2025年2月14日,国家互联网信息办公室公布了《个人信息保护合规审计管理办法》(以下简称“《办法》”或“正式稿”)。《办法》自2025年5月1日起施行,目的是规范个人信息保护合规审计(以下简称“合规审计”)活动,保护个人信息权益。《办法》是《中华人民共和国个人信息保护法》(以下简称“《个保法》”)、《网络数据安全管理条例》(以下简称“《网数条例》”)、《未成年人网络保护条例》(以下简称“《未保条例》”)等法律法规中合规审计相关规定的配套法规,是合规审计制度落地的主要抓手。
《办法》的出台,从制度层面完善了事后监管的体系,构成了个人信息保护法规标准体系的重要拼图,标志着我国个人信息保护法规体系从逻辑上基本构建完成。《办法》的施行不仅将推动个人信息处理者建立健全个人信息保护管理制度,加强内部审计和风险防控,提升个人信息保护水平,而且也标志着监管机关的执法思路开始由形式合规向实质合规过渡,即经过数年的过渡期,个人信息保护的执法即将向深水区发展。
我们提示涉及到个人信息处理的企业以及高管和担任信息安全官、合规官、法务官、个人信息保护负责人等职务的同仁高度重视《办法》的施行,并建议相关市场主体在《办法》生效后尽快推动个人信息保护合规审计工作的进行,避免在《办法》施行后因未及时履行该法定义务导致企业和个人受到重大损失。为前述目的,我们总结分析了《办法》的出台背景、主要内容以及合规建议,供相关市场主体及管理人员参考。
鉴于本文内容相对较长,为便于阅读,我们将把本篇文章分为上中下三篇陆续发布。上篇为溯源篇,中篇为规则篇,本篇为下篇实操篇。本篇依托《审计指引》和《审计要求(征求意见稿)》,综合分析并总结了合规审计业务的审计内容、审查证据和审查方法,希望能够对相关业内人士的具体业务起到一定的参考作用。本篇章节以《审计指引》中的26项审查内容为纲,经归类总结而成,具体如下:
· 针对合法性基础的合规审查;
· 针对个人信息权利保障的合规审查;
· 针对告知义务履行情况的合规审查;
· 针对多方数据处理的合规审查;
· 针对利用自动化决策处理个人信息的合规审查;
· 针对敏感个人信息处理的合规审查;
· 针对个人信息出境的合规审查;
· 针对内部措施的合规审查;
· 针对PIA的合规审查;
· 针对安全事件及其应对的合规审查;
· 针对重要互联网平台的合规审查。
但是由于实操的内容仍然过于庞杂,所以我们不会对每种类型的合规审查的审查证据和审查方法均做全面的介绍,仅会在每种类型中选择一两项做示范性说明,但我们会尽量以表格的形式将审查内容罗列出来,以便参考。
一、 对合法性基础的合规审查
针对合法性基础的合规审查,《审计指引》规定了多项审查内容,但是原则上可以区分为基于同意的合法性基础和非基于同意的合法性基础。
所属类型、《审计指引》对应条文及审计内容如下表所示:
|
类型 |
《审计指引》对应条文 |
审计要点 |
|
基于同意的合法性基础 |
二、对合法性基础进行审计的 |
1.基于个人同意处理个人信息的,是否取得个人同意,该同意是否由个人在充分知情的前提下自愿、明确作出; |
|
2.基于个人同意处理个人信息的,个人信息的处理目的、处理方式、处理的个人信息种类发生变更的,是否重新取得个人同意; |
||
|
3.基于个人同意处理个人信息的,是否依照法律、行政法规取得个人单独同意或者书面同意; |
||
|
十、对基于个人同意公开个人信息进行审计的 |
1.个人信息处理者公开其处理的个人信息前是否取得个人单独同意,该授权是否真实、有效,是否存在违背个人意愿将个人信息予以公开的情况; |
|
|
2.个人信息处理者公开个人信息前,是否进行PIA。 |
||
|
非基于同意的合法性基础 |
二、对合法性基础进行审计的 |
1.未取得个人同意的情形 |
|
(1)是否属于法律、行政法规规定不需要取得个人同意的情形(现阶段主要指《个保法》第13条第1款第2项-第7项规定的不需要取得个人同意的情形)。 |
||
|
十一、对在公共场所安装图像收集、个人身份识别设备进行审计的 |
1.是否为维护公共安全所必需,是否为商业目的处理所收集的个人信息; |
|
|
2.是否设置了显著的提示标识; |
||
|
3.个人信息处理者所收集的个人图像、身份识别信息用于维护公共安全以外用途的,是否取得个人单独同意。 |
||
|
十二、对处理已公开的个人信息进行审计的 |
1.向已公开个人信息中的电子邮箱、手机号等发送与其公开目的无关的商业信息; |
