(高清版)GB∕T 39335-2020 信息安全技術(shù) 個人信息安全影響評估指南

ICS35.040L80中華人民共和國國家標準信息安全技術(shù)個人信息安全影響評估指南I—G國家市場監(jiān)督管理總局國家標準化管理委員會GB／T39335—2020前言 2規(guī)范性引用文件 3術(shù)語和定義 4評估原理 4.2開展評估的價值 4.3評估報告的用途 4.4評估責(zé)任主體 4.5評估基本原理 4.6評估實施需考慮的要素 5評估實施流程 5.1評估必要性分析 5.2評估準備工作 5.3數(shù)據(jù)映射分析 5.4風(fēng)險源識別 5.5個人權(quán)益影響分析 5.6安全風(fēng)險綜合分析 5.8風(fēng)險處置和持續(xù)改進 5.9制定報告發(fā)布策略 附錄A（資料性附錄）評估性合規(guī)的示例及評估要點 附錄B（資料性附錄）高風(fēng)險的個人信息處理活動示例 附錄C（資料性附錄）個人信息安全影響評估常用工具表 附錄D（資料性附錄）個人信息安全影響評估參考方法 參考文獻 GB／T39335—2020本標準按照GB/T1.1—2009給出的規(guī)則起草。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構(gòu)不承擔識別這些專利的責(zé)任。本標準由全國信息安全標準化技術(shù)委員會(SAC/TC260)提出并歸口。本標準起草單位：中國電子技術(shù)標準化研究院、四川大學(xué)、頤信科技有限公司、深圳市騰訊計算機系統(tǒng)有限公司、華為技術(shù)有限公司、全知科技（杭州）有限責(zé)任公司、北京騰云天下科技有限公司、國家金融IC卡安全檢測中心、強韻數(shù)據(jù)科技有限公司、中國信息通信研究院、北京信息安全測評中心、聯(lián)想（北京）有限公司、清華大學(xué)、阿里巴巴（北京）軟件服務(wù)有限公司、中國軟件評測中心、浙江螞蟻小微金融服務(wù)集團股份有限公司、陜西省網(wǎng)絡(luò)與信息安全測評中心。本標準主要起草人：洪延青、何延哲、胡影、高強裔、陳湘、趙冉冉、劉賢剛、皮山杉、黃勁、葛夢瑩、Ⅰ1GB／T39335—2020信息安全技術(shù)個人信息安全影響評估指南本標準給出了個人信息安全影響評估的基本原理、實施流程。本標準適用于各類組織自行開展個人信息安全影響評估工作，同時可為主管監(jiān)管部門、第三方測評機構(gòu)等組織開展個人信息安全監(jiān)督、檢查、評估等工作提供參考。2規(guī)范性引用文件下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T20984信息安全技術(shù)信息安全風(fēng)險評估規(guī)范GB/T25069—2010信息安全技術(shù)術(shù)語GB/T35273—2020信息安全技術(shù)個人信息安全規(guī)范3術(shù)語和定義GB/T25069—2010、GB/T35273—2020界定的以及下列術(shù)語和定義適用于本文件。3.1個人信息以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然人活動情況的各種信息。[GB/T35273—2020,定義3.1]3.2個人敏感信息一旦泄露、非法提供或濫用可能危害人身和財產(chǎn)安全，極易導(dǎo)致個人名譽、身心健康受到損害或歧視性待遇等的個人信息。[GB/T35273—2020,定義3.2]3.3個人信息主體個人信息所標識或者關(guān)聯(lián)的自然人。[GB/T35273—2020,定義3.3]3.4個人信息安全影響評估針對個人信息處理活動，檢驗其合法合規(guī)程度，判斷其對個人信息主體合法權(quán)益造成損害的各種風(fēng) 險，以及評估用于保護個人信息主體的各項措施有效性的過程。2GB／T39335—20204評估原理個人信息安全影響評估旨在發(fā)現(xiàn)、處置和持續(xù)監(jiān)控個人信息處理過程中對個人信息主體合法權(quán)益造成不利影響的風(fēng)險。4.2開展評估的價值實施個人信息安全影響評估，能夠有效加強對個人信息主體權(quán)益的保護，有利于組織對外展示其保護個人信息安全的努力，提升透明度，增進個人信息主體對其的信任。包括：a)在開展個人信息處理前，組織可通過影響評估，識別可能導(dǎo)致個人信息主體權(quán)益遭受損害的風(fēng)險，并據(jù)此采用適當?shù)膫€人信息安全控制措施。b)對于正在開展的個人信息處理，組織可通過影響評估，綜合考慮內(nèi)外部因素的變化情況，持續(xù)修正已采取的個人信息安全控制措施，確保對個人合法權(quán)益不利影響的風(fēng)險處于總體可控的狀態(tài)。c)個人信息安全影響評估及其形成的記錄文檔，可幫助組織在政府、相關(guān)機構(gòu)或商業(yè)伙伴的調(diào)查、執(zhí)法、合規(guī)性審計等中，證明其遵守了個人信息保護與數(shù)據(jù)安全等方面的法律、法規(guī)和標準的要求。d)在發(fā)生個人信息安全事件時，個人信息安全影響評估及其形成的記錄文檔，可用于證明組織已經(jīng)主動評估風(fēng)險并采取一定的安全保護措施，有助于減輕、甚至免除組織相關(guān)責(zé)任和名譽損失。e)組織可通過個人信息安全影響評估，加強對員工的個人信息安全教育。參與評估之中，員工能熟悉各種個人信息安全風(fēng)險，增強處置風(fēng)險的能力。f)對合作伙伴，組織通過評估的實際行動表明其嚴肅對待個人信息安全保護，并引導(dǎo)其能夠采取適當?shù)陌踩刂拼胧?，以達到同等或類似的安全保護水平。4.3評估報告的用途個人信息安全影響評估報告的內(nèi)容主要包括：評估所覆蓋的業(yè)務(wù)場景、業(yè)務(wù)場景所涉及的具體的個人信息處理活動、負責(zé)及參與的部門和人員、已識別的風(fēng)險、已采用及擬采用的安全控制措施清單、剩余風(fēng)險等。因此，個人信息安全影響評估報告的用途包括但不限于：a)對于個人信息主體，評估報告可確保個人信息主體了解其個人信息被如何處理、如何保護，并使個人信息主體能夠判斷是否有剩余風(fēng)險尚未得到處置。b)對于開展影響評估的組織，評估報告的用途可能包括：1)在產(chǎn)品、服務(wù)或項目的規(guī)劃階段，用于確保在產(chǎn)品或服務(wù)的設(shè)計中充分考慮并實現(xiàn)個人信息的保護要求（例如，安全機制的可實現(xiàn)性、可行性、可追蹤性等2)在產(chǎn)品、服務(wù)或項目的運營過程中，用于判斷運營的內(nèi)外部因素（例如運營團隊的變動、互聯(lián)網(wǎng)安全環(huán)境、信息共享的第三方安全控制能力等）、法律法規(guī)是否發(fā)生實質(zhì)變更，是否需要對影響評估結(jié)果進行審核和修正；3)用于建立責(zé)任制度，監(jiān)督發(fā)現(xiàn)存在安全風(fēng)險的個人信息處理活動是否已采取安全保護措施，改善或消除已識別的風(fēng)險；4)用于提升內(nèi)部員工的個人信息安全意識。