人信息主體的請求的范圍，如：訪問、更正、刪除等。A.6確定個人信息安全事件處置方案的評估發(fā)生個人信息安全事件后，組織需及時評估事件可能造成的影響，并采取必要措施控制事態(tài)，消除隱患。評估影響時，可充分考慮以下因素：—個人信息的類型、數量、敏感程度、涉及的個人信息主體數量等；—發(fā)生事件的信息系統狀況，對其他互聯系統的影響；—已采取或將要采取的處置措施及措施的有效性；—對個人信息主體權益造成的直接影響和長期影響；—向個人信息主體告知事件的方式和內容；—是否達到《國家網絡安全事件應急預案》等有關規(guī)定的上報要求。A.7使用自動化決策方式處理個人信息的評估組織在設計、采用自動化決策方式處理個人信息時，如自動決定個人征信及貸款額度，或用于面試人員的自動化篩選等，需充分考慮對個人權益產生的不利影響，并在規(guī)劃設計階段或首次使用前開展個人信息安全影響評估，評估考慮的要素包括：—是否向用戶說明了自動化決策的基本原理或運行機制；—是否定期對自動化決策的效果進行評價；—是否對自動化決策使用的數據源、算法等持續(xù)優(yōu)化；—是否向用戶提供針對自動化決策結果的投訴渠道；—是否支持對自動化決策結果的人工復核。GB／T39335—2020附錄B（資料性附錄）高風險的個人信息處理活動示例個人信息處理活動自身可能涉及對個人信息主體權益影響及相應風險較高的情況下，需開展個人信息安全影響評估，可能產生高風險的個人信息處理活動及場景示例見表B.1。表B.1高風險的個人信息處理活動及場景示例個人信息處理活動場景示例數據處理涉及對個人信息主體的評價或評分，特別是對個人信息主體的工作表現、經濟狀況、健康狀況、偏好或興趣的評估或預測示例1：對個人信息主體使用社交網絡和其他應用程序的行為進行分析，以便向其發(fā)送商業(yè)信息或垃圾郵件。示例2：銀行或其他金融組織在提供貸款前使用人工智能算法對個人信息主體進行信用評估，數據處理可能涉及與信用評估沒有直接關聯的個人信息。示例3：保險公司通過分析香煙、酒精、極限運動、駕駛等偏好數據，評估個人信息主體的生活方式、健康狀況等，據此作出保費設置的決策。析給出司法裁定或其他對個人有重大影響的決定示例1：在設置有分段測速或電子收費的道路，建設有用于流量、道路違規(guī)等行為的檢測系統，特別是能夠自動識別車輛的系統，對駕駛員及其駕駛行為進行詳細的記錄和監(jiān)督，并給出是否違法的判斷。示例2：電商平臺監(jiān)控用戶購物行為，進行用戶畫像，分析用戶的購買偏好和購買能力，設置針對用戶特定偏好的營銷計劃。個人信息，如在公共區(qū)域監(jiān)在涉及違規(guī)事件分析時才使用的視頻監(jiān)測系統除外示例1：大規(guī)模公共空間監(jiān)測系統，用于人員追蹤，并且能夠收集超出提供服務范圍的個人信息。示例2：設置在工作場所的IT監(jiān)測系統，監(jiān)控員工的電子郵件、所使用的應用程序等，用于分析員工工作時間及使用工具（如電子郵件、互聯網）的情況。d)收集的個人敏感信息數量、高，與個人經歷、思想觀點、健康、財務狀況等密切相關示例1：通過智能手表、手環(huán)、制服、頭盔或其他移動設備持續(xù)收集或監(jiān)控個人信息主體的活動、健康相關數據。示例2：通過健身手環(huán)或智能手機中的傳感器持續(xù)收集或監(jiān)控用戶運動、健康相關數據，通過數據分析和處理提供定制化的健身建議或改善訓練流程的服務。e)數據處理的規(guī)模較大，如涉及100萬人以上、持續(xù)時間久、在某個特定群體的占比超過涵蓋的地理區(qū)域廣泛或較集中等示例1：社交網絡、在線瀏覽器、有線電視訂閱服務大規(guī)模收集用戶瀏覽網站、購買記錄、觀看記錄、收聽記錄等數據。示例2：百貨商店、購物中心或其他類似營業(yè)場所中，通過收集路人和顧客的GPS、藍牙或移動通信信號，對客流情況進行監(jiān)測，跟蹤顧客的購物路線和購物習慣。f)對不同處理活動的數據集進行匹配和合并，并應用于業(yè)務示例1：基于防欺詐或風險管控目的，電商平臺合并處理不同來源的數據集，以便根據分析或測試結果顯示的風險值采取相應管控措施。示例2：電商平臺、零售商店通過分析顧客的購物、優(yōu)惠券使用等行為數據，結合顧客的信用數據、第三方和社交網絡數據等，獲得提高銷售額的營銷策略。