各位合规、法务、网安的同行们,大家好。
做PIA(个人信息保护影响评估)这件事,很多人觉得头疼。明明花了大量时间,写了几十页报告,结果要么被监管打回来,要么被领导质疑“没用”。
问题出在哪?根据我过去5年服务300多家企业的经验,核心在于流程不对,方法不对。一份能被监管100%认可的PIA报告,绝不是“填空”,而是“造房子”。地基不稳,楼盖得再高也得塌。
今天,我就把这套经过实战检验的“PIA八步法”毫无保留地分享给你,保证每一步都看得见、摸得着。
第一步:前期准备——搭好骨架
别急着动笔。先成立一个跨部门小组,组长必须是PIPCA持证人员。然后明确评估范围,比如“评估APP会员系统的人脸登录功能”,而不是“评估公司所有个人信息”。最后收集好业务流程图、隐私政策等基础资料。
第二步:数据资产梳理——摸清家底
这是PIA的地基。你需要绘制一张“数据地图”,沿着用户的使用路径,把数据的收集、存储、使用、删除等每一个环节都拆解出来。比如,人脸登录功能,流程就是:拍摄→加密传输→存储特征值→比对→删除。同时,要制作一份精确到字段级的《个人信息清单》,特别是敏感信息,必须单独标注。
第三步:合规性核查——自我体检
拿着法律法规这个“尺子”,去量一量你的业务。从处理目的的合法性、告知同意的有效性,到最小必要性、用户权利的保障,一共7个维度,逐项排查。每一项都要写清楚现状、判定结果和存在的问题。
第四步:风险识别——深挖病灶
这一步是PIA的灵魂。不要只找三五个风险点糊弄人,至少要找出8个以上。从合规风险、安全技术风险、个人权益风险三个层面去挖掘。例如:“用户人脸特征值仅采用普通加密,未采用国密算法,一旦数据库被攻破,可能导致120万用户的生物识别信息泄露。”
第五步:风险分析与评价——科学定级
顶级不能拍脑袋。要用“风险矩阵法”:给每个风险的可能性(1-5分)和影响程度(1-5分)打分,两者相乘得出风险值。比如,上述人脸泄露风险,可能性3分,影响程度5分,风险值15分,即为“高风险”。
第六步:风险处置与整改——对症下药
找出问题不解决,等于白做。针对每个风险点,给出具体的、可落地的整改措施。比如,“2026年9月30日前,完成人脸特征值存储的国密SM4算法改造,由技术部李工负责。” 整改后,还要评估残余风险等级。
第七步:报告撰写——整合输出
将所有工作成果整理成一份结构完整的PIA报告。一份合格的报告应包含评估概述、业务说明、合规核查、风险识别、风险评估、整改措施、评估结论、签字页和附件等10个部分。
个人信息安全无小事,专业防护更安心
CCRC-PIPP个人信息保护专业人员
CCRC-PIPCA个人信息保护合规审计人员
CCRC-PIPA个人信息保护评估师认证
青蓝智慧马老师:135-2173-0416
丁老师:135-2209-4648
马老师:133-9150-9126
第八步:评审签字——闭环管理
报告完成后,需经过内部评审,最后由PIPCA持证人员签字确认并加盖公章。所有过程文档(会议纪要、原始数据等)必须归档保存至少3年。