c)對于主管監(jiān)管部門，要求組織提供個人信息安全影響評估報告，可督促組織開展評估并采取有3GB／T39335—2020效的安全控制措施。在處理個人信息安全相關(guān)投訴、調(diào)查個人信息安全事件等時，主管監(jiān)管部門可通過影響評估報告了解相關(guān)情況，或?qū)蟾孀鳛橄嚓P(guān)證據(jù)。d)對于開展影響評估的組織的合作伙伴，用于整體了解其在業(yè)務(wù)場景中的角色和作用，以及其應(yīng)具體承擔的個人信息保護工作和責(zé)任。4.4評估責(zé)任主體組織指定個人信息安全影響評估的責(zé)任部門或責(zé)任人員，由其負責(zé)個人信息安全影響評估工作流程的制定、實施、改進，并對個人信息安全影響評估工作結(jié)果的質(zhì)量負責(zé)。該責(zé)任部門或人員具有獨立性，不受到被評估方的影響。通常，組織內(nèi)部牽頭執(zhí)行個人信息安全影響評估工作的部門為法務(wù)部門、合規(guī)部門或信息安全部門。組織內(nèi)的責(zé)任部門可根據(jù)部門的具體能力配備情況，選擇自行開展個人信息安全影響評估工作，或聘請外部獨立第三方來承擔具體的個人信息安全影響評估工作。對于具體的產(chǎn)品、服務(wù)或項目，由相應(yīng)的產(chǎn)品、服務(wù)或項目負責(zé)人確保個人信息安全影響評估活動的開展和順利進行，并給予相應(yīng)支持。當由組織自行進行個人信息安全影響評估時，主管監(jiān)管部門和客戶可要求獨立審計來核證影響評估活動的合理性和完備性。同時，該組織允許主管監(jiān)管部門對影響評估流程以及相關(guān)信息系統(tǒng)或程序進行取證。4.5評估基本原理個人信息安全影響評估的基本原理如圖1。圖1評估原理示意圖開展評估前，需對待評估的對象（可為某項產(chǎn)品、某類業(yè)務(wù)、某項具體合作等）進行全面的調(diào)研，形成清晰的數(shù)據(jù)清單及數(shù)據(jù)映射圖表(并梳理出待評估的具體的個人信息處理活動。開展評估時，通過分析個人信息處理活動對個人信息主體的權(quán)益可能造成的影響及其程度，以及分析安全措施是否有效、是否會導(dǎo)致安全事件發(fā)生及其可能性，綜合兩方面結(jié)果得出個人信息處理活動的安全風(fēng)險及風(fēng)險等級，并提出相應(yīng)的改進建議，形成評估報告。4.6評估實施需考慮的要素個人信息安全影響評估的規(guī)模往往取決于受到影響的個人信息主體范圍、數(shù)量和受影響的程度。通常，組織在實施該類個人信息安全影響評估時，個人信息的類型、敏感程度、數(shù)量，涉及個人信息主體4GB／T39335—2020的范圍和數(shù)量，以及能訪問個人信息的人員范圍等，都會成為影響評估規(guī)模的重要因素。評估實施過程中采用的基本評估方法，包括但不限于以下三種：a)訪談：指評估人員對相關(guān)人員進行談話，以對信息系統(tǒng)中個人信息的處理、保護措施設(shè)計和實施情況進行了解、分析和取證的過程。訪談的對象包括產(chǎn)品經(jīng)理、研發(fā)工程師、個人信息保護負責(zé)人、法務(wù)負責(zé)人員、系統(tǒng)架構(gòu)師、安全管理員、運維人員、人力資源人員和系統(tǒng)用戶等。b)檢查：指評估人員通過對管理制度、安全策略和機制、合同協(xié)議、安全配置和設(shè)計文檔、運行記錄等進行觀察、查驗、分析，以便理解、分析或取得證據(jù)的過程。檢查的對象為規(guī)范、機制和活動，如個人信息保護策略規(guī)劃和程序、系統(tǒng)的設(shè)計文檔和接口規(guī)范、應(yīng)急規(guī)劃演練結(jié)果、事件響應(yīng)活動、技術(shù)手冊和用戶／管理員指南、信息系統(tǒng)的硬件／軟件中信息技術(shù)機制的運行等。c)測試：指評估人員通過人工或自動化安全測試工具進行技術(shù)測試，獲得相關(guān)信息，并進行分析以便獲取證據(jù)的過程。測試的對象為安全控制機制，如訪問控制、身份識別和驗證、安全審計機制、傳輸鏈路和保存加密機制、對重要事件進行持續(xù)監(jiān)控、測試事件響應(yīng)能力以及應(yīng)急規(guī)劃演練能力等。從實施主體來區(qū)分，個人信息安全影響評估分為自評估和檢查評估兩種形式。自評估是指組織自行發(fā)起對其個人信息處理行為的評估，自評估可以由本組織指定專門負責(zé)評估、審計的崗位或角色開展，也可以委托外部專業(yè)組織開展評估工作。檢查評估是指組織的上級組織發(fā)起的個人信息安全影響評估工作。上級組織是對組織有直接領(lǐng)導(dǎo)關(guān)系或負有監(jiān)督管理責(zé)任的組織。檢查評估也可以委托外部專業(yè)組織開展評估。在確定評估規(guī)模，選定評估方法、評估工作形式后，評估實施的具體流程可參照第5章內(nèi)容。5評估實施流程5.1評估必要性分析個人信息安全影響評估可用于合規(guī)差距分析，也可以用于合規(guī)之上、進一步提升自身安全風(fēng)險管理能力和安全水平的目的。因此啟動個人信息安全影響評估的必要性，取決于組織的個人信息安全目標，組織可根據(jù)實際的需求選取需要啟動評估的業(yè)務(wù)場景。當組織定義的個人信息安全目標為符合相關(guān)法律、法規(guī)或標準的基線要求時，則個人信息安全影響評估主要目的在于識別待評估的具體個人信息處理活動已采取的安全控制措施，與相關(guān)法律、法規(guī)或標準的具體要求之間的差距，例如在某業(yè)務(wù)場景中與第三方共享個人信息，是否取得了個人信息主體的明示同意。組織可根據(jù)所適用的個人信息保護相關(guān)法律、法規(guī)、政策及標準，分析特定產(chǎn)品或服務(wù)所涉及的全部個人信息處理活動與所適用規(guī)則的差距。該評估方式的應(yīng)用場景包括但不限于以下情形：5GB／T39335—2020a)產(chǎn)品或服務(wù)的年度整體評估；b)新產(chǎn)品或新服務(wù)（不限技術(shù)平臺）設(shè)計階段評估；c)新產(chǎn)品或新服務(wù)（不限技術(shù)平臺）上線初次評估；d)法律法規(guī)、政策、標準等出現(xiàn)重大變化時重新評估；e)業(yè)務(wù)模式、互聯(lián)網(wǎng)安全環(huán)境、外部環(huán)境等發(fā)生重大變化的重新評估；f)發(fā)生重大個人信息安全事件后重新評估；組織可根據(jù)所適用的個人信息保護相關(guān)法律、法規(guī)、政策及標準，對特定產(chǎn)品或服務(wù)所涉及的部分個人信息處理活動與所適用規(guī)則的差距進行分析。該評估方式的應(yīng)用場景包括但不限于以下情形：a)新增功能需要收集新的個人信息類型時的評估；c)業(yè)務(wù)模式、信息系統(tǒng)、運行環(huán)境等發(fā)生變化時評估。部分個人信息保護相關(guān)的法律、法規(guī)、標準的規(guī)定提出了評估性合規(guī)要求。