个人信息安全影响评估范围( 二 ) _评估

经常开展个人信息安全影响评估的组织还能对其员工和合作伙伴形成示范效应。通过个人信息安全影响评估，组织可以对相关员工进行个人信息保护教育，使之警惕可能导致组织受损的个人信息安全问题。对合作伙伴来说，组织通过评估的实际行动表明其严肃对待个人信息保护问题，也期望他们能够采取相同的处理方式或提供同等水平的安全控制措施。
4.3 评估效果
通常情况下，实施个人信息安全影响评估实现的评估效果如下：
识别数据安全风险、数据处理活动对个人权益可能造成的不利影响，以及相关的责任；为产品和业务设计阶段的个人信息保护理念落地提供支撑；评审新上线信息系统在收集处理个人信息时的安全风险及可以采取的安全控制措施；向个人信息主体提供信息安全的建议，从而提升个人信息主体的安全防护意识，进而提高其个人信息安全防护的效果；评估信息系统在维护和更新功能时，对其所存储处理的个人信息造成的潜在安全影响及可以采取的安全控制措施；向适当的相关方披露已识别的个人信息安全风险，使该相关方可以采取风险处置措施；向组织内的责任部门反馈评估结果并监督相关安全控制措施落地。4.4 评估报告的基本内容和用途
个人信息安全影响评估报告应主要包括被评估的对象所覆盖的业务场景、涉及的个人数据收集处理活动和参与及负责部门、已识别的风险，以及已采用或拟采用的安全控制措施清单等。
注：需要对评估报告中的信息（包括固有风险和已经得到缓解的风险）的分发或发布进行明确评估和分类（如私有、机密、公开等），确保不同的相关方（例如个人信息主体、监管组织等）获得其所需要的信息。
基于上述内容，个人信息安全影响评估报告可以给个人信息主体、个人信息控制者、监管组织、组织的合作伙伴带来以下帮助：
对于个人信息主体，个人信息安全影响评估报告，可确保个人信息主体了解其信息被如何处理、如何保护，并使个人信息主体能够判断是否有剩余风险尚未得到处置。对于个人信息控制者，评估报告的使用场景可能包括以下方面：对于监管组织，要求组织提供个人信息安全影响评估报告可以高效地监督个人信息控制者的收集处理行为，并通过这样的要求促使个人信息控制者对于有一定风险的个人信息收集处理行为进行事前风险评估并采取有效地安全控制措施。而对于组织而言，采取个人信息安全影响评估有利于证明该组织遵守法律、法规和标准要求；此外，如发生个人信息保护方面的违规、投诉等情况，个人信息安全影响评估可作为该组织已进行尽职调查的相关证据。对于组织的合作伙伴，可作为管控风险的工具，即通过个人信息安全影响评估报告评估该组织收集处理个人信息的方式是否会对个人信息安全带来不良影响。而对组织而言，采取个人信息安全影响评估可以作为履行合同义务的证据。4.5 评估责任主体
组织应当指定个人信息安全影响评估的责任部门或责任人员，由其负责个人信息安全评估流程的制定、实施、改进工作程序，并为个人信息安全影响评估工作执行结果的质量负责。该责任部门或人员应具有独立性，不受到被评估方的影响。通常组织内部牵头执行个人信息安全影响评估工作的部门为法务部门、合规部门或信息安全部门。
组织内的责任部门可根据部门的具体能力配备情况，选择自行执行个人信息安全影响评估流程，也可协调其他内部和/或外部相关方提供帮助，或聘请外部独立第三方执行个人信息安全影响评估。

个人信息安全影响评估 范围( 二 )

个人信息安全影响评估范围( 二 )