GB／T39335—2020個人信息處理活動場景示例g)數據處理涉及弱勢群體的，如未成年人、病人、老年人、低收入人群等示例1：能夠連接網絡的智能玩具收集兒童玩耍的音頻、視頻數據，或收集兒童的年齡、性別、位置等信息。示例2：在遠程醫(yī)療場景中，醫(yī)生通過網站或應用程序與患者進行視頻通話，通過各類傳感器收集分析患者的血糖、血氧等健康數據。聯網、人工智能等示例1：通過人工智能提供客戶服務或支持，呼叫中心利用人工智能技術處理呼叫者的音頻數據，自動評估呼叫者的心情，并根據評估結果確定與呼叫者的溝通方式或向呼叫者提供的建議。示例2：健身俱樂部、酒店等入口控制系統，指紋支付或刷臉支付等支付程序，通過收集和處理個人信息主體的個人生物識別信息，判斷是否擁有進入某些區(qū)域、使用某些功能的權限。i)處理個人信息可能導致個人信息主體無法行使權利、使用服務或得到合同保障等示例1：提供貸款、信貸、分期付款銷售的實體通過收集、處理包含有債務人或類似個人信息主體的數據庫信息，針對潛在客戶制定信貸決策。判斷個人信息處理活動是否與上述場景相關，需考慮貫穿數據映射分析、合規(guī)差距分析等過程，一旦涉及上述情形，可針對以上場景評估影響和風險，同時重視個人信息主體代表等相關方的咨詢意見，保障評估的準確性。GB／T39335—2020（資料性附錄）個人信息安全影響評估常用工具表以下工具表（表C.1~表C.5)均為資料性工具，供組織進行評估時選取參考。工具表以個人信息處理活動／場景／特性或組件為維度，各表可基于此項進行整合或分開處理。建議組織采取IT化／自動化處理方式進行影響評估?；谔幚砘顒樱瘓鼍埃匦曰蚪M件的個人信息映射表個人信息處理活組件個人信息個人信息主體個人信息收目的個人信息處理的合法事由個人信息個人信息是否涉及是否涉及第三方共享5)處理活動A處理活動B處理活動C個人信息處理活組件相關個人信息項收集來源收集方式存儲方式/加密措施傳輸方式/加密措施存儲期限化方式處理活動A6)處理活動B處理活動C安全事件可能性分析表個人信息處理活動/場景／特性或組件風險源維度產生風險的原因／存在的問題相關證據安全事件發(fā)生可能性處理活動A網絡環(huán)境和技術措施個人信息處理流程參與人員與第三方業(yè)務特點和規(guī)模及安全態(tài)勢1)具體字段請詳細列舉。2)涉及聯合控制者的，請詳細列舉并說明。3)涉及多個處理者的，請詳細列舉并說明。4)如涉及，請?zhí)顚懕鞢.3相關內容。5)如涉及，請?zhí)顚懕鞢.3相關內容。6)此處可分為多行填寫（每一行對應一項個人信息字段也可合并處理。GB／T39335—2020續(xù)）個人信息處理活動/場景／特性或組件風險源維度產生風險的原因／存在的問題相關證據安全事件發(fā)生可能性處理活動B表C.4安全風險評估及整改措施表個人信息處理活動/或組件風險源維度產生風險的的問題安全事件發(fā)生可能性等級對個人權益產生的影響維度影響程度風險描述及等級相關責任方與風險處置建議整改效果驗證及歸檔情況處理活動A技術措施限制個人自主決定權引發(fā)差別性待遇個人名譽受損或遭受精神壓力人身財產受損個人信息處理流程參與人員與第三方業(yè)務特點和規(guī)模及安全態(tài)勢處理活動B注：評估過程中僅需體現識別出的風險源維度及對個人權益產生的影響維度，可不體現本標準所列舉所有維度。組織針對特定個人信息處理活動開展具體的風險分析時，可參考表C.5簡化評估過程，首先，從識別的風險源維度出發(fā)，分析可能發(fā)生的安全事件及其可能性，同時，按照影響程度類型，分析對個人信息主體權益的影響程度，如果兩者存在交叉，則可參考表D.5得出風險等級，并簡要說明存在風險的原因。GB／T39335—2020表C.5特定個人信息處理活動的安全風險評估表影響方面限制個人自主決定權引發(fā)差別性待遇名譽受損或精神壓力人身財產受損風險等級原因說明風險等級原因說明風險等級原因說明風險等級原因說明網絡環(huán)境和技術措施個人信息處理流程參與人員與第三方業(yè)務特點和規(guī)模及安全態(tài)勢GB／T39335—2020附錄D（資料性附錄）個人信息安全影響評估參考方法D.1評估安全事件發(fā)生的可能性安全事件可能性等級評價可采用定性、半定量和定量的方式。