1、钱伟峰钱伟峰安言 副总经理（照片部分由主办方添加）个人信息安全影响分析实践分享目录个人金融信息保护合规要求总览个人信息/隐私影响分析标准简介个人信息安全影响评估实践分享常见个人信息安全保护合规要求法律法规网络安全法数据安全法（待颁布）个人信息保护法（待颁布）最高法、最高检关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释App违法违规收集使用个人信息行为认定方法关于加强银行卡安全管理预防和打击银行卡犯罪的通知个人信息和重要数据出境安全评估办法（征求意见稿）个人信息出境安全评估办法（征求意见稿）行业合规要求银行业金融机构数据治理指引商业银行信息科技风险管理指引银行业金融机构信息科技外包风险监

2、管指引中国人民银行关于进一步加强银行卡风险管理的通知标准层面GB/T 35273-2020 个人信息安全规范GB/T 22239-2019 网络安全等级保护基本要求GB/T 39335-2020信息安全技术 个人信息安全影响评估指南JR/T 0171-2020 个人金融信息保护技术规范JR/T 0197-2020 金融数据安全 数据安全分级指南GB/Z 28828-2012 信息安全技术公共及商用服务信息系统个人信息保护指南个人信息安全部影响评估参考标准ISO 29134:2017 Information technology-Security techniques-Guidelines fo

3、r privacy impact assessmentGB/T 39335:2020信息安全技术 个人信息安全影响评估指南ISO 29134 快速解读确定PIA必要性（阈值分析）阶段PIA 准备阶段PIA执行阶段PIA跟进阶段评估PII受侵害后的影响分析现有控制的符合程度选定PII相关控制识别PIIPIA结果回顾报告编制实行隐私风险处理计划风险处理措施设计隐私风险处理准备设立PIA小组准备PIA计划并确定执行PIA的资源可用性描述评估内容确定评估流程当组织或项目涉及以下情景时，需要开展PIA：开发或处理PII的信息系统进行重大改变时，应该进行PIA；任何新项目的启动都应触发阈值分析，以确定是否

4、需要进行PIA；进行涉及PII资产和处理PII的所有系统的资产清单的建立、维护和更新时，需要参考PIA报告；开发和维护库存时，需要从PIAS中提取关于信息系统处理PII 的信息元素；当组织正在处理PII，组织应该建立进行PIA所需的程序；为确保与PII处理相关的计划和服务符合隐私保护要求，组织应该执行PIA并实施所产生的隐私处理计划；识别现有控制措施何时需要做个人信息安全影响评估本次介绍的PIA工具适用于：合规要求（包括但不限于）：ISO/IEC 27701:2019 隐私信息管理体系 GB/T 35273:2020 个人信息安全规范 ISO/IEC 29151:2017 个人身份信息保护实践

5、指南 落地要求：评估用于保护个人信息主体的各项控制措施的有效性，并根据评估结果改进控制措施，降低各项活动对个人信息主体权益造成的影响。触发时机（合规要求）：每年一次 PII处理场景新增或发生变更时 内外部环境发生变化时 当发生重大个人信息安全事件时 信息安全领导小组确定有必要时（*注：不同的合规要求中，对“PII”的命名方式可能不同，实施时需根据实际情况调整）实施方法与步骤 PIA评估的不再是个人信息（PII数据）本身，而是对个人信息主体（PII主体）权益的影响。在一个完整的PIA中，对PII主体权益的影响有两部分组成：1.数据处理活动本身对PII主体权益造成的影响；2.数据受泄露、篡改、不可

6、用、非授权访问的威胁时，对PII主体权益造成的影响。针对PII处理活动，评估用于保护PII主体的各项控制措施的有效性，以判断其对PII主体合法权益造成损害的各种影响。PII处理场景PII数据PII数据类型PII数据泄露、篡改、不可用、非授权访问的可能性PII数据受到以上威胁后对PII主体权益的影响完整的PIAPII处理活动控制PII处理活动的控制措施有效性控制不足时对PII主体权益的影响当前工具所进行的PIA个人信息安全影响评估方法 Step 1：识别PII处理场景，识别各个场景下的PII字段、数据量、涉及的第三方等，同时分析所对应的PII主体是否存在需特别考虑的群体特征。Step 2：识别各

7、个PII处理场景下的数据处理活动（收集、存储、传输、使用、第三方交互等）；同时根据各个标准、法律法规、发文要求，识别在各个PII处理活动下应有的控制要求。Step 3：分析对各个处理活动的控制是否能满足应有控制的要求，如不满足，则对相应的PII主体造成了何种权益影响（四个维度）。Step 4：针对“对PII主体造成中、高级别影响的处理活动”给出处置建议。个人信息个人信息处理场景个人信息主体数据处理活动（全生命周期）应有控制（来自于各个标准）影响个人信息主体权益（四个维度）给出对应处置建议关联识别识别识别分析未做到时Step 1Step 2应做到Step 2Step 3Step 4个人信息字段及

8、场景识别基础版底线要求：梳理客户方PII现状，形成一份PIA报告所必要的PII背景信息。评估对象涉及哪些PII数据？哪些部门/系统/系统模块中使用到了这些数据？保有量分别是多少？（500条以上为入刑标准）是否涉及了第三方处理？Plus版数据地图：颗粒度更细，能够形成数据流向图，以符合ISO27701要求，需基于场景调研结果更新工具。涉及的PII字段（参考GB/T 35273梳理）在什么场景下处理了该PII数据？数据上下游？个人信息影响分析 应有控制：参考各个标准、监管发文、法律法规中整理出在某一数据处理活动中应有的控制，如不涉及某一活动则不需要评定。以GB/T 35273 个人信息安全规范为主。有效等级：根据控制现状进行评定，“基本符合”和“控制不足”的差异主要体现在“是否于客户方或同行业内因此发生过安全事件”。无控制时对PII主体的影响：当前赋值暂未考虑PII主体群体特征，具有一定主观性。个人信息安全影响评估的输出与注意事项进行PIA需形成报告，以作为PIA的结果。PIA报告可参考风险评估报告进行，其中较为重要的两部分为“PII背景信息”和“PIA处置建议”。PII背景信息：厘清客户方PII的处理现状和管理现状，作为评估的输入项之一，同时告知客户方应倾斜的管理资源。PIA处置建议：针对“高”和“中”等级影响给出处置建议（某些情况下，即时“控制不足”也只会造成“低”等级影响）。