這類規(guī)定并沒有針對特定的個人信息處理活動提出明確、具體的安全控制措施，而是要求組織針對特定個人信息處理活動，專門開展風(fēng)險評估，并采取與風(fēng)險程度相適應(yīng)的安全控制措施，將對個人信息主體合法權(quán)益不利影響的風(fēng)險降低到可接受的程度，才符合其規(guī)定。評估性合規(guī)要求往往針對的是對個人權(quán)益有重大影響的個人信息處理活動，例如處理個人敏感信息、使用自動化決策方式處理個人信息、委托處理個人信息、向第三方轉(zhuǎn)讓或共享個人信息、公開披露個人信息、向境外轉(zhuǎn)移個人信息等。針對此類規(guī)定，組織可使用本指南提供的個人信息安全影響評估方法進行評估，保證個人信息處理活動的安全風(fēng)險可控，以符合相應(yīng)的法律、法規(guī)、標準的要求。注：評估性合規(guī)要求分析示例及具體評估要點可參考附錄A。出于審慎經(jīng)營、聲譽維護、品牌建立等目的，組織往往選取可能對個人合法權(quán)益產(chǎn)生高風(fēng)險的個人信息處理活動，開展盡責(zé)性風(fēng)險評估。此種風(fēng)險評估的目標，是在符合相關(guān)法律、法規(guī)和標準的基線要求之上，盡可能降低對個人信息主體合法權(quán)益的不利影響。注：高風(fēng)險個人信息處理活動示例可參考附錄B。組織可使用本標準提供的個人信息安全影響評估方法，對高風(fēng)險個人信息處理活動進行評估，進一步降低個人信息處理活動的安全風(fēng)險。5.2評估準備工作組織確認并任命負責(zé)進行個人信息安全影響評估的人員（評估人）。此外，組織還要指定人員負責(zé)簽署評估報告。評估人明確規(guī)定個人信息安全影響評估報告的提交對象、個人信息安全影響評估的時間段、是否會公布評估報告或其摘要。如有必要評估人需申請團隊支持，例如由技術(shù)部門、相關(guān)業(yè)務(wù)部門及法律部門的代表構(gòu)成的團隊。組織內(nèi)部個人信息安全影響評估需要組織管理層給予長期支持。6GB／T39335—2020管理層需為個人信息安全影響評估團隊配置必要資源。計劃需清楚規(guī)定完成個人信息安全影響評估報告所進行的工作、評估任務(wù)分工、評估計劃表。此外，計劃還需考慮到待評估場景中止或撤銷的情況。具體操作時考慮以下方面：人員、技能、經(jīng)驗及能力；b)執(zhí)行各項任務(wù)所需時間；c)進行評估每一步驟所需資源，如自動化的評估工具等。注：涉及的場景復(fù)雜、耗用資源多時，建議對原有方案進行更新迭代，針對常規(guī)評估活動或涉及待評估場景復(fù)雜度低等情形時，可沿用原有計劃或簡化該步驟。如涉及相關(guān)方咨詢，計劃需說明在何種情況下需要咨詢相關(guān)方、將咨詢哪些人員以及具體的咨詢方式（例如通過公眾意見調(diào)查、研討會、焦點小組、公眾聽證會、線上體驗等等）。5.2.3確定評估對象和范圍從以下三個方面描述評估的對象和范圍：a)描述系統(tǒng)基本信息，包括但不限于：1)處理個人信息的目的和類型；2)對支撐當前或未來業(yè)務(wù)流程的信息系統(tǒng)的描述；3)履行信息系統(tǒng)管理職責(zé)的部門或相關(guān)人員，以及其職責(zé)或履行水平；4)關(guān)于個人信息處理方式、處理范圍的說明、有權(quán)訪問個人信息的角色等；5)如預(yù)計委托第三方處理，或與第三方共享、轉(zhuǎn)讓信息系統(tǒng)的個人信息，說明上述第三方身份、第三方接入信息系統(tǒng)的情況等。b)描述系統(tǒng)設(shè)計信息，包括但不限于：2)物理結(jié)構(gòu)概覽；3)包含個人信息的信息系統(tǒng)數(shù)據(jù)庫、表格和字段的清單和結(jié)構(gòu)；4)按組件和接口劃分的數(shù)據(jù)流示意圖；5)個人信息生命周期的數(shù)據(jù)流示意圖，例如個人信息的收集、存儲、使用和共享等；6)描述通知個人信息主體的時間節(jié)點以及取得個人信息主體同意的時間節(jié)點和工作流程圖；7)可對外傳輸個人信息的接口清單；8)個人信息處理過程中的安全措施。c)描述處理流程和程序信息，包括但不限于：1)信息系統(tǒng)的身份與用戶管理概念；2)操作概念，包括信息系統(tǒng)或其中部分結(jié)構(gòu)采用現(xiàn)場運行、外部托管，或云外包的方式；3)支持概念，包括列示可訪問個人信息的第三方范圍、其所擁有的個人信息訪問權(quán)限、其可訪問個人信息的位置等；4)記錄概念，包括已登入信息的保存計劃；5)備份與恢復(fù)計劃；6)元數(shù)據(jù)的保護與管理；7)數(shù)據(jù)保存與刪除計劃及存儲介質(zhì)的處置。5.2.4制定相關(guān)方咨詢計劃相關(guān)方包括但不限于：7GB／T39335—2020—員工，例如人力資源、法律、信息安全、財務(wù)、業(yè)務(wù)運營職能、通信與內(nèi)部審計（尤其是在監(jiān)管環(huán)境下）相關(guān)人員；—個人信息主體和消費者代表；—分包商和業(yè)務(wù)合作伙伴；—系統(tǒng)開發(fā)和運維人員；—對于評估有相應(yīng)擔憂的其他組織人員。為保證評估流程的透明，實現(xiàn)降低安全風(fēng)險的目標，評估人需詳細確認進入評估程序的內(nèi)部或外部相關(guān)方。相關(guān)方與待評估的個人信息處理活動具有直接的利益關(guān)系，相關(guān)方可以是擁有或可能獲取個人信息訪問權(quán)限的組織或個人。評估人需確認相關(guān)方的分類，然后具體確認各類相關(guān)方中的特定組織或個人。如果相關(guān)方為個人，則該個人宜盡可能具有代表性。個人信息的范圍與規(guī)模，以及業(yè)務(wù)重要性、成本收益等因素，對于確定恰當?shù)南嚓P(guān)方非常重要。如對大型個人信息處理活動進行評估，則可能存在較多相關(guān)方。在這種情況下，社會團體（如消費者權(quán)益保護組織）可能被確認為相關(guān)方。相反，一些小型評估，可能不需要確認寬泛的相關(guān)方清單。制定咨詢計劃需明確不同的相關(guān)方所受的影響、后果（如果已知）以及所采取的用于降低不利影響的安全控制措施等相關(guān)問題。計劃中還包含咨詢范圍及計劃表。咨詢計劃的目標包括但不限于：a)確定相關(guān)方的數(shù)量與范圍；b)相關(guān)方參與識別并評估個人權(quán)益影響及安全風(fēng)險的具體方式；注：相關(guān)方的反饋意見所提出的問題可能與主觀風(fēng)險認識有關(guān)，而非客觀實際風(fēng)險，但不能忽略這些意見，組織可將這些意見放在更廣泛的相關(guān)方管理問題中進行處理，為交流活動提供幫助。c)就評估報告咨詢相關(guān)方意見，以確認報告是否充分反映他們對有關(guān)問題的關(guān)注。組織在開展個人信息安全影響評估時，可以督促適當?shù)南嚓P(guān)方（主要包括分包商和業(yè)務(wù)合作伙伴）開展個人信息安全影響評估。