《个人信息安全影响评估指南》解读及实践（二）

三
由谁开展PISIA

根据行业实践，开展PISIA的责任主体，主要涉及如下几个层面：

1. 个人信息上下游流动中的责任主体

        根据《儿童个人信息网络保护规定》、《个人信息安全规范》等规定，PISIA的责任主体是“网络运营者”和“个人信息控制者”但是，根据《个人信息保护法（草案）》规定，PISIA的责任主体是“个人信息处理者”。因此，结合前述法律法规之规定，汇业律师事务所黄春林律师团队建议，在不发生个人信息控制权转移的一般业务场景中（例如非敏感个人信息的委托处理），应当仅由控制者开展PISIA；而其他场景中，建议数据上下游流动各方均单独开展PISIA。

2. 企业内部组织机构及人员 

        根据《个人信息安全规范》规定，PISIA由个人信息保护负责人和个人信息保护工作机构负责。国标39335进一步细化了组织及人员要求，企业“指定个人信息安全影响评估的责任部门或责任人员”(有专门的个人信息保护负责人和个人信息保护工作机构的，通常由该机构担任)，由其负责PISIA工作并对结果负责。同时，国标39335还建议企业内部牵头执行PISIA工作的部门为法务部、合规部或安全部门等。

3. 外部机构参与 

        国标39335不止一次提到，企业除了可以自行开展PISIA外，还可以委托外部专业机构（包括但不限于律师事务所、安全技术机构、咨询公司等）开展评估工作；上级检查部门检查企业的PISIA工作时，也可以委托外部专业机构开展评估工作。

四
如何开展PISIA 

        结合行业最佳实践，国标39335给到了一些典型的PISIA方法、流程及工具等。实践中，每个企业需要结合自身个人信息类型、规模，以及企业类型、业务场景、系统情况等因素，制定符合自身特点的PISIA工作方法。

结合近期类似项目经验，汇业黄春林律师团队通常会按照如下工作流程，协助企业开展PISIA工作： 

        (1) 调研及访谈：通过现场访谈、问卷清单、技术监测等方式，调研项目有关的主要系统/数据类型、业务流程/场景/系统/合同、组织架构/政策制度、数据上下游流动情况等，制作数据地图（映射表），确定评估工作范围、目的、方式及里程碑等。 

        (2) 法律调研与影响评估：根据前期工作情况，结合最新立法、行业监管实践及执法案例情况，参照行业可对标企业/项目经验，利用风险暴露面识别工具/清单，出具书面评估报告（初稿）及整改建议，包括现有供应商审查、组织架构、业务流程、技术现状及文本制度等存在的合规差距 

        (3) 评估情况沟通会：组织企业有关部门或人员研讨，汇报评估报告的情况，收集反馈意见，综合评估合规性、技术路径及落地成本等因素，并讨论整改方案/建议的可行性及落地方案。 

        (4) 协助整改实施（根据项目情况）：根据前期整改建议，协助企业调整供应商、采购新设备，修改技术方案或网络结构，草拟配套制度，修改有关标准合同，制定相应的业务指引和流程控制文件，完善岗位设置及责任，等等。 

        (5) 出具最终评估报告：根据沟通会情况，出具正式评估报告，以及报告的保存、留档、备案、发布及公示等建议。 

        (6) 动态核查协助：评估项目实施完成后，协助企业建立动态检查机制。
（文章摘自网络，若有侵权，请联系删除）