PIA（个人信息保护影响评估，在国家标准中也被表述为“个人信息安全影响评估”）是数据合规的 “生命线”。截至2026年3月，国内已有多起因未做PIA而被处罚的案例。本文收集几起国内典型PIA处罚案例并汇总需要进行PIA的法定场景，并简要介绍PIA的有关流程和注意事项。

案例一：某AI服务公司被处罚案

2025年9月，公安网安部门在“护网—2025”专项工作中发现，某主营业务为对外提供人工智能模型训练基础数据（算料）的科技有限公司，在处理人脸等生物识别类敏感个人信息前，未按《个人信息保护法》有关规定进行个人信息保护影响评估。属地公安机关依据《个人信息保护法》规定，对该公司依法予以行政处罚，并责令整改。

案例二：上海某科技有限公司违法违规收集人脸信息案

网信部门工作发现，该企业运营的自动售货机存在违法违规收集人脸信息等问题。经查，该企业运营的自动售货机在用户支付环节存在未经同意收集人脸信息等问题，同时该企业存在未建立个人信息保护影响评估制度、相关系统存在SQL注入高危漏洞等问题，违反《网络安全法》《个人信息保护法》《网络数据安全管理条例》等法律法规规定。属地网信办已依法责令其改正，并予以警告处罚。

上述两起典型处罚案例，均聚焦个人信息保护影响评估（PIA）相关违规行为，呈现了未履行PIA义务的多样表现与统一后果——在处理人脸等敏感个人信息、向境外传输用户信息等情形下，必须先完成PIA。结合这些典型案例，本文进一步明确：哪些场景必须开展PIA及企业如何规范履行PIA义务，才能防范此类处罚、保障企业数据安全与合规。

《个人信息保护法》第五十五条对需要进行个人信息保护影响评估的情形做出了明确规定：“有下列情形之一的，个人信息处理者应当事前进行个人信息保护影响评估，并对处理情况进行记录：（一）处理敏感个人信息；（二）利用个人信息进行自动化决策；（三）委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息；（四）向境外提供个人信息；（五）其他对个人权益有重大影响的个人信息处理活动。”

《GB/T 39335-2020信息安全技术个人信息安全影响评估指南》（以下简称“PIA指南”）第3.4条：“个人信息保护影响评估，具体指针对个人信息处理活动，检验其合法合规程度，判断其对个人信息主体合法权益造成损害的各种风险，以及评估用于保护个人信息主体的各项措施有效性的过程。”

《GB/T 35273-2020信息安全技术个人信息安全规范》中对其做了细化规定：“对个人信息控制者的要求包括：应建立个人信息安全影响评估制度，评估并处置个人信息处理活动存在的安全风险......在产品或服务发布前，或业务功能发生重大变化时，应进行个人信息安全影响评估。在法律法规有新的要求时，或在业务模式、信息系统、运行环境发生重大变更时，或发生重大个人信息安全事件时，应进行个人信息安全影响评估......形成个人信息安全影响评估报告。”

此外，《PIA指南》中对开展个人信息安全影响评估的场景进行了补充，规定了在法律法规、政策标准、业务模式、外部环境等发布了重大变化或发生重大个人信息安全事件后应当重新进行评估：

图1:《PIA指南》中规定的需要开展PIA的情形

注：根据网信办2026年4月3日发布的《小型个人信息处理者个人信息保护简化措施规定（征求意见稿）》第十五条，对小型个人信息处理者可以依照《小型个人信息处理者个人信息保护影响评估表》的简便方式开展个人信息保护影响评估，并保存影响评估表至少三年。

《个人信息保护法》第五十六条：“个人信息保护影响评估应当包括下列内容：（一）个人信息的处理目的、处理方式等是否合法、正当、必要；（二）对个人权益的影响及安全风险；（三）所采取的保护措施是否合法、有效并与风险程度相适应。”

图2: 个人信息保护影响评估的基本原理图

《PIA指南》中对PIA的流程进行了具体规定：开展评估前，需对待评估的对象(某项产品、某类业务、某项具体合作等)进行全面的调研，形成清晰的数据清单及数据映射图表(data flow charts)，并梳理出待评估的具体的个人信息对个人信息主体的权益可能造成的影响及其程度，以及分析安全措施是否有效、是否会导致安全事件发生及其可能性，综合两方面结果得出个人信息处理活动的安全风险及风险等级，并提出相应的改进建议，形成评估报告。

图3: PIA的九个步骤

其中，数据映射分析、风险源识别、个人权益影响分析和安全风险综合分析是核心步骤。

数据映射分析

数据映射分析阶段需结合个人信息处理的具体场景。调研内容包括个人信息收集、存储、使用、转让、共享、删除等环节涉及的个人信息类型、处理目的、具体实现方式等，以及个人信息处理过程涉及的资源(如内部信息系统)和相关方(如个人信息处理者、平台经营者、外部服务供应商、云服务商等第三方)。调研过程中尽可能考虑已下线系统、系统数据合并、企业收购、并购及全球化扩张等情况。梳理数据映射分析的结果时，根据个人信息的类型、敏感程度、收集场景、处理方式、涉及相关方等要素，对个人信息处理活动进行分类，并描述每类个人信息处理活动的具体情形，便于后续分类进行影响分析和风险评价。

图4：开展数据映射分析可以参考的工具表

风险源识别

风险源识别是为了分析个人信息处理活动面临哪些危险源及是否缺乏足够的安全措施，包括恶意人员导致的数据被窃取、工作人员无意中导致的数据泄露、物理原因导致的数据泄露、篡改、丢失等事件，也包括管理不当引起的滥用等事件。

影响个人信息安全的风险要素可以归为四大类：

1.网络环境和技术措施：系统网络环境、数据交互方式、身份鉴别、边界防护、日志审计、加密传输、应急机制、备份恢复等技术防护能力。

2.个人信息处理流程：敏感信息判定、收集目的合法性、告知同意合规性、最小必要原则落实、用户权利保障、存储期限管控、匿名化有效性、投诉维权渠道等流程。

3.参与人员与第三方：个人信息保护负责人履职、内部管理制度、人员保密与培训、第三方合同约束、定期审计监督等管理措施。

4.业务特点和规模及安全态势：结合业务对个人信息的依赖度、处理规模、历史安全事件、监管动态、外部攻击态势等，综合评估业务场景的固有风险与外部环境风险。

个人权益影响分析

个人权益影响分析指分析特定的个人信息处理活动是否会对个人信息主体合法权益产生影响以及可能产生何种影响。个人权益影响概括可分为“限制个人自主决定权”“引发差别性待遇”“个人名誉受损或遭受精神压力”“人身财产受损”四个维度:

1.限制个人自主决定权，例如被强迫执行不愿执行的操作、缺乏相关知识或缺少相关渠道更正个人信息、无法选择拒绝个性化广告的推送、被蓄意推送影响个人价值观判断的资讯等；

2.引发差别性待遇，例如因疾病、婚史、学籍等信息泄露造成的针对个人权利的歧视，因个人消费习惯等信息的滥用而对个人公平交易权造成损害等；

3.个人名誉受损或遭受精神压力，例如被他人冒用身份、公开不愿为人知的习惯、经历等，被频繁骚扰、监视追踪等；

4.人身财产受损.例如引发人身伤害、资金账户被盗、遭受诈骗、勒索等。

安全风险综合分析

图 5 安全风险评估及整改措施可以参考的工具表

在完成上述步骤后，企业可编制并发布评估报告，针对风险处置进行定期改进。