2021年11月1日，《中华人民共和国个人信息保护法》正式施行，标志着我国个人信息保护法治迈入新阶段，其中第55条、第56条构建我国个人信息保护影响评估制度。个人信息保护影响评估制度不仅是个人信息处理者落实合规义务的重点内容，也是履行个人信息保护职责的部门监管个人信息处理活动的有效工具，最终有助于全社会提升对个人信息处理活动的信任度，助力数字经济平稳健康发展。

　　2022年3月，为回应企业推进个人信息保护影响评估在细分操作指引、协调落地执行、认定评估效力等方面的问题，切实推进个人信息保护影响评估制度发挥实效，“数据安全共同体计划（DSC）”“中国网络安全产业联盟（CCIA）数据安全工作委员会”“数据保护官（DPO）沙龙”共同发起“个人信息保护影响评估专题工作”（以下简称“PIA专题工作”）。

　　2022年首期PIA专题工作集合社群内法律、技术、标准专家，对标《个人信息保护法》中具体评估场景，参考相关国家标准，更新国内外监管动态和要求，归纳优秀实践经验，编制个人信息影响评估常用工具表，目前已经编制完成处理敏感个人信息（A表）、利用个人信息进行自动化决策（B表）、对外提供（委托处理、共享、转让）个人信息（C表）三类场景个人信息保护影响评估常用工具表。

　　PIA专题工作组将基于首期工作成果，在2023年4月至2023年6月推进第二阶段工作，面向相关社群成员、委员单位征集“个人信息保护影响评估”试点场景，首批试点限20家试点单位参与，优先吸纳参与常用工具表编制的相关单位。

　　【一、试点依据】

　　（1）《中华人民共和国个人信息保护法》；

　　（2）《信息安全技术 个人信息安全影响评估指南》（GB/T 39335-2020）；

　　（3）个人信息保护影响评估常用工具表：

　　A表：个人信息保护影响评估工具表-处理敏感个人信息场景

　　B表：个人信息保护影响评估工具表-自动化决策场景

　　C表：个人信息保护影响评估工具表-对外提供（委托处理、共享、转让）个人信息场景

　　【二、申报主体】

　　申报主体应在中华人民共和国境内注册，具有独立法人资格，运营和财务状况良好，未被列入失信被执行人、重大税收违法案件当事人名单等严重失信名单，三年内没有违法或涉嫌违法正在接受审查等情况。

　　【三、试点流程】

　　（1）确定试点场景：试点面向有个人信息保护影响评估需求的单位开展，坚持自愿申报、择优选择原则，请有意向参与试点的单位确认试点场景，填写“个人信息保护影响评估”试点报名表（点击“阅读原文”获取下载链接），在2023年4月1日前反馈至[email protected]。

　　（2）试点单位自评估：确认试点场景及试点期限后，试点单位将依据提供的个人信息保护影响评估常用工具表，在限期内自主推进个人信息保护影响内部评估，评估期间可以就评估相关法律与技术问题咨询联系人。

　　（3）试点评估情况评价：试点单位完成个人信息保护影响自评估后，提交个人信息保护影响评估报告，由中国信息通信研究院、中国电子技术标准化研究院法律与技术专家组成PIA专题工作组，综合评判试点单位开展PIA工作的过程、方法、输出结果等是否符合《个人信息保护法》《信息安全技术个人信息安全影响评估指南》（GB/T 39335-2020）以及个人信息保护影响评估常用工具表提出的原则、框架、方法。

　　（4）试点结果确认及公布：经PIA专题工作组专家认定，试点单位开展PIA工作的过程、方法、输出结果等符合《个人信息保护法》《信息安全技术个人信息安全影响评估指南》（GB/T 39335-2020）以及个人信息保护影响评估常用工具表，可在试点业务场景与产品相关合规展示界面、隐私政策、个人信息保护影响评估报告中使用“PIA标识”，并通过PIA专题工作发起方“数据安全共同体计划（DSC）”、“中国网络安全产业联盟（CCIA）数据安全工作委员会”公众号等专门页面进行公示。

　　（5）试点结果动态管理：PIA标识有效期为1年（自确认通过试点之日起），按照“动态调整”原则，定期开展复评。复评未通过的业务不得继续使用“PIA标识”。

　　【四、PIA专题工作后续计划】

　　PIA专题工作组对试点经验进行总结，进一步完善评估工具表及评估组织形式，启动常态化的PIA专题工作，并开放“PIA标识”申请和评价工作。具体工作计划请持续关注PIA专题工作组发布的相关通知。

　　联系人：

　　葛鑫，18612982051

　　高超，18610572925