我国对于个人信息影响评估的规定，主要体现在《个人信息保护法》第五十五条中，其中具体规定了应当开展“个人信息保护影响评估”的情形，包括：“（一）处理敏感个人信息；（二）利用个人信息进行自动化决策；（三）委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息；（四）向境外提供个人信息；（五）其他对个人权益有重大影响的个人信息处理活动。”第五十六条规定了评估的内容，即“（一）个人信息的处理目的、处理方式等是否合法、正当、必要；（二）对个人权益的影响及安全风险；（三）所采取的安全保护措施是否合法、有效并与风险程度相适应”，并进一步规定“个人信息保护影响评估报告和处理情况记录应当至少保存三年”。为了落实上述规定，个人信息处理者显然需要做出针对个人信息保护影响评估的操作指引，特别是开展相关方法论分析。

 

2020年11月发布、2021年6月1日生效的国家标准《信息安全技术 个人信息安全影响评估指南》（GB/T 39335-2020），为《个人信息保护法》第五十五和五十六条的实施提供了坚实、科学的基础。该标准归口于全国信息安全技术标准委员会（TC260），制定时间超过两年，并充分借鉴了美、欧等国家和地区最新的法律规定、制度设计、标准文本和实践做法，例如我国《个人信息保护法（草案）》、ISO/IEC 29134:2017《隐私影响评估指南》、欧盟数据保护委员会（EDPB）的数据保护影响评估指南（WP248）、法国国家信息自由委员会（CNIL）的隐私影响评估指南和工具、美国国家标准技术研究所（NIST）关于隐私影响评估的标准文件等。

 

 

 

就内容而言，《信息安全技术 个人信息安全影响评估指南》主要包括评估原理（第四章）、评估实施流程（第五章）、评估性合规的示例及评估要点（附录A）、高风险的个人信息处理活动示例（附录B）、个人信息安全影响评估常用工具表（附录C）等，其核心思路是从网络环境和技术措施、个人信息处理流程、参与人员与第三方、业务特点和规模及安全态势四个可能存在风险或发生安全事件的维度出发，评估可能对个人权益造成的影响以及风险。具体而言，《个人信息安全影响评估指南》进一步将个人权益影响细分四个方面：第一，影响个人自主决定权，比如被强迫执行不愿执行的操作、无法更正错误上传的个人信息、无法选择推送广告的种类、被蓄意推送影响个人价值观判断的资讯；第二，引发差别性待遇，比如隐私信息（疾病、婚史、种族等）泄露造成的歧视，故意设置个人福利、资格、权利的差别等；第三，个人名誉受损或遭受精神压力，比如公开不愿为人知的事实（生活习惯、以往经历等），被频繁骚扰、监视追踪等；第四，个人财产受损或遭受人身伤害，比如账户被盗、遭受诈骗、被勒索恐吓、限制自由等。

 

 

 

事实上，在该标准报批稿阶段，标准编制组还在2020年初选取了电子商务、金融、餐饮外卖、新闻资讯、车联网、SDK、智能家居等多种业态及场景，吸纳了十余家企业开展试点，对标准条款的合理性和可操作性进行验证，有力地保障了我国法定的个人信息保护影响评估的实施落地。