適當?shù)南嚓P(guān)方有義務(wù)開展個人信息安全影響評估，或者配合組織開展個人信息安全影響評估，組織可以引用相關(guān)方的個人信息安全影響評估報告作為咨詢結(jié)果。5.3數(shù)據(jù)映射分析組織在針對個人信息處理過程進行全面的調(diào)研后，形成清晰的數(shù)據(jù)清單及數(shù)據(jù)映射圖表。數(shù)據(jù)映射分析階段需結(jié)合個人信息處理的具體場景。調(diào)研內(nèi)容包括個人信息收集、存儲、使用、轉(zhuǎn)讓、共享、刪除等環(huán)節(jié)涉及的個人信息類型、處理目的、具體實現(xiàn)方式等，以及個人信息處理過程涉及的資源（如內(nèi)部信息系統(tǒng)）和相關(guān)方（如個人信息處理者、平臺經(jīng)營者、外部服務(wù)供應(yīng)商、云服務(wù)商等第三方）。調(diào)研過程中盡可能考慮已下線系統(tǒng)、系統(tǒng)數(shù)據(jù)合并、企業(yè)收購、并購及全球化擴張等情況。梳理數(shù)據(jù)映射分析的結(jié)果時，根據(jù)個人信息的類型、敏感程度、收集場景、處理方式、涉及相關(guān)方等要素，對個人信息處理活動進行分類，并描述每類個人信息處理活動的具體情形，便于后續(xù)分類進行影響分析和風(fēng)險評價。注：開展數(shù)據(jù)映射分析，可參考附錄C中表C.1和表C.2。5.4風(fēng)險源識別風(fēng)險源識別是為了分析個人信息處理活動面臨哪些威脅源，是否缺乏足夠的安全措施，導(dǎo)致存在脆弱性而引發(fā)安全事件。決定個人信息安全事件發(fā)生的要素很多，就威脅源而言，有內(nèi)部威脅源，也有外部威脅源，有惡意人員導(dǎo)致的數(shù)據(jù)被竊取等事件，也有非惡意人員無意中導(dǎo)致的數(shù)據(jù)泄露等事件；就脆弱性而言，有物理環(huán)境影響導(dǎo)致的數(shù)據(jù)毀損，有技術(shù)因素導(dǎo)致的數(shù)據(jù)泄露、篡改、丟失等事件，也有管理不當引起的濫用等事件。8GB／T39335—2020GB/T20984中所描述的威脅識別和脆弱性識別方法均可用于對個人信息安全事件的分析過程。為進一步簡化個人信息安全事件可能性的分析過程，將與個人信息安全事件可能性相關(guān)的要素歸納為以下四個方面：a)網(wǎng)絡(luò)環(huán)境和技術(shù)措施。評估時關(guān)注的要素包括但不限于：1)處理個人信息的信息系統(tǒng)所處網(wǎng)絡(luò)環(huán)境為內(nèi)部網(wǎng)絡(luò)還是互聯(lián)網(wǎng)，不同的網(wǎng)絡(luò)環(huán)境其面臨的威脅源不同，連接互聯(lián)網(wǎng)的信息系統(tǒng)面臨的風(fēng)險更高；2)處理個人信息的信息系統(tǒng)與其他系統(tǒng)的交互方式，比如是否采用網(wǎng)絡(luò)接口進行數(shù)據(jù)交互，是否嵌入可收集個人信息的第三方代碼、插件等，通常情況下數(shù)據(jù)交互越多，需采取更加全面的安全措施防止信息泄露、竊取等風(fēng)險；3)個人信息處理過程中是否實施嚴格的身份鑒別、訪問控制等措施；4)是否在網(wǎng)絡(luò)邊界部署了邊界防護設(shè)備，配置了嚴格的邊界防護策略，實施了數(shù)據(jù)防泄露技術(shù)措施；5)是否監(jiān)測和記錄網(wǎng)絡(luò)運行狀態(tài)，是否標記、分析個人信息在內(nèi)部或與第三方交互時的狀態(tài)，及時發(fā)現(xiàn)異常流量和違規(guī)使用情況；6)是否采取了防范病毒和木馬后門攻擊、端口掃描、拒絕服務(wù)攻擊等網(wǎng)絡(luò)入侵行為的技術(shù)措施；7)是否采用加密傳輸、加密存儲等措施對個人敏感信息進行額外保護；8)是否對個人信息收集、保存、傳輸、使用、共享等各階段的個人信息處理活動進行審計，并對異常操作行為進行報警；9)是否建立了完備的網(wǎng)絡(luò)安全事件預(yù)警、應(yīng)急處置、報告機制；10)是否對信息系統(tǒng)進行定期安全檢查、評估、滲透測試，并及時進行補丁更新和安全加固；11)是否對數(shù)據(jù)存儲介質(zhì)加強安全管理，是否具備對數(shù)據(jù)進行備份和恢復(fù)的能力；12)其他必要的網(wǎng)絡(luò)安全技術(shù)保障措施。注1：如果組織參照其他網(wǎng)絡(luò)安全、數(shù)據(jù)安全相關(guān)國家標準建立成熟的安全防護體系，可基于其已有基礎(chǔ)進行分析評估。b)個人信息處理流程。評估時關(guān)注的要素包括但不限于：1)個人敏感信息的判定是否準確；2)收集個人信息的目的是否正當、合法；3)從第三方獲得的數(shù)據(jù)是否得到正式的處理授權(quán)；4)告知方式和告知的內(nèi)容是否友好可達，是否所有的處理活動都征得了用戶同意；5)是否定義了個人信息最小元素集，是否超范圍收集了個人信息；6)變更個人信息使用目的是否對個人信息主體產(chǎn)生影響；7)是否提供便捷有效的個體參與的機制，包括查詢、更正、刪除、撤回同意、注銷賬號等；8)接收個人信息的第三方是否會變更目的使用個人信息；9)個人信息的保存時間是否最小化，超出期限的刪除等機制是否合理；10)是否對用戶畫像機制進行限制，避免精確定位到特定個人；11)是否為個性化展示提供用戶可控制、可退出或關(guān)閉的機制；12)匿名化機制是否有效，去標識化后的個人信息是否能夠被關(guān)聯(lián)分析等，導(dǎo)致可重新識別個人信息主體身份；13)是否提供及時有效的安全事件通知機制和應(yīng)急處置機制；14)是否提供有效的投訴和維權(quán)渠道等；15)是否未經(jīng)用戶同意向第三方共享、轉(zhuǎn)讓個人信息；16)是否散播不準確的數(shù)據(jù)或不完整的誤導(dǎo)性數(shù)據(jù)；9GB／T39335—202017)是否誘導(dǎo)或強迫個人提供過多個人信息；18)是否過多地追蹤或監(jiān)視個人行為；19)是否無根據(jù)地限制個人控制其個人信息的行為等；20)其他個人信息處理流程的規(guī)范性。注2：對個人信息處理流程規(guī)范性的分析可參照GB/T35273—2020相應(yīng)內(nèi)容。c)參與人員與第三方。評估時關(guān)注的要素包括但不限于：1)是否任命個人信息保護負責(zé)人或個人信息保護工作機構(gòu)，個人信息保護負責(zé)人是否由具有相關(guān)管理工作經(jīng)歷和個人信息保護專業(yè)知識的人員擔任；2)是否依據(jù)業(yè)務(wù)安全需求，制定并執(zhí)行個人信息安全管理的方針和策略；3)是否制定涉及個人信息處理各環(huán)節(jié)的安全管理制度，并提出具體的安全管理要求；4)是否與從事個人信息處理崗位上的相關(guān)人員簽署保密協(xié)議，并對大量接觸個人敏感信息的人員進行背景審查；5)是否明確內(nèi)部涉及個人信息處理不同崗位的安全職責(zé)，并建立發(fā)生安全事件的處罰、問責(zé)機制；6)是否對個人信息處理崗位上的相關(guān)人員開展個人信息安全專業(yè)化培訓(xùn)和考核，并確保相關(guān)人員熟練掌握隱私政策和相關(guān)規(guī)程；7)是否明確可能訪問個人信息的外部服務(wù)人員需遵守的個人信息安全要求，并進行監(jiān)督；8)是否與第三方簽署有約束力的合同等文件，約定個人信息傳輸至第三方后的處理目的、方式、數(shù)據(jù)留存期限、超出期限后的處理方式；9)是否對第三方處理個人信息的行為進行定期檢查、審計，確保其嚴格執(zhí)行合同等約定；10)其他方面的必要措施。