隐私影响评估 (PIA)

对于处理大量敏感个人数据的公司或组织，或者那些实施了涉及收集、处理或共享大量个人数据的隐私侵扰技术的公司，隐私影响是最大的挑战之一。作为其中的一家公司，有责任确保个人隐私得到妥善保护，始终控制并最大限度地降低隐私风险。那么，隐私影响评估（PIA）就是最适合您的工具。

隐私影响评估 (PIA) 是一种广为接受的隐私合规工具，很多公司都会在新业务项目启动前采用该工具。其目的是审查和分析新服务、系统或技术是否可能对个人数据隐私造成风险或重大影响。

从技术上讲，隐私影响评估是在组织更广泛的风险管理框架内，对处理个人身份信息可能产生的隐私影响进行识别、分析、评估、咨询、沟通和规划处理的整体过程。

隐私影响评估（PIA）可作为一种工具，用于：
- 评估处理个人身份信息（PII）的流程、信息系统、程序、软件模块、设备或其他举措对隐私的潜在影响；
- 与利益相关者协商，采取必要行动，处理隐私风险。

隐私影响评估适用于所有参与设计或实施项目的公司和组织，特别是使用公共卫生数据库、数据库链接、监控项目、身份证应用新技术、数据仓库等领域。

• 个人隐私影响评估提供了一种方法，可以发现在处理个人隐私信息时可能产生的隐私风险，从而告知组织应在哪些方面采取预防措施，并在组织进行大量投资之前而不是之后建立有针对性的保障措施。
• 隐私影响评估有助于组织在随后的投诉、隐私审计或合规调查中证明其遵守了相关的隐私和数据保护要求。
• 适当的 PIA 可向组织的客户和/或公民表明，组织尊重他们的隐私，并对他们的关切做出回应。
• 隐私影响评估可加强知情决策，并暴露内部沟通漏洞或对项目隐私问题的隐性假设。
• 隐私影响评估能让企业提前了解流程、信息系统或计划的隐私隐患，而不是让审计人员或竞争对手指出这些隐患。
• 隐私影响评估可以帮助企业赢得公众的信任和信心，让他们相信在设计流程、信息系统或计划时已经考虑到了隐私问题。

PIA 报告应满足两个基本功能。

• 第一项（清单）是让特定的利益相关者了解已确定的受影响实体、受影响环境以及受影响实体生命周期中的隐私风险，无论这些风险是固有的还是已降低的。
• 第二项（行动项目）是对改善和/或解决已识别隐私风险的行动/任务的跟踪机制。应明确评估
  报告信息的分发和发布的敏感性，并对其进行分类（私人、保密、公开等）。

通常情况下，如果组织发现以下情况会对隐私产生影响，则应考虑进行新的或更新的 PIA

• 处理或将要处理 PII 的新技术或预期技术、服务或其他措施、
• 决定处理敏感 PII（参见 ISO/IEC 29100:2011，2.26）、
• 适用的隐私相关法律法规、内部政策和标准的变更、
• 信息系统操作、处理数据的目的和手段、新的或已更改的数据流、等；以及
• 业务扩展或收购。

根据服务范围和特定服务要求，PIA 报告可能涉及以下部分或全部内容：

• 报告结构、
• 评估范围、
• 隐私要求、
• 风险评估、
• 风险处理计划、
• 根据 PIA 结果得出的结论和做出的决定，以及
• 一份 PIA 公开摘要，让 PII 委托人了解与其 PII 有关的计划、信息系统和实施流程的风险程度。

由于每家公司对隐私风险评估都有不同的前提条件和个性化要求，因此隐私影响评估的分析和报告费用不能一次性给出。请联系我们：我们将根据客观的评估结果和您的要求为您量身定制报价。