|
|
2.利用已公开的个人信息从事网络暴力、传播网络谣言和虚假信息等活动; |
||
|
3.处理个人明确拒绝处理的已公开个人信息; |
||
|
4.对个人权益有重大影响,未取得个人同意; |
||
|
5.收集、留存或处理已公开个人信息的规模、时间或使用目的超出合理范围。 |
础中各选择一项作为示例进行说明:基于同意的合法性基础中我们选择了“二、对合法性基础进行审计的”项下的“个人同意是否是在个人充分知情的前提下明确、自愿做出的”;非基于同意的合法性基础中我们选择了“十一、对在公共场所安装图像收集、个人身份识别设备进行审计的”项下的“是否设置了显著的提示标识”两种情形作为示例进行说明。具体如下:
关于个人同意是否是在个人充分知情的前提下明确、自愿做出的。审计证据通常包括隐私政策/个人信息保护政策、企业提供的有关征得个人同意机制的说明以及取得个人同意的具体记录文本。审计方法上,通常应充分审查取得个人同意的相关文件内容,如隐私政策、同意函等,审查其内容说明是否充分,是否足以保障个人充分了解该等文件的内容,审查是否存在默认同意、强制同意、欺骗诱导等行为,并应审查取得同意的实例记录,以验证其真实性。
关于是否设置了显著的提示标识。审计证据通常为显著提示标志。审计方法上,通常应充分审查是否为公共场所的图像采集和身份识别设备设置了显著的提示标志;审查提示标志的内容、大小、位置和可见度,确保公众可以轻易注意到;审查图像采集、身份识别设备本身是否清晰可见。
二、针对告知义务履行情况的合规审查
对于告知义务的履行情况,审计过程中应重点审查两大核心场景,分别为针对内容的审查和针对程序的审查。针对内容的审查指针对个人信息处理规则自身内容的真实性、完备性和准确性进行的审查,针对程序的审查指针对个人信息处理者就个人信息处理规则是否充分履行了告知的程序义务的审查。前者侧重审查个人信息处理规则内容的合规性,即个人信息处理规则是否涵盖了《个保法》及相关配套法规标准要求的所有关键信息;后者侧重审查个人信息处理者在履行告知义务时所采取的方式的合规性,即所采取的方式是否足以确保个人能够在充分知情的前提下自愿做出同意(包括个人信息处理者认为不需要告知个人的判断依据是否合规等)。
《审计指引》对应条文及审计内容如下表所示:
|
《审计指引》 对应条文 |
审计内容 |
|
三、对个人信息处理规则进行审计的 |
审查个人信息处理规则的内容 |
|
(1)是否真实、准确、完整地告知个人信息处理者的名称或者姓名和联系方式; |
|
|
(2)是否以清单等便于查看的形式列明所收集的个人信息及其处理方式和种类; |
|
|
(3)是否与处理目的直接相关,采取对个人权益影响最小的方式; |
|
|
(4)是否明确个人信息保存期限或者保存期限的确定方法、到期后的处理方式,以及确定保存期限为实现处理目的所必要的最短时间; |
|
|
(5)是否明确个人查阅、复制、转移、更正、补充、删除、限制处理个人信息以及注销账号、撤回同意的途径和方法。 |
|
|
四、对履行告知个人信息处理规则义务进行审计的 |
审查个人信息处理者履行告知个人信息处理规则义务 |
|
(1)个人信息处理者在处理个人信息前,是否以显著方式、清晰易懂的语言真实、准确、完整地向个人告知个人信息处理规则; |
|
|
(2)告知文本的大小、字体和颜色是否便于个人完整阅读告知事项; |
|
|
(3)线下告知是否通过标注、说明等多种方式向个人履行告知义务; |
|
|
(4)在线告知是否提供文本信息或者通过适当方式向个人履行告知义务; |
|
|
(5)个人信息处理规则发生变更的,是否将变更内容及时告知个人; |
|
|
(6)处理个人信息不需要告知的,是否属于法律、行政法规规定应当保密或者不需要告知的情形。 |
就审计证据和审计方法,我们选择“是否以清单等便于查看的形式列明所收集的个人信息及其处理方式和种类”及“个人信息处理规则发生变更的,是否将变更内容及时告知个人”两种情形作为示例进行说明。具体如下:
关于是否以清单形式列明所收集的个人信息及其处理方式和种类。审计证据通常应包括个人信息处理清单、个人信息处理记录、个人信息处理技术文档。审计方法上,通常应充分审查是否有个人信息处理清单;查阅个人信息处理清单等材料,验证是否以表格等清单形式明确列明了所有业务收集和处理的个人信息种类、处理目的、方式和范围等,是否具体明确而非笼统描述;审查个人信息处理记录、处理个人信息的技术文档,验证收集和处理个人信息的目的、方式、范围是否与告知的个人信息处理清单一致。