注3：如果組織參照其他網(wǎng)絡(luò)安全、數(shù)據(jù)安全相關(guān)國家標準建立成熟的安全管理體系，可基于其已有基礎(chǔ)進行分析d)業(yè)務(wù)特點和規(guī)模及安全態(tài)勢。評估時關(guān)注的要素包括但不限于：1)業(yè)務(wù)對個人信息處理的依賴性；2)業(yè)務(wù)處理或可能處理個人信息的數(shù)量、頻率、用戶規(guī)模、用戶峰值等；3)是否曾經(jīng)發(fā)生過個人信息泄露、篡改、毀損、丟失等事件；4)個人信息保護相關(guān)執(zhí)法監(jiān)管動態(tài)；5)近期內(nèi)遭受網(wǎng)絡(luò)攻擊或發(fā)生安全事件的情況；6)近期收到過或公開發(fā)布的安全相關(guān)的警示信息。組織在對以上維度的相應(yīng)內(nèi)容進行充分了解后，通過調(diào)研訪談、查閱支撐性文檔、功能檢查、技術(shù)測試等方式，識別已采取的措施與當前的狀態(tài)。針對5.5中對個人權(quán)益影響分析的不同維度，從以上四方面對安全事件發(fā)生的可能性等級進行綜合評價。注4：安全事件可能性等級評估可參考附錄D中D.1。5.5個人權(quán)益影響分析個人權(quán)益影響分析指分析特定的個人信息處理活動是否會對個人信息主體合法權(quán)益產(chǎn)生影響，以及可能產(chǎn)生何種影響。個人權(quán)益影響概括可分為“限制個人自主決定權(quán)”“引發(fā)差別性待遇”“個人名譽受損或遭受精神壓力”“人身財產(chǎn)受損”四個維度：a)限制個人自主決定權(quán)，例如被強迫執(zhí)行不愿執(zhí)行的操作、缺乏相關(guān)知識或缺少相關(guān)渠道更正個人信息、無法選擇拒絕個性化廣告的推送、被蓄意推送影響個人價值觀判斷的資訊等；b)引發(fā)差別性待遇，例如因疾病、婚史、學(xué)籍等信息泄露造成的針對個人權(quán)利的歧視，因個人消費GB／T39335—2020習(xí)慣等信息的濫用而對個人公平交易權(quán)造成損害等；c)個人名譽受損或遭受精神壓力，例如被他人冒用身份、公開不愿為人知的習(xí)慣、經(jīng)歷等，被頻繁騷擾、監(jiān)視追蹤等；d)人身財產(chǎn)受損，例如引發(fā)人身傷害、資金賬戶被盜、遭受詐騙、勒索等。5.5.2個人權(quán)益影響分析過程組織可根據(jù)數(shù)據(jù)映射分析結(jié)果及確定需要評估的個人信息處理活動，結(jié)合相關(guān)法律、法規(guī)、標準的要求或組織自定義的個人信息安全目標，分析個人信息處理活動全生命周期或特定處理行為對個人權(quán)益可能產(chǎn)生的影響，以及個人信息泄露、毀損、丟失、濫用等對個人權(quán)益可能產(chǎn)生的影響，以審視是否存在侵害個人信息主體權(quán)益的風(fēng)險。個人權(quán)益影響分析過程一般包含對個人信息敏感程度分析、個人信息處理活動特點分析、個人信息處理活動問題分析以及影響程度分析四個階段：a)在個人信息敏感程度分析階段，組織可參照國家有關(guān)法律、法規(guī)、標準，依據(jù)數(shù)據(jù)映射分析結(jié)果，分析個人信息的敏感程度對個人權(quán)益可能產(chǎn)生的影響，例如健康生理信息的泄露、濫用等可能會對個人生理、心理產(chǎn)生較嚴重的影響；b)在個人信息處理活動特點分析階段，組織可參照與國家有關(guān)法律、法規(guī)、標準，依據(jù)數(shù)據(jù)映射分析結(jié)果，分析個人信息處理活動是否涉及限制個人自主決定權(quán)、引發(fā)差別性待遇、個人名譽受損或遭受精神壓力、人身財產(chǎn)受損等，例如公開披露個人經(jīng)歷的行為可能會對個人聲譽產(chǎn)生影響；c)在個人信息處理活動問題分析階段，組織可參照與國家有關(guān)法律、法規(guī)、標準，依據(jù)數(shù)據(jù)映射分析結(jié)果，分析個人信息處理活動可能存在的弱點、差距和問題，其中5.4b)中的對個人信息流程規(guī)范性的分析結(jié)果可以支撐該階段的分析過程，對問題嚴重程度的分析有助于分析個人權(quán)益的影響程度；d)在個人權(quán)益影響程度分析階段，組織可結(jié)合前幾個階段的分析結(jié)果，綜合分析個人信息處理活動對個人權(quán)益可能造成的影響，及其嚴重程度。注：個人權(quán)益影響程度評估可參考D.2。5.6安全風(fēng)險綜合分析進行安全風(fēng)險綜合分析時，可參照4.5中的基本原理，采取以下步驟：參照5.4,分析已實施的安全措施、相關(guān)方、處理規(guī)模等要素，評價安全事件發(fā)生的可能性等級；參照5.5,分析可能發(fā)生的安全事件會對個人權(quán)益產(chǎn)生何種影響，并評價對個人權(quán)益影響的程度等級；c)綜合考慮安全事件可能性和個人權(quán)益影響程度兩個要素，綜合分析得出個人信息處理活動的安全風(fēng)險等級。注：安全風(fēng)險分析的具體過程和風(fēng)險等級的判定可參考D.3,安全風(fēng)險分析的具體過程可參考使用表C.3、表C.4和在完成針對特定個人信息處理活動影響評估之后，組織可綜合針對所有相關(guān)個人信息處理活動的評估結(jié)果，形成對整個評估對象（如業(yè)務(wù)部門、具體項目、具體合作等）的風(fēng)險等級。評估報告的內(nèi)容通常包括：個人信息保護專員的審批頁面、評估報告適用范圍、實施評估及撰寫報告的人員信息、參考的法律、法規(guī)和標準、個人信息影響評估對象（明確涉及的個人敏感信息）、評估內(nèi)容、涉及的相關(guān)方等，以及個人權(quán)益影響分析結(jié)果，安全保護措施分析結(jié)果、安全事件發(fā)生的可能性分析GB／T39335—2020結(jié)果、風(fēng)險判定的準則、合規(guī)性分析結(jié)果、風(fēng)險分析過程及結(jié)果、風(fēng)險處置建議等。5.8風(fēng)險處置和持續(xù)改進根據(jù)評估結(jié)果，組織可選取并實施相應(yīng)的安全控制措施進行風(fēng)險處置。通常情況下，可根據(jù)風(fēng)險的等級，采取立即處置、限期處置、權(quán)衡影響和成本后處置，接受風(fēng)險等處置方式。組織需持續(xù)跟蹤風(fēng)險處置的落實情況，評估剩余風(fēng)險，將風(fēng)險控制在可接受的范圍內(nèi)。