安全事件可能性等級判定準則見表D.1安全事件可能性等級判定準則可能性描述可能性等級采取的措施嚴重不足，個人信息處理行為極不規(guī)范，安全事件的發(fā)生幾乎不可避免很高采取的措施存在不足，個人信息處理行為不規(guī)范，安全事件曾經發(fā)生過或已經在類似場景下被證實發(fā)生過高采取了一定的措施，個人信息處理行為遵循了基本的規(guī)范性原則，安全事件在同行業(yè)、領域被證實發(fā)生過中采取了較有效的措施，個人信息處理行為遵循了規(guī)范性最佳實踐，安全事件還未被證實發(fā)生過低以定性方式為例，可從“網絡環(huán)境和技術措施”“處理流程規(guī)范性”“參與人員與第三方”“安全態(tài)勢及 業(yè)務特點”等方面，依據表D.1的判定準則，對安全事件可能性等級進行評價。可能性等級分為“很高”表D.2可能性判定表可能性描述可能性等級網絡環(huán)境與互聯網及大量信息系統有交互現象，基本上未采取安全措施保護個人信息安全很高該個人信息處理行為為常態(tài)、不間斷的業(yè)務行為，該行為已經對個人主體的權益造成了影響，或收到了大量相關的投訴，并引起了社會關注任意人員可接觸到個人信息，對第三方處理個人信息的范圍無任何限制，或已出現第三方濫用個人信息的情形威脅引發(fā)的相關安全事件已經被本組織發(fā)現，或已收到監(jiān)管部門發(fā)出的相關風險警報網絡環(huán)境與互聯網及其他信息系統有較多交互現象，采取的安全措施不夠全面高該個人信息處理行為為常態(tài)、不間斷的業(yè)務行為，個人信息處理行為不規(guī)范，且收到了相關的投訴對處理個人信息相關人員的管理松散，管理制度無落實的記錄，未對第三方處理個人信息的范圍提出相關要求威脅引發(fā)的相關安全事件曾經在組織內部發(fā)生過，或已在合作方中發(fā)生，或收到過權威組織發(fā)出的相關風險預警信息，或處理個人信息的規(guī)模超過1000萬人GB／T39335—2020可能性描述可能性等級網絡環(huán)境與互聯網及其他信息系統有交互現象，采取了一定的安全措施中該個人信息處理行為為常態(tài)業(yè)務行為，個人信息處理行為規(guī)范性欠缺，且合作伙伴或同領域其他組織收到過相關的投訴有相關的管理制度，對人員提出了管理要求，對第三方處理個人信息的范圍提出限制條件，但相應的管理和監(jiān)督效果不明威脅引發(fā)的相關安全事件已經被同領域其他組織發(fā)現，或在專業(yè)組織相關報告中被證實已出現，或處理個人信息的規(guī)模超過100萬人網絡環(huán)境比較獨立，交互少，或采取了有效的措施保護個人信息安全低該個人信息處理行為非常態(tài)業(yè)務行為，個人信息處理行為符合規(guī)范，幾乎沒有出現關于該行為的投訴有完善的管理機制，對人員的管理和審核比較嚴格，與第三方合作時提出有效的約束條件并進行監(jiān)督威脅引發(fā)的安全事件僅被專業(yè)組織所預測評估過程中，可根據事件自身的性質估計和經驗數據評估其可能性，再根據組織所實施的針對性安全控制措施、相關事件處置經驗對可能性進行修正。比如，個人信息處理的規(guī)模超過1000萬人，但有完備的、針對性的個人信息保護措施和應急機制，或者已具備類似事件處置的經驗，并得到了個人信息主體的認同，則安全可能性等級可降低一個級別。在進行修正時需要具體說明修正的理由，必要時可咨詢外部專業(yè)組織保證修正過程的合理性。D.2評估個人信息主體權益影響程度個人權益影響程度評價可采用定性、半定量和定量的方式。個人權益影響程度判定準則見表D.3。表D.3個人權益影響程度判定準則影響描述影響程度個人信息主體可能會遭受重大的、不可消除的、可能無法克服的影響，如遭受無法承擔的債務、失去工作能力、導致長期的心理或生理疾病、導致死亡等嚴重個人信息主體可能遭受重大影響，個人信息主體克服難度高，消除影響代價大，如遭受詐騙、資金被盜用、被銀行列入黑名單、信用評分受損、名譽受損、造成歧視、被解雇、被法院傳喚、健康狀況惡化等高個人信息主體可能會遭受較嚴重的困擾，且克服困擾存在一定的難度，如付出額外成本、無法使用所提供的服務、造成誤解、產生害怕和緊張的情緒、導致較小的生理疾病等中個人信息主體可能會遭受一定程度的困擾，但尚可以克服，如