关于个人信息处理规则发生变更的,是否将变更内容及时告知个人。审计证据通常包括隐私政策变更机制、重新告知方式、告知文案、重新告知的实例记录。审计方法上,通常应查验隐私政策更新机制,能否保障在个人信息处理规则发生变更时及时更新隐私政策,变更包括但不限于个人信息处理目的、方式、种类、保存期限、个人行使其权利的方式和程序等个人信息处理规则;查验重新告知的方式,能否在隐私政策发生变更时,及时将变更内容告知个人。审查重新告知的实例记录,是否实现了及时告知个人信息处理规则。
三、针对多方数据处理的合规审查
对于多方数据处理,《审计指引》明确提出了对四种关键情形的严格审查要求,这些情形分别是:共同处理个人信息、委托处理个人信息、对外提供个人信息以及个人信息的转移。就共同处理,审计重点关注是否厘清了各参与方的具体权责,是否有效保护个人信息等;就委托处理,审计重点关注是否签订了数据处理协议并约定了法定事项,是否开展了PIA等;就对外提供,审计重点关注是否履行了取得个人单独同意及法定告知义务,是否开展了PIA等;就个人信息的转移,审计重点关注是否履行了告知义务。
《审计指引》对应条文及审计内容如下表所示:
|
《审计指引》 对应条文 |
审计内容 |
|
五、对共同处理个人信息进行审计的 |
与他人共同处理个人信息的情形 |
|
(1)是否约定各自的权利义务; |
|
|
(2)个人信息权益保护机制; |
|
|
(3)个人信息安全事件报告机制; |
|
|
(4)其他法律、行政法规规定需要约定的权利和义务。 |
|
|
六、对委托处理个人信息进行审计的 |
委托他人处理个人信息的情形 |
|
(1)个人信息处理者在委托处理个人信息前,是否开展PIA; |
|
|
(2)个人信息处理者与受托人签订的合同,是否与受托人约定了委托处理的目的、期限、方式、个人信息的种类、保护措施以及双方的权利义务等; |
|
|
(3)个人信息处理者是否采取定期检查等方式,对受托人的个人信息处理活动进行监督。 |
|
|
七、对转移个人信息进行审计的 |
如因合并、重组、分立、解散、被宣告破产等原因需要转移个人信息的,是否向个人告知接收方的名称/姓名和联系方式。 |
|
八、对对外提供个人信息进行审计的 |
向其他个人信息处理者提供其处理的个人信息进行合规审计的情形 |
|
(1)基于个人同意处理个人信息的,是否取得个人的单独同意; |
|
|
(2)是否向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,法律、行政法规规定应当保密或者不需要告知的除外; |
|
|
(3)是否事前进行PIA。 |
就审计证据和审计方法,我们选择“五、对共同处理个人信息进行审计的”项下的“个人信息权益保护机制”和“六、对委托处理个人信息进行审计的”项下的“个人信息处理者在委托处理个人信息前,是否开展PIA”两种情形作为示例进行说明。具体如下:
关于个人信息权益保护机制。审计证据通常包括共同处理个人信息情况说明、个人信息共同处理合同或协议、个人信息保护管理制度。审计方法上,通常应充分审查共同处理个人信息情况说明,验证有哪些共同处理者;查验双方的个人信息共同处理合同或协议,是否约定个人信息权益保护机制;查阅个人信息保护管理制度,验证是否明确针对共同处理个人信息的个人信息权益保护机制;审查个人信息权益保护机制,通过穿行测试等方式验证是否有效。
关于个人信息处理者在委托处理个人信息前,是否开展PIA。审计证据通常为个人信息委托处理情况说明、PIA报告。审计方法上,通常应查阅个人信息委托处理情况说明,验证有哪些委托处理个人信息情形;查阅个人信息处理者在委托处理个人信息前开展PIA的记录;以及查验个人信息处理者在委托处理个人信息前是否开展了PIA。
四、针对利用自动化决策处理个人信息的合规审查
针对利用自动化决策处理个人信息的合规审查,结合了《个保法》第24条对个人信息处理者利用个人信息实施自动化决策的基准要求,《个保法》第55条PIA的要求,以及《互联网信息服务算法推荐管理规定》(以下简称“《算法推荐管理规定》”)和《科技伦理审查办法(试行)》(以下简称“《科技伦理审查办法》”)的部分要求。
《审计指引》对应条文及审计内容如下表所示:
|
《审计指引》 对应条文 |
审计内容 |
|
九、对利用自动化决策处理个人信息进行审计的 |