此外，還可將評估結(jié)果用于下一次個人信息安全影響評估工作。5.9制定報告發(fā)布策略為促進自身持續(xù)提升個人信息保護水平、配合監(jiān)管活動、增加客戶信任，組織可制定個人信息安全影響評估報告發(fā)布策略。選擇公開發(fā)布的個人信息安全影響評估報告可以在已有評估報告基礎(chǔ)上予以簡化，但其內(nèi)容通常不少于以下方面：a)收集和處理個人信息的類型和必要性；b)收集和處理的個人信息類型（個人敏感信息需單獨強調(diào)c)個人信息處理的例外情況（法律法規(guī)規(guī)定等）；d)合規(guī)性分析的概況；e)評估過程和結(jié)果概況；f)已實施和將要實施的風(fēng)險處置措施概況；g)對個人信息主體的建議；h)實施評估責(zé)任部門和人員的聯(lián)系方式和解答疑問的渠道等。GB／T39335—2020附錄A（資料性附錄）評估性合規(guī)的示例及評估要點常見的個人信息相關(guān)法律、法規(guī)、標準中評估性合規(guī)要求，包括處理個人敏感信息、使用自動化決策方式處理個人信息、委托處理個人信息、向第三方轉(zhuǎn)讓或共享個人信息、公開披露個人信息、向境外轉(zhuǎn)移個人信息、個人信息處理目的變更評估、個人信息匿名化和去標識化效果評估，以及確定個人信息安全事件處置方案的評估等，其中部分評估要點示例如下。A.2個人信息出境安全評估個人信息出境場景的評估可參照有關(guān)國家標準執(zhí)行。A.3個人信息處理目的變更前的影響評估分析個人信息處理活動的影響時，需要考慮多種因素，以評估“與收集個人信息時所聲稱的目的具有直接或合理關(guān)聯(lián)的范圍”的影響為例，如果新設(shè)目的與原目的有直接或合理的關(guān)聯(lián)，且不會為個人權(quán)益帶來額外影響，無需再次告知個人信息主體并征得其明示同意。判斷時是否有直接或合理的關(guān)聯(lián)，至少需要考慮如下因素：—個人信息主體對原先目的、組織處理個人信息方式和方法的合理性的理解程度；—個人信息收集時的場景，包括個人信息主體和組織之間的關(guān)系、產(chǎn)品或服務(wù)的范圍及使用的商標和名稱、個人信息主體使用產(chǎn)品或服務(wù)的方式、產(chǎn)品或服務(wù)為個人信息主體提供的便利等；—特定場景中可合理預(yù)期的個人信息處理方式，如常規(guī)商業(yè)運營中，可預(yù)見到的將被使用的個人信息的類型，與個人信息主體之間直接互動的范圍、頻率、性質(zhì)、歷史，以及為提供產(chǎn)品或服務(wù)，或改進或推廣產(chǎn)品或服務(wù)，可預(yù)見到的將被使用的個人信息的類型；—如將所收集的個人信息用于學(xué)術(shù)研究或得出對自然、科學(xué)、社會、經(jīng)濟等現(xiàn)象總體狀態(tài)的描述，屬于與收集目的具有合理關(guān)聯(lián)的范圍之內(nèi)。但對外提供學(xué)術(shù)研究或描述的結(jié)果時，需對結(jié)果中所包含的個人信息進行去標識化處理，否則在對目的變更后的影響評估中可能會得出存在高風(fēng)險的判斷。A.4個人信息匿名化和去標識化效果評估匿名化和去標識化對個人信息進行了技術(shù)處理，使其在不借助額外信息的情況下，無法識別個人信息主體。但數(shù)據(jù)接收方可能會借助于額外的信息以及技術(shù)手段，進行重標識攻擊，從而將去標識化的數(shù)據(jù)集歸因到原始個人信息主體或一組個人信息主體。常見的用于重標識的方法如下：—篩選：基于是否能唯一確定一個個人信息主體，將屬于一個個人信息主體的記錄篩選出來；—關(guān)聯(lián)：將不同數(shù)據(jù)集中關(guān)于相同個人信息主體的信息關(guān)聯(lián)； —推斷：通過其他屬性的值以一定概率推斷出一個屬性的值。評估個人信息匿名化和去標識化效果時，可充分考慮以下要素：GB／T39335—2020—個人信息匿名化和去標識化過程的規(guī)范性，所采用技術(shù)的通用性；—匿名化后的個人信息是否為統(tǒng)計型結(jié)果；—去標識化后的個人信息是否能夠達到使用目的；—匿名化和去標識化后的個人信息使用場景；—如委托第三方進行去標識化或匿名化時，需評估其采用的方案及數(shù)據(jù)安全保障能力；—能否在公開渠道或數(shù)據(jù)交易組織獲得類似的個人信息；—未經(jīng)去標識化或匿名化處理保留的個人信息類型和內(nèi)容的特殊性。A.5個人信息委托處理、轉(zhuǎn)讓、共享或公開披露前的影響評估在對個人信息進行委托處理、轉(zhuǎn)讓、共享和公開披露前，開展個人信息安全影響評估，評估的內(nèi)容包括但不限于以下方面：—個人信息的類型、數(shù)量、敏感程度等；—是否向個人信息主體告知了轉(zhuǎn)讓、共享、公開披露的基本情況，并征得個人信息主體的明示授權(quán)同意；—數(shù)據(jù)發(fā)送方的安全管理保障和安全技術(shù)保障能力；—數(shù)據(jù)接收方的安全管理保障和安全技術(shù)保障能力（不包括公開披露—數(shù)據(jù)接收方可能會開展的個人信息處理活動，或公開披露的個人信息可能會被使用的個人信息處理場景；—個人信息是否進行過去標識化處理；—發(fā)生個人信息安全事件后的補救措施；—數(shù)據(jù)接收方所能響應(yīng)個人信息主體的請求的范圍，如：訪問、更正、刪除等。A.6確定個人信息安全事件處置方案的評估發(fā)生個人信息安全事件后，組織需及時評估事件可能造成的影響，并采取必要措施控制事態(tài)，消除隱患。評估影響時，可充分考慮以下因素：—個人信息的類型、數(shù)量、敏感程度、涉及的個人信息主體數(shù)量等；—發(fā)生事件的信息系統(tǒng)狀況，對其他互聯(lián)系統(tǒng)的影響；—已采取或?qū)⒁扇〉奶幹么胧┘按胧┑挠行?；—對個人信息主體權(quán)益造成的直接影響和長期影響；—向個人信息主體告知事件的方式和內(nèi)容；—是否達到《國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》等有關(guān)規(guī)定的上報要求。A.7使用自動化決策方式處理個人信息的評估組織在設(shè)計、采用自動化決策方式處理個人信息時，如自動決定個人征信及貸款額度，或用于面試人員的自動化篩選等，需充分考慮對個人權(quán)益產(chǎn)生的不利影響，并在規(guī)劃設(shè)計階段或首次使用前開展個人信息安全影響評估，評估考慮的要素包括：—是否向用戶說明了自動化決策的基本原理或運行機制；—是否定期對自動化決策的效果進行評價；—是否對自動化決策使用的數(shù)據(jù)源、算法等持續(xù)優(yōu)化；—是否向用戶提供針對自動化決策結(jié)果的投訴渠道；—是否支持對自動化決策結(jié)果的人工復(fù)核。GB／T39335—2020附錄B（資料性附錄）高風(fēng)險的個人信息處理活動示例個人信息處理活動自身可能涉及對個人信息主體權(quán)益影響及相應(yīng)風(fēng)險較高的情況下，需開展個人信息安全影響評估，可能產(chǎn)生高風(fēng)險的個人信息處理活動及場景示例見表B.1。