个人信息保护影响自评估（PIA）平台介绍

01.平台整体介绍

个人信息保护影响自评估平台（以下简称PIA自评估平台）是深圳市网安计算机安全检测技术有限公司数据合规评估中心联合北源律师事务所，依据《中华人民共和国个人信息保护法》、《GB/T 39335-2020 信息安全技术 个人信息安全影响评估指南》等法规要求和国家标准基本原理，委托安证集团元宇宙实验室开发的一站式个人信息保护影响自评估平台，平台可协助企事业单位开展自检自查，落实个人信息保护的合法合规基本义务，出具个人信息保护影响自评估报告，满足法律法规的要求。

PIA自评估平台为企业提供的自评估服务中，包括速评版、深度版、算法版、行业版，目前平台主要提供速评版、深度版服务，算法版、行业版正在完善中。平台不仅提供自评估服务，还提供数据台账管理、风险管理、数据保全等功能。

数据保全服务是深圳市网安计算机安全检测技术有限公司依托安证集团的安证第三方电子数据保全服务平台为自评估用户提供的服务，用户通过PIA自评估平台进行评估，并出具PIA自评估报告。评估过程中的过程文档还可以通过PIA自评估平台的数据保全服务进行数据保全，证明当前自评估报告的结果与过程文档是相关联的，不存在过程文档被篡改的可能。通过数据保全服务的数据不出库的实现机制还能最大程度的保障企业评估过程数据的安全性。

02.平台研发背景

《中华人民共和国个人信息保护法》第五十五条规定，当个人信息处理者存在处理敏感个人信息或利用个人信息进行自动化决策或委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息或向境外提供个人信息或其他对个人权益有重大影响的个人信息处理活动情形时，个人信息处理者应当事前进行个人信息保护影响评估，并对处理情况进行记录，个人信息保护影响评估报告和处理情况记录应当至少保存三年。个人信息保护影响企事业单位自行手动评估工作量庞大，涉及部门繁杂，评估记录保存零散。针对以上困难点，我司经过技术部门、研发部门、合作律所等相关部门和单位研发了本平台。并且响应《中华人民共和国个人信息保护法》第五十五条规定个人信息保护影响评估报告和处理情况记录应当至少保存三年的要求，PIA自评估平台将对评估报告和用户上传的信息免费保存三年。

个人信息保护影响自评估报告与评估过程的文档记录如何匹配？安证合规集团通过安证第三方电子数据保全服务平台进行数据保全，该平台依托于司法证据联盟链（安证链），能够证明当前自评估报告的结果与过程文档是相关联的，防止报告与过程文档被篡改的可能。（安证链是基于成熟的区块链以太坊定制化开发、目前依托中国电信天翼云亚森机房、市经侦、市司法局、市政法委、前海法院、安证司法鉴定所等节点形成的安证联盟链，是安证云第三方电子保全服务应用平台数据底层支撑）。

03.速评版简介

速评版使用简单明了，其依据《GB/T 39335-2020 信息安全技术 个人信息安全影响评估指南》的基本内容，不涉及产品/服务的业务流程，该版本能快速识别出大致风险，并自动提供风险处置建议，企事业单位能识别基本的法规风险和安全风险。 

04.深度版简介

深度版自评估将测评项根据数据生命周期（收集、传输、存储、使用、交换、销毁）的6个环节进行划分。企事业单位可深度了解评估对象所涉及的个人信息在数据生命周期的每个环节面临的风险及合规差距。深度版的评估依据在《GB/T 39335-2020 信息安全技术 个人信息安全影响评估指南》的基础上，参考了国家标准《GB/T 35273-2020 信息安全技术 个人信息安全规范》《GB/T 22239-2019 信息安全技术 网络安全等级保护测评基本要求》及团标《T/CLAST 002-2021个人信息处理法律合规性评估指引》的相关内容，评估范围和内容较速评版有了本质的区别，该版本还提供相应的数据保全服务。

用户进入深度版评估工作，需填写基础信息、评估信息等，然后根据被评估对象的个人信息数据生命周期实际情况完成采集环节、传输环节、存储环节、使用环节、交换环节、销毁环节的评估内容，用户可自行选择是否采用数据保全服务或者自行对评估过程记录的真实性和有效性采取相应的措施，若用户选择使用数据保全服务，用户可根据评估项内容准备相应的证据，待在存证上传环节进行数据保全。自评估完成后可在线或者下载自评估报告，且平台根据用户填写的具体信息自动生成个人信息数据流程图。 

06.PIA自评估平台使用介绍

目前速评版、深度版均免费开放使用，但是需要用户完成账号注册。注册账户后根据自身需求可从首页中选择进行速评版或深度版评估，速评版仅需填写单位名称及被评估对象的基本信息，然后完成四个维度的自评估检测即可，填写完毕后用户可在线查询自测结果或者下载速评版自评估报告。

07.PIA自评估平台核心算法模型介绍

目前市场上推出的产品目前多为数据合规评估，未针对个人信息保护影响评估形成风险计算方法和模型。其产品多以问卷调查形式呈现，在使用过程中，在整个评估过程主要是通过用户回答“是”、“否”、“不适用”，最终给与组织出具一份评估报告。但是最终的风险评判没有针对性，其风险结论由平台根据评估项给与指定的风险值。

从需求分析来看，《中华人民共和国个人信息保护法》要求满足相应条件的组织进行个人信息保护影响评估，但部分组织缺乏专业人员未能有效的开展个人信息保护影响评估工作。该风险评估模型仅需要参与评估的人员对组织现状进行基础信息的填写以及相应的判定，从而通过个人信息保护影响评估计算模型得出相应的风险值，能让个人信息保护影响评估工作更加有效。因此我司根据上述情况研发了一套个人信息保护影响风险计算的方法和模型，建立了新的个人信息保护影响评估风险计算模型，增加了影响因素、改进了影响因素间的算法方式、创建了各维度及最终整个评估对象风险评定方式，为用户提供更加精准、直观的风险评定结果。本专利去年提交了专利申请，根据今天查询的进度结果为受理。

08.PIA自评估平台应用案例介绍

我司与相关配合部门合作伙伴为客户提供PIA自评估平台，可进行个人信息影响保护自评估【一年使用期】；提供技术和法律双线相关的远程辅导和咨询服务，协助用户完成测评工作；提供自评估合规结果固证，生成固证证书；提供全年数据合规立法司法执法等资讯。

应用客户案例截取了部分企业：

Ø  五羊-本田摩托（广州）有限公司

Ø  本田汽车零部件制造有限公司

Ø  新大洲本田摩托（苏州）有限公司

Ø  海纳新思智行服务有限公司

Ø  本田摩托车研究开发有限公司

Ø  本田技研科技（中国）有限公司

Ø  国投瑞银基金管理有限公司