1.自动化决策的透明度,以及自动化决策的结果是否公平、公正; |
|
2.是否事前告知个人自动化决策处理个人信息的种类及可能带来的影响; |
|
|
3.是否事前进行PIA; |
|
|
4.是否向用户提供保障机制,以便个人通过便捷方式拒绝通过自动化决策方式作出对个人权益有重大影响的决定,并要求个人信息处理者就通过自动化决策方式作出对用户个人权益有重大影响的决定予以说明; |
|
|
5.向个人进行信息推送、商业营销的,是否同时提供不针对个人特征的选项,或者提供便捷的拒绝自动化决策服务的方式; |
|
|
6.是否采取了有效措施,防止自动化决策根据消费者的偏好、交易习惯等对个人在交易条件上实行不合理的差别待遇; |
|
|
7.其他可能影响自动化决策的透明度和结果公平、公正的事项。 |
就审计证据和审计方法,我们选择“是否事前进行PIA”和“是否采取了有效措施,防止自动化决策根据消费者的偏好、交易习惯等对个人在交易条件上实行不合理的差别待遇”两项审查内容作为示例进行说明。具体如下:
关于“是否事前进行PIA”。审计证据通常应包括自动化决策情况说明、个人信息保护管理制度、PIA报告。审计方法上,通常应审阅自动化决策情况说明,确认企业开展了哪些涉及个人信息的自动化决策活动,审阅个人信息保护管理制度,确认是否在制度上确立了PIA,最后应对PIA报告进行审阅,评估该报告的内容是否完整覆盖了基于个人信息进行自动化决策的全过程以及该报告的内容是否符合《个保法》第56条的要求以及质量程度等。
关于“是否采取了有效措施,防止自动化决策根据消费者的偏好、交易习惯等对个人在交易条件上实行不合理的差别待遇”。审计证据通常包括自动化决策情况说明、自动化决策机制说明、PIA报告。审计方法上,通常应审阅自动化决策情况说明,确认企业开展了哪些涉及个人信息的自动化决策活动,是否涉及到自动化决策的交易条件(包括交易价格、交易机会等);审阅自动化决策机制说明,确认是否根据消费者的偏好、交易习惯等交易条件实施自动化决策;审阅PIA报告,确认是否针对自动化决策可能导致个人在交易条件上遭受不合理的差别待遇进行了评估并根据评估结果采取了有效措施,避免了出现交易上的不合理差别待遇。
五、针对敏感个人信息处理的合规审查
对敏感个人信息处理的合规审查,包括对处理敏感个人信息的审查和对处理不满十四周岁未成年人个人信息的审查。虽然按照《个保法》,不满十四周岁未成年人的个人信息亦为敏感个人信息,但是由于《个保法》、《未保法》等法律法规均针对未成年人个人信息的保护制定了高于其他敏感个人信息的特殊规则,因此在做合规审计的时候需要将未成年人个人信息与其他敏感个人信息区分开,按照各自适用的合规要求进行审查。
对于敏感个人信息的审查,主要是为了防范其泄露或非法使用可能带来的严重风险。这类信息一旦泄露,可能导致自然人的人格尊严受到侵害,或人身、财产安全受到危害。对于处理不满十四周岁未成年人个人信息的审查,则更加关注未成年人的权益保护,当然风险防范也是题中应有之义。由于未成年人缺乏完全民事行为能力,他们的个人信息更容易受到侵害。因此,审计指引要求审查是否取得了未成年人父母或其他监护人的同意,是否制定了专门的未成年人个人信息处理规则,以及是否采取了额外的技术保障措施来确保未成年人的个人信息安全。
《审计指引》对应条文及审计内容如下表所示:
|
《审计指引》 对应条文 |
审计内容 |
|
十三、对处理敏感个人信息进行审计的 |
1.基于个人同意处理个人信息的,处理生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等敏感个人信息,是否事前取得个人的单独同意; |
|
2.基于个人同意处理个人信息的,处理不满十四周岁未成年人的个人信息,是否事前取得未成年人的父母或者其他监护人的同意; |
|
|
3.处理敏感个人信息的目的、方式、范围是否合法、正当、必要; |
|
|
4.是否在事前进行PIA; |
|
|
5.是否向个人告知处理敏感个人信息的必要性以及对个人权益的影响,法律、行政法规规定应当保密或者不需要告知的除外; |
|
|
6.法律、行政法规规定应当取得书面同意的,是否取得书面同意; |
|
|
7.是否遵守法律、行政法规对处理敏感个人信息的限制性规定。 |
|
|
十四、对处理不满十四周岁未成年人个人信息进行审计的 |
1.是否制定专门的个人信息处理规则; |
|
