银行保险机构数据安全管理办法（2024年）第五十八条

第六章个人信息保护

第五十八条银行保险机构在开展涉及对个人权益有重大影响的个人信息处理活动时，应当进行个人信息保护影响评估，评估内容包括个人信息处理的合法性、必要性，对个人权益的影响及安全风险，所采取的保护措施合法性、有效性以及是否与风险程度相适应。个人信息保护影响评估报告和处理情况记录应当至少保存三年。