表B.1高風(fēng)險的個人信息處理活動及場景示例個人信息處理活動場景示例數(shù)據(jù)處理涉及對個人信息主體的評價或評分，特別是對個人信息主體的工作表現(xiàn)、經(jīng)濟狀況、健康狀況、偏好或興趣的評估或預(yù)測示例1：對個人信息主體使用社交網(wǎng)絡(luò)和其他應(yīng)用程序的行為進行分析，以便向其發(fā)送商業(yè)信息或垃圾郵件。示例2：銀行或其他金融組織在提供貸款前使用人工智能算法對個人信息主體進行信用評估，數(shù)據(jù)處理可能涉及與信用評估沒有直接關(guān)聯(lián)的個人信息。示例3：保險公司通過分析香煙、酒精、極限運動、駕駛等偏好數(shù)據(jù)，評估個人信息主體的生活方式、健康狀況等，據(jù)此作出保費設(shè)置的決策。析給出司法裁定或其他對個人有重大影響的決定示例1：在設(shè)置有分段測速或電子收費的道路，建設(shè)有用于流量、道路違規(guī)等行為的檢測系統(tǒng)，特別是能夠自動識別車輛的系統(tǒng)，對駕駛員及其駕駛行為進行詳細的記錄和監(jiān)督，并給出是否違法的判斷。示例2：電商平臺監(jiān)控用戶購物行為，進行用戶畫像，分析用戶的購買偏好和購買能力，設(shè)置針對用戶特定偏好的營銷計劃。個人信息，如在公共區(qū)域監(jiān)在涉及違規(guī)事件分析時才使用的視頻監(jiān)測系統(tǒng)除外示例1：大規(guī)模公共空間監(jiān)測系統(tǒng)，用于人員追蹤，并且能夠收集超出提供服務(wù)范圍的個人信息。示例2：設(shè)置在工作場所的IT監(jiān)測系統(tǒng)，監(jiān)控員工的電子郵件、所使用的應(yīng)用程序等，用于分析員工工作時間及使用工具（如電子郵件、互聯(lián)網(wǎng)）的情況。d)收集的個人敏感信息數(shù)量、高，與個人經(jīng)歷、思想觀點、健康、財務(wù)狀況等密切相關(guān)示例1：通過智能手表、手環(huán)、制服、頭盔或其他移動設(shè)備持續(xù)收集或監(jiān)控個人信息主體的活動、健康相關(guān)數(shù)據(jù)。示例2：通過健身手環(huán)或智能手機中的傳感器持續(xù)收集或監(jiān)控用戶運動、健康相關(guān)數(shù)據(jù)，通過數(shù)據(jù)分析和處理提供定制化的健身建議或改善訓(xùn)練流程的服務(wù)。e)數(shù)據(jù)處理的規(guī)模較大，如涉及100萬人以上、持續(xù)時間久、在某個特定群體的占比超過涵蓋的地理區(qū)域廣泛或較集中等示例1：社交網(wǎng)絡(luò)、在線瀏覽器、有線電視訂閱服務(wù)大規(guī)模收集用戶瀏覽網(wǎng)站、購買記錄、觀看記錄、收聽記錄等數(shù)據(jù)。示例2：百貨商店、購物中心或其他類似營業(yè)場所中，通過收集路人和顧客的GPS、藍牙或移動通信信號，對客流情況進行監(jiān)測，跟蹤顧客的購物路線和購物習(xí)慣。f)對不同處理活動的數(shù)據(jù)集進行匹配和合并，并應(yīng)用于業(yè)務(wù)示例1：基于防欺詐或風(fēng)險管控目的，電商平臺合并處理不同來源的數(shù)據(jù)集，以便根據(jù)分析或測試結(jié)果顯示的風(fēng)險值采取相應(yīng)管控措施。示例2：電商平臺、零售商店通過分析顧客的購物、優(yōu)惠券使用等行為數(shù)據(jù)，結(jié)合顧客的信用數(shù)據(jù)、第三方和社交網(wǎng)絡(luò)數(shù)據(jù)等，獲得提高銷售額的營銷策略。GB／T39335—2020個人信息處理活動場景示例g)數(shù)據(jù)處理涉及弱勢群體的，如未成年人、病人、老年人、低收入人群等示例1：能夠連接網(wǎng)絡(luò)的智能玩具收集兒童玩耍的音頻、視頻數(shù)據(jù)，或收集兒童的年齡、性別、位置等信息。示例2：在遠程醫(yī)療場景中，醫(yī)生通過網(wǎng)站或應(yīng)用程序與患者進行視頻通話，通過各類傳感器收集分析患者的血糖、血氧等健康數(shù)據(jù)。聯(lián)網(wǎng)、人工智能等示例1：通過人工智能提供客戶服務(wù)或支持，呼叫中心利用人工智能技術(shù)處理呼叫者的音頻數(shù)據(jù)，自動評估呼叫者的心情，并根據(jù)評估結(jié)果確定與呼叫者的溝通方式或向呼叫者提供的建議。示例2：健身俱樂部、酒店等入口控制系統(tǒng)，指紋支付或刷臉支付等支付程序，通過收集和處理個人信息主體的個人生物識別信息，判斷是否擁有進入某些區(qū)域、使用某些功能的權(quán)限。i)處理個人信息可能導(dǎo)致個人信息主體無法行使權(quán)利、使用服務(wù)或得到合同保障等示例1：提供貸款、信貸、分期付款銷售的實體通過收集、處理包含有債務(wù)人或類似個人信息主體的數(shù)據(jù)庫信息，針對潛在客戶制定信貸決策。判斷個人信息處理活動是否與上述場景相關(guān)，需考慮貫穿數(shù)據(jù)映射分析、合規(guī)差距分析等過程，一旦涉及上述情形，可針對以上場景評估影響和風(fēng)險，同時重視個人信息主體代表等相關(guān)方的咨詢意見，保障評估的準確性。GB／T39335—2020（資料性附錄）個人信息安全影響評估常用工具表以下工具表（表C.1~表C.5)均為資料性工具，供組織進行評估時選取參考。工具表以個人信息處理活動／場景／特性或組件為維度，各表可基于此項進行整合或分開處理。建議組織采取IT化／自動化處理方式進行影響評估。基于處理活動／場景／特性或組件的個人信息映射表個人信息處理活組件個人信息個人信息主體個人信息收目的個人信息處理的合法事由個人信息個人信息是否涉及是否涉及第三方共享5)處理活動A處理活動B處理活動C個人信息處理活組件相關(guān)個人信息項收集來源收集方式存儲方式/加密措施傳輸方式/加密措施存儲期限化方式處理活動A6)處理活動B處理活動C安全事件可能性分析表個人信息處理活動/場景／特性或組件風(fēng)險源維度產(chǎn)生風(fēng)險的原因／存在的問題相關(guān)證據(jù)安全事件發(fā)生可能性處理活動A網(wǎng)絡(luò)環(huán)境和技術(shù)措施個人信息處理流程參與人員與第三方業(yè)務(wù)特點和規(guī)模及安全態(tài)勢1)具體字段請詳細列舉。2)涉及聯(lián)合控制者的，請詳細列舉并說明。3)涉及多個處理者的，請詳細列舉并說明。4)如涉及，請?zhí)顚懕鞢.3相關(guān)內(nèi)容。5)如涉及，請?zhí)顚懕鞢.3相關(guān)內(nèi)容。6)此處可分為多行填寫（每一行對應(yīng)一項個人信息字段也可合并處理。