2.是否向未成年人及其监护人告知未成年人个人信息的处理目的、处理方式、处理必要性,以及处理个人信息的种类、所采取的保护措施等,法律、行政法规规定不需要告知的除外; |
|
|
3.基于个人同意处理个人信息,是否存在强制要求未成年人或者其监护人同意处理非必要个人信息的行为。 |
就审计证据和审计方法,我们选择“十三、对处理敏感个人信息进行审计的”项下的“处理敏感个人信息的目的、方式是否合法、正当、必要”和“十四、处理不满十四周岁未成年人个人信息”项下的“是否制定专门的未成年人个人信息处理规则”两种情形作为示例进行说明。具体如下:
关于处理敏感个人信息的目的、方式是否合法、正当、必要。审计证据通常包括敏感个人信息处理记录、PIA报告。审计方法上,通常应充分审查处理敏感个人信息的情况说明,确认存在哪些处理敏感个人信息的情况;审阅PIA报告,确认是否完整覆盖处理敏感个人信息情况,是否对处理敏感个人信息的目的、方式是否合法、正当、必要进行了评估;审查处理的敏感个人信息,结合法律要求和商业基本逻辑分析其处理目的、方式是否合法、正当、必要。
关于是否制定专门的未成年人个人信息处理规则情形。审计证据通常为未成年人个人信息保护政策/隐私政策。审计方法上,通常应查验个人信息处理者的隐私政策和产品是否有制定专门的未成年人个人信息处理规则和用户协议,是否制定专门的未成年人个人信息处理规则并予以发布。
六、针对个人信息出境的合规审查
《个保法》《网络安全法》《数据安全法》确立了我国数据出境的基本规则,即以安全评估、标准合同备案和认证三项制度为主,以法律法规另有规定(目前包括跨境司法行政协助和出口管制清单两种类型)为辅的框架体系。审计时需严格审查这些跨境传输是否符合法定条件,评估个人信息出境活动的风险,确保个人信息处理的合法、正当、必要性,同时核实境外接收方的数据保护能力和水平。此外,个人信息处理者还需在开展PIA的基础上,向个人充分告知相关情况并取得其同意,严格遵守处理敏感个人信息的限制性规定,确保个人信息在跨境传输中得到充分保护。
《审计指引》对应条文及审计内容如下表所示:
|
《审计指引》 对应条文 |
审计内容 |
|
十五、针对向境外提供个人信息进行合规审计的 |
1.关键信息基础设施运营者向境外提供个人信息是否经过国家网信部门组织的安全评估,法律、行政法规、国家网信部门另有规定的,从其规定; |
|
2.关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供100万人以上个人信息(不含敏感个人信息)或者1万人以上敏感个人信息是否经过国家网信部门组织的安全评估,法律、行政法规、国家网信部门另有规定的,从其规定; |
|
|
3.关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息)或者不满1万人敏感个人信息的,是否按照国家网信部门的规定,经个人信息保护认证或者按照国家网信部门制定的标准合同与境外接收方签订合同并向所在地省级网信部门备案,或者符合法律、行政法规、国家网信部门规定的其他条件; |
|
|
4.存在向外国司法或者执法机构提供存储于中华人民共和国境内个人信息情形的,是否经过中华人民共和国主管机关批准; |
|
|
5.是否向被列入限制或者禁止个人信息提供清单的组织和个人提供个人信息。 |
就审计证据和审计方法,我们选择“关键信息基础设施运营者向境外提供个人信息”和“向外国司法或者执法机构提供存储于中华人民共和国境内个人信息”两种情形作为示例进行说明。具体如下:
关于关键信息基础设施运营者向境外提供个人信息。审计证据通常包括数据出境安全评估报告、评估结果通知以及平台系统处理记录。审计方法上,通常应充分审查数据出境安全评估报告的相关事项,如处理的个人信息规模,是否经过安全评估,是否取得评估结果通知书,评估程序是否符合规定,如评估期限要求、评估记录保存时限要求,以及是否有整改记录等。
关于向外国司法或者执法机构提供存储于中华人民共和国境内个人信息情形。审计证据通常包括访谈记录、主管机关批准文件和平台系统处理记录。审计方法上,通常应首先在访谈中确认是否存在该等情形,如存在则进一步审查是否有书面批准文件,核查平台系统的个人信息提供记录,确认是否存在上述情形。
七、针对个人信息权利保障的合规审
《个保法》第四章规定了个人在个人信息处理活动中的权利,其中也包括了删除权和要求解释说明权。《审计指引》明确规定了针对保障个人权利情况进行审计时的审计内容,并基于删除权行使的特殊复杂性和要求解释说明权在逻辑上的独立性,进一步单独针对删除权和要求解释说明权的保障情况规定了独立的审计内容。
