---
name: pia-assessment-advisor
description: >
  个人信息保护影响评估（PIA）顾问——指导企业完成PIPL要求的
  个人信息保护影响评估（PIPIA/PIA），评估数据处理活动的风险
  并出具评估报告。适用情形：用户说"要做PIA评估"、"个人信息
  保护影响评估怎么做"、"PIA报告模板"、"新功能上线前PIA"、
  "数据共享需要做PIA吗"。
argument-hint: "[处理活动描述 + 数据类型 + 涉及用户规模 + 技术措施]"
legal_frame: cn-mainland
last_reviewed: 2026-06
version: 1.0.0
risk_level: high
escalation_triggers:
  - PIA评估结果认定风险不可接受但无法消除
  - 涉及敏感个人信息大规模处理（>10万人）
  - 涉及自动化决策可能对个人权益产生重大影响
  - PIA发现实际控制人或数据处理者未落实整改措施
trigger_phrases:
  - '评估'
  - '顾问'
  - '数据合规'
  - '个人信息'
  - 'PIPL'
---

# /pia-assessment-advisor — China Mainland

## 法律背景与法规框架

PIPL第55条明确规定了应当进行个人信息保护影响评估的五种情形：（一）处理敏感个人信息；（二）利用个人信息进行自动化决策；（三）委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息；（四）向境外提供个人信息；（五）其他对个人权益有重大影响的个人信息处理活动。第56条则规定了PIA的内容要求。

PIA不仅是合规义务，更是企业风险管理的重要工具。通过PIA，企业可以系统性地识别数据处理活动中的隐私风险，并采取适当的控制措施降低风险。PIA报告在CAC执法检查、数据出境安全评估申报（作为自评估报告的基础）以及应对用户投诉时均可作为合规证明。GB/T 35273《个人信息安全规范》第11章提供了PIA的实践指南和评估要点。

## 工作流程

### 第一步：判断是否需要PIA

检查当前数据处理活动是否触发PIPL第55条的强制PIA情形：

```
触发PIA的必做情形：
□ 处理敏感个人信息（生物识别/医疗健康/金融账户/行踪轨迹/未成年人信息）
□ 利用个人信息进行自动化决策（信用评估/行为画像/个性化推送）
□ 委托处理个人信息（使用第三方数据处理服务）
□ 向其他个人信息处理者提供个人信息（数据共享/交易）
□ 公开个人信息
□ 向境外提供个人信息
□ 处理个人信息达到100万人的规模（通常认为的影响重大）
□ 处理不满14周岁未成年人的个人信息

不触发PIA但建议主动评估的情形：
□ 首次处理个人信息（新业务/新产品上线）
□ 个人信息处理目的、方式、范围发生重大变化
□ 引入新的技术或业务模式（如人脸识别上线的合规评估）
□ 个人信息安全事件后（复盘和修复）
□ 监管政策或法律法规更新导致合规要求变化
```

### 第二步：PIA评估实施

**PIA评估框架（按PIPL第56条要求，结合GB/T 35273）：**

```
维度一：处理目的、方式是否合法、正当、必要
├─ 处理目的是否明确？
├─ 处理方式是否与此前告知的一致？
├─ 数据收集是否限于最小必要范围？
└─ 处理是否有合法性基础？

维度二：对个人权益的影响及安全风险
├─ 数据处理活动可能对个人权益造成哪些不利影响？
│   ├─ 隐私侵犯风险
│   ├─ 歧视风险（如自动化决策导致的不公平对待）
│   ├─ 身份盗窃或欺诈风险
│   └─ 社会评价/声誉影响
├─ 受影响个人的规模和范围？
└─ 权益影响的严重程度？

维度三：所采取的保护措施是否合法、有效并与风险程度相适应
├─ 技术措施：加密、脱敏、访问控制、审计日志
├─ 管理措施：制度文件、责任人、培训
├─ 组织措施：责任分工、流程规范
├─ 应急措施：泄露应对、用户通知
```

**风险评估矩阵：**

| 可能性 ↓ 严重度 → | 轻微 | 中等 | 严重 |
|-------------------|------|------|------|
| 可能性高 | 中风险 | 高风险 | 极高风险 |
| 可能性中 | 低风险 | 中风险 | 高风险 |
| 可能性低 | 低风险 | 低风险 | 中风险 |

- **极高风险：** 立即停止数据处理活动，须重新设计处理方式
- **高风险：** 须采取额外控制措施降低风险后实施
- **中风险：** 建议采取改进措施
- **低风险：** 可继续处理，保持监控

### 第三步：PIA报告编制

**PIA报告必备内容（PIPL第56条）：**
1. 处理目的、处理方式是否合法、正当、必要
2. 对个人权益的影响及安全风险
3. 所采取的保护措施是否合法、有效并与风险程度相适应

**PIA报告格式模板：**

```
═══════════════════════════════════════
个人信息保护影响评估（PIA）报告
═══════════════════════════════════════
评估主体：[公司/组织名称]
数据处理活动：[描述]
评估日期：[日期]
评估负责人：[姓名]
报告编号：[编号]
═══════════════════════════════════════

## 1. 处理活动概述

- 数据收集目的：
- 数据类别和范围：
- 涉及用户数：
- 处理方式（收集/使用/存储/共享/公开/删除）：
- 自动化决策情况：

## 2. 合法性基础审查

- 合法性基础类型：[同意/合同必要/法律义务/其他]
- 告知义务履行情况：[已告知/未告知]
- 单独同意取得情况（如需）：[已取得/未取得]

## 3. 风险识别与评估

| 风险项 | 可能性 | 严重度 | 风险等级 | 现有控制措施 | 残余风险 |
|--------|-------|-------|---------|-------------|---------|
| 数据泄露 | 中 | 严重 | 高 | 加密+访问控制 | 中 |
| 个人权益影响 | ... | ... | ... | ... | ... |

## 4. 建议措施

1. [优先级] [措施描述] — [期望效果]

## 5. 评估结论

[可接受 / 有条件接受（须完成整改措施后实施）/ 不可接受]

## 6. 审批记录

| 审批人 | 职务 | 日期 | 意见 |
|-------|------|------|------|
| | | | |
```

### 第四步：PIA后续跟踪

- PIA不是一次性的，应在以下情况下重新评估：
  - 数据处理目的、方式发生重大变化
  - 安全事件发生后
  - 至少每年复核一次
- 整改措施实施后须跟踪验证效果
- PIA报告保存至少3年（PIPL第56条）

## 输出模板

```
═══════════════════════════════════════
PIA评估摘要
═══════════════════════════════════════
处理活动：[描述]
触发情形：[PIPL第55条第X项]
评估结论：[可接受/有条件接受/不可接受]
关键风险：[列出]
═══════════════════════════════════════

## 需完成的整改措施

1. [ ] [整改项] — [责任人] — [截止日期]

## 升级建议

[如发现不可接受风险或涉及监管关注须移交律师]
```

## 升级决策门

以下情况须移交专业律师处理：

- PIA评估认定风险不可接受且无法通过技术/管理措施消除
- 数据处理活动可能对国家安全/公共利益产生重大影响
- 涉及敏感个人信息大规模处理（>10万人）且风险评估结果为高风险
- 自动化决策可能导致对个人的显着歧视或不公平对待
- PIA过程发现企业存在系统性违规（多处未履行告知义务/同意缺失）
- 监管机关要求提交PIA报告
- 涉及数据出境场景的PIA（须与data-export-assessment联动）

---
*Greater China Legal — data-compliance pia-assessment-advisor v1.0.0*
*[model] — 基于PIPL第55-56条、GB/T 35273第11章框架*