GB／T39335—2020續(xù)）個人信息處理活動/場景／特性或組件風(fēng)險源維度產(chǎn)生風(fēng)險的原因／存在的問題相關(guān)證據(jù)安全事件發(fā)生可能性處理活動B表C.4安全風(fēng)險評估及整改措施表個人信息處理活動/或組件風(fēng)險源維度產(chǎn)生風(fēng)險的的問題安全事件發(fā)生可能性等級對個人權(quán)益產(chǎn)生的影響維度影響程度風(fēng)險描述及等級相關(guān)責(zé)任方與風(fēng)險處置建議整改效果驗證及歸檔情況處理活動A技術(shù)措施限制個人自主決定權(quán)引發(fā)差別性待遇個人名譽受損或遭受精神壓力人身財產(chǎn)受損個人信息處理流程參與人員與第三方業(yè)務(wù)特點和規(guī)模及安全態(tài)勢處理活動B注：評估過程中僅需體現(xiàn)識別出的風(fēng)險源維度及對個人權(quán)益產(chǎn)生的影響維度，可不體現(xiàn)本標準所列舉所有維度。組織針對特定個人信息處理活動開展具體的風(fēng)險分析時，可參考表C.5簡化評估過程，首先，從識別的風(fēng)險源維度出發(fā)，分析可能發(fā)生的安全事件及其可能性，同時，按照影響程度類型，分析對個人信息主體權(quán)益的影響程度，如果兩者存在交叉，則可參考表D.5得出風(fēng)險等級，并簡要說明存在風(fēng)險的原因。GB／T39335—2020表C.5特定個人信息處理活動的安全風(fēng)險評估表影響方面限制個人自主決定權(quán)引發(fā)差別性待遇名譽受損或精神壓力人身財產(chǎn)受損風(fēng)險等級原因說明風(fēng)險等級原因說明風(fēng)險等級原因說明風(fēng)險等級原因說明網(wǎng)絡(luò)環(huán)境和技術(shù)措施個人信息處理流程參與人員與第三方業(yè)務(wù)特點和規(guī)模及安全態(tài)勢GB／T39335—2020附錄D（資料性附錄）個人信息安全影響評估參考方法D.1評估安全事件發(fā)生的可能性安全事件可能性等級評價可采用定性、半定量和定量的方式。安全事件可能性等級判定準則見表D.1安全事件可能性等級判定準則可能性描述可能性等級采取的措施嚴重不足，個人信息處理行為極不規(guī)范，安全事件的發(fā)生幾乎不可避免很高采取的措施存在不足，個人信息處理行為不規(guī)范，安全事件曾經(jīng)發(fā)生過或已經(jīng)在類似場景下被證實發(fā)生過高采取了一定的措施，個人信息處理行為遵循了基本的規(guī)范性原則，安全事件在同行業(yè)、領(lǐng)域被證實發(fā)生過中采取了較有效的措施，個人信息處理行為遵循了規(guī)范性最佳實踐，安全事件還未被證實發(fā)生過低以定性方式為例，可從“網(wǎng)絡(luò)環(huán)境和技術(shù)措施”“處理流程規(guī)范性”“參與人員與第三方”“安全態(tài)勢及 業(yè)務(wù)特點”等方面，依據(jù)表D.1的判定準則，對安全事件可能性等級進行評價?？赡苄缘燃壏譃椤昂芨摺北鞤.2可能性判定表可能性描述可能性等級網(wǎng)絡(luò)環(huán)境與互聯(lián)網(wǎng)及大量信息系統(tǒng)有交互現(xiàn)象，基本上未采取安全措施保護個人信息安全很高該個人信息處理行為為常態(tài)、不間斷的業(yè)務(wù)行為，該行為已經(jīng)對個人主體的權(quán)益造成了影響，或收到了大量相關(guān)的投訴，并引起了社會關(guān)注任意人員可接觸到個人信息，對第三方處理個人信息的范圍無任何限制，或已出現(xiàn)第三方濫用個人信息的情形威脅引發(fā)的相關(guān)安全事件已經(jīng)被本組織發(fā)現(xiàn)，或已收到監(jiān)管部門發(fā)出的相關(guān)風(fēng)險警報網(wǎng)絡(luò)環(huán)境與互聯(lián)網(wǎng)及其他信息系統(tǒng)有較多交互現(xiàn)象，采取的安全措施不夠全面高該個人信息處理行為為常態(tài)、不間斷的業(yè)務(wù)行為，個人信息處理行為不規(guī)范，且收到了相關(guān)的投訴對處理個人信息相關(guān)人員的管理松散，管理制度無落實的記錄，未對第三方處理個人信息的范圍提出相關(guān)要求威脅引發(fā)的相關(guān)安全事件曾經(jīng)在組織內(nèi)部發(fā)生過，或已在合作方中發(fā)生，或收到過權(quán)威組織發(fā)出的相關(guān)風(fēng)險預(yù)警信息，或處理個人信息的規(guī)模超過1000萬人GB／T39335—2020可能性描述可能性等級網(wǎng)絡(luò)環(huán)境與互聯(lián)網(wǎng)及其他信息系統(tǒng)有交互現(xiàn)象，采取了一定的安全措施中該個人信息處理行為為常態(tài)業(yè)務(wù)行為，個人信息處理行為規(guī)范性欠缺，且合作伙伴或同領(lǐng)域其他組織收到過相關(guān)的投訴有相關(guān)的管理制度，對人員提出了管理要求，對第三方處理個人信息的范圍提出限制條件，但相應(yīng)的管理和監(jiān)督效果不明威脅引發(fā)的相關(guān)安全事件已經(jīng)被同領(lǐng)域其他組織發(fā)現(xiàn)，或在專業(yè)組織相關(guān)報告中被證實已出現(xiàn)，或處理個人信息的規(guī)模超過100萬人網(wǎng)絡(luò)環(huán)境比較獨立，交互少，或采取了有效的措施保護個人信息安全低該個人信息處理行為非常態(tài)業(yè)務(wù)行為，個人信息處理行為符合規(guī)范，幾乎沒有出現(xiàn)關(guān)于該行為的投訴有完善的管理機制，對人員的管理和審核比較嚴格，與第三方合作時提出有效的約束條件并進行監(jiān)督威脅引發(fā)的安全事件僅被專業(yè)組織所預(yù)測評估過程中，可根據(jù)事件自身的性質(zhì)估計和經(jīng)驗數(shù)據(jù)評估其可能性，再根據(jù)組織所實施的針對性安全控制措施、相關(guān)事件處置經(jīng)驗對可能性進行修正。比如，個人信息處理的規(guī)模超過1000萬人，但有完備的、針對性的個人信息保護措施和應(yīng)急機制，或者已具備類似事件處置的經(jīng)驗，并得到了個人信息主體的認同，則安全可能性等級可降低一個級別。在進行修正時需要具體說明修正的理由，必要時可咨詢外部專業(yè)組織保證修正過程的合理性。D.2評估個人信息主體權(quán)益影響程度個人權(quán)益影響程度評價可采用定性、半定量和定量的方式。個人權(quán)益影響程度判定準則見表D.3。表D.3個人權(quán)益影響程度判定準則影響描述影響程度個人信息主體可能會遭受重大的、不可消除的、可能無法克服的影響，如遭受無法承擔的債務(wù)、失去工作能力、導(dǎo)致長期的心理或生理疾病、導(dǎo)致死亡等嚴重個人信息主體可能遭受重大影響，個人信息主體克服難度高，消除影響代價大，如遭受詐騙、資金被盜用、被銀行列入黑名單、信用評分受損、名譽受損、造成歧視、被解雇、被法院傳喚、健康狀況惡化等高個人信息主體可能會遭受較嚴重的困擾，且克服困擾存在一定的難度，如付出額外成本、無法使用所提供的服務(wù)、造成誤解、產(chǎn)生害怕和緊張的情緒、導(dǎo)致較小的生理疾病等中個人信息主體可能會遭受一定程度的困擾，但尚可以克服，如