《审计指引》对应条文及审计内容如下表所示:
|
《审计指引》 对应条文 |
审计内容 |
|
十六、针对个人删除权保障情况进行审计的 |
1.个人信息处理目的是否已实现、无法实现或者为实现处理目的不再必要; |
|
2.个人信息处理者是否停止提供产品或者服务,或者个人是否已注销账号; |
|
|
3.保存期限是否已届满; |
|
|
4.个人是否撤回同意; |
|
|
5.个人信息处理者是否违反法律、行政法规或者违反约定处理个人信息; |
|
|
6.应当删除个人信息,但法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,个人信息处理者是否停止除存储和采取必要的安全措施之外的处理。 |
|
|
十七、针对保障个人权利情况进行审计的 |
1.建立便捷的个人行使权利的申请受理机制和处理机制; |
|
2.是否及时响应个人行使权利的申请,是否及时、完整、准确告知处理意见或者执行结果; |
|
|
3.拒绝个人行使权利请求的,是否向个人说明理由。 |
|
|
十八、针对解释说明处理规则情况进行审计的 |
1.个人信息处理者是否提供便捷的方式和途径,接受、处理个人关于个人信息处理规则解释说明的要求; |
|
2.接到个人的要求后,个人信息处理者是否在合理的时间内,使用通俗易懂的语言对其个人信息处理规则作出解释说明。 |
就审计证据和审计方法,我们选择“十六、针对个人删除权保障情况进行审计的”项下的个人信息处理者“停止提供产品或者服务,或者个人注销账号,是否删除或匿名化处理个人信息”(此处《审计指引》的内容和《审计要求(征求意见稿)》的内容略有差异,但是不构成实质性影响)和“十七、针对保障个人权利情况进行审计的”项下的“是否建立个人行使权利的申请受理机制”两种情形作为示例进行说明。具体如下:
关于停止提供产品或者服务,或者个人注销账号,是否删除或匿名化处理个人信息。审计证据通常包括个人信息删除或匿名化处理的管理制度、个人信息删除或匿名化机制、个人信息删除或匿名化处理的记录、系统日志。审计方法上,通常应充分审查是否建立个人信息删除或匿名化机制;审查内部规范中关于个人信息删除或匿名化处理机制的相关规则是否有覆盖停止提供产品或者服务或者个人注销账号的情形;审查个人信息删除或匿名化记录或系统日志;审查个人信息处理者停止提供产品或者服务后,或者个人注销账号后,是否删除或匿名化处理个人信息。
关于是否建立个人行使权利的申请受理机制。审计证据通常包括客服电话、在线客服、个人信息保护负责人/机构联系方式、申请处理机制、客服答复记录、隐私政策、包含申请处理机制的管理制度等。审计方法上,通常应审查是否通过客服电话、在线客服、个人信息保护负责人/机构联系方式、包含申请处理机制的管理制度等建立个人行使权利的申请受理机制;通过拨打客服电话、向在线客服申请、或联系个人信息保护负责人/机构、等方式审查客服话术、客服流程等个人行权申请处理机制是否足够受理个人行权申请;抽查客服电话、在线客服、个人信息保护负责人/机构联系方式、客服答复记录,是否足够受理个人行权申请。
八、针对内部措施的合规审查
本项审计内容是《个保法》项下个人信息处理者义务在合规审计中的主要体现,也是个人信息处理者能够通过合规审计的前提。如果个人信息处理者在开展合规审计前已经建立起了相对完善的数据合规管理体系,则通常能够以较小的成本通过合规审计;但是如果个人信息处理者在开展合规审计前尚未建立起数据合规管理体系,则通常需要进行补课,相应的合规成本也就会比较高。
前述数据合规管理体系实际上主要就是指内部措施,包括管理措施和技术措施。管理措施如建立健全的管理体系、内部管理制度和操作规程,开展有效的培训等;技术措施是指以防范个人信息泄露和滥用为目的的安全技术措施,包括但不限于加密、去标识化、隐私计算等等。
《审计指引》对应条文及审计内容如下表所示:
|
《审计指引》 对应条文 |
审计内容 |
|
十九、对个人信息保护内部管理制度和操作规程进行审查的 |
1.个人信息保护工作的方针、目标、原则是否符合法律、行政法规规定; |
|
2.个人信息保护组织架构、人员配备、行为规范、管理责任是否与应当履行的个人信息保护责任相适应; |
|
|
3.是否根据个人信息的种类、来源、敏感程度、用途等,对个人信息进行分类; |
|
|
4.是否建立个人信息安全事件应急响应机制; |
|
|
5.是否建立PIA制度、合规审计制度; |
|
|
6.是否建立畅通的个人信息保护投诉举报受理流程; |
|
|
7.是否合理制定个人信息处理操作权限; |
|
|
8.是否制定实施个人信息保护安全教育和培训计划; |
|
|
9.是否建立个人信息保护负责人及相关人员履职评价制度; |
|
|
10.是否建立个人信息违法处理责任制度; |
|
|
11.法律、行政法规规定的其他事项。 |
|
|
二十、对安全技术措施及其有效性进行审查的 |
1.是否采取相应安全技术措施实现个人信息的保密性、完整性、可用性; |
|
2.是否采取加密、去标识化等安全技术措施,确保在不借助额外信息的情况下,消除或者降低个人信息的可识别性; |
|
|
3.采取的安全技术措施能否合理确定有关人员查阅、复制、传输个人信息等的操作权限,减少个人信息在处理过程中未经授权的访问和滥用风险。 |
|
|
二十一、对教育培训计划的制定和实施情况进行审查的 |
1.是否按计划对管理人员、技术人员、操作人员、全员开展相应的安全教育和培训,是否对相应人员的个人信息保护意识和技能进行考核; |
|
2.培训内容、方式、对象、频率等能否满足个人信息保护需要。 |
|
|
二十二、对个人信息保护负责人履职情况进行审查的 |
1.个人信息保护负责人是否具有相关的工作经历和专业知识,熟悉个人信息保护相关法律、行政法规; |
|
2.个人信息保护负责人是否具有明确清晰的职责,是否被赋予充分的权限协调个人信息处理者内部相关部门与人员; |
|
|
3.个人信息保护负责人在个人信息处理重大事项决策前是否有权提出相关意见和建议; |
|
|
4.个人信息保护负责人是否有权对个人信息处理者内部个人信息处理的不合规操作进行制止和采取必要的纠正措施; |
|
|
5.个人信息处理者是否公开个人信息保护负责人的联系方式,并将个人信息保护负责人的姓名、联系方式等报送保护部门。 |
就审计证据和审计方法,我们选择“十九、对个人信息保护内部管理制度和操作规程进行审查的”项下的“个人信息保护工作的方针、目标、原则是否符合法律、行政法规规定”和“二十、对安全技术措施及其有效性进行审查的”项下的“是否参照有关国家标准或者技术要求,采取相应安全技术措施实现个人信息的保密性、完整性、可用性”两种情形作为示例进行说明。具体如下:
关于个人信息保护工作的方针、目标、原则是否符合法律、行政法规规定。审计证据通常包括个人信息保护管理制度、操作规程。审计方法上,通常应充分审查个人信息保护的有关管理制度和操作规程;查验是否符合法律、行政法规和有关强制性要求的情况,是否明确个人信息保护工作的方针、目标、原则等;访谈个人信息保护工作有关负责人,是否了解有关规定要求,对个人信息保护工作的方针、目标、原则等做出清晰的解释。
关于是否参照有关国家标准或者技术要求,采取相应安全技术措施实现个人信息的保密性、完整性、可用性情形。审计证据通常包括技术方案、检测评估报告、技术测试报告、风险评估报告。审计方法上,通常应审查技术方案、检测报告和结果,是否按照国家或行业规定开展系统和设备的安全检测,是否对重大风险和问题进行记录。选取可能影响个人信息安全的未整改问题,进行技术检测,是否仍存在高危漏洞或严重安全风险。
九、针对PIA的合规审查
如前所述,PIA与合规审计一样,均为保障个人权利的重要工具。《个保法》第55条、第56条规定了应当事前进行PIA的情形及评估内容等。《审计指引》进一步落实了《个保法》的前述要求。
《审计指引》对应条文及审计内容如下表所示:
|
《审计指引》 对应条文 |
审计内容 |
|
二十三、PIA |
1.是否依照法律、行政法规的规定,在进行对个人权益具有重大影响的个人信息处理活动前进行PIA; |
|
2.是否对个人信息的处理目的、处理方式等进行合法、正当、必要评估; |
|
|
3.是否对个人权益的影响及安全风险进行评估; |
|
|
4.是否对所采取的保护措施的合法性、有效性,以及与风险程度的适应性进行评估 |
就审计证据和审计方法,我们选择“是否依照法律、行政法规的规定,在进行对个人权益具有重大影响的个人信息处理活动前通过PIA”和“是否对所采取的保护措施的合法性、有效性、适应性进行了分析评估”两种情形作为示例进行说明。具体如下:
关于是否依照法律、行政法规的规定,在进行对个人权益具有重大影响的个人信息处理活动前通过PIA。审计证据通常包括PIA制度、PIA报告。审计方法上,通常应充分审查PIA制度,是否规定在处理敏感个人信息、利用个人信息进行自动化决策、委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息、向境外提供个人信息前,开展PIA。查验PIA报告,是否在相应个人信息处理活动前开展PIA并形成相应的PIA报告。
关于是否对所采取的保护措施的合法性、有效性、适应性进行了分析评估情形。审计证据通常包括PIA报告和处理记录。审计方法上,通常应审查PIA报告和处理记录,是否分析了所采取的保护措施,是否对所采取的保护措施的合法性、有效性、适应性进行了分析评估。
十、针对安全事件及其应对的合规审查
制定并实施个人信息安全事件预案实际上是内部措施的一个组成部分。但是由于应急预案本身既有制度层面的要求,又有执行层面的要求,《审计指引》对此专门设置了两项审计内容,即对应急预案本身内容的审查、以及对应急响应处置情况的审查。
《审计指引》对应条文及审计内容如下表所示
|
《审计指引》 对应条文 |
审计内容 |
|
二十四、对个人信息安全事件应急预案进行审计的 |
1.是否结合业务实际,对面临的个人信息安全风险作出系统评估和预测; |
|
2.总体要求、基本策略,组织机构、人员,技术、物资保障,指挥处置程序,应急和支持措施等是否足以应对预测的风险; |
|
|
3.是否对相关人员进行应急预案培训,定期对应急预案进行演练。 |
|
|
二十五、个人信息安全事件应急响应处置 |
1.是否按照应急预案、操作规程及时查明个人信息安全事件的影响、范围和可能造成的危害,分析、确定事件发生的原因,提出防止危害扩大的措施方案; |
|
2.是否建立通报渠道,在安全事件发生后按照相关规定及时通知保护部门和个人; |
|
|
3.是否采取相应措施将个人信息安全事件可能造成的损失和可能产生的危害风险降低到最小。 |
就审计证据和审计方法,我们选择“二十四、对个人信息安全事件应急预案进行审计的”项下的“是否结合业务实际,对面临的个人信息安全风险作出了系统评估和预测”和“二十五、个人信息安全事件应急响应处置”项下的“是否按照应急预案、操作规程及时查明个人信息安全事件的影响、范围和可能造成的危害,分析、确定事件发生的原因,提出防止危害扩大的措施方案”两种情形作为示例进行说明。具体如下:
关于是否结合业务实际,对面临的个人信息安全风险作出了系统评估和预测。审计证据通常为个人信息安全事件应急预案、个人信息安全事件应急预案管理制度。审计方法上,通常应充分审查个人信息安全事件应急预案、个人信息安全事件应急预案管理制度,确认个人信息处理者是否结合业务实际,对业务所面临的个人信息安全风险进行了风险场景梳理、风险评估与排查,对可能发生的风险进行预测。
关于是否按照应急预案、操作规程及时查明个人信息安全事件的影响、范围和可能造成的危害,分析、确定事件发生的原因,提出防止危害扩大的措施方案情形。审计证据通常包括个人信息安全事件应急响应处置制度、个人信息安全事件应急响应处置记录。审计方法上,通常应审查个人信息安全事件处置记录,确认是否包含判断个人信息安全事件的影响、范围和可能造成的危害,分析、确定事件发生的原因,提出防止危害扩大的措施方案等内容;审阅个人信息处理者个人信息安全事件应急响应处置制度规范,确认是否具备应急响应处置及同步机制,包括但不限于:处置流程、处置团队成员、应急模式、处置时效、同步范围、升级通知规则、延期处置情形等。
十一、针对重要互联网平台的合规审查
《个保法》第58条规定了提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者(以下简称“大型互联网平台”)的义务。《审计指引》重点关注对平台规则的审查和对社会责任报告的审查。虽然《审计指引》表面上仅重点关注了前述两项内容,但是从审计内容看,实际上覆盖了《个保法》第58条所列举的全部义务。
《审计指引》对应条文及审计内容如下表所示:
|
《审计指引》对应条文 |
审计内容 |
|
二十六、对大型互联网平台规则的审查 |
1.平台规则是否与法律、行政法规相抵触; |
|
2.平台规则个人信息保护条款的有效性,是否合理界定了平台、平台内产品或者服务提供者的个人信息保护权利和义务; |
|
|
3.平台规则的执行情况,是否通过抽样等方式验证平台规则被有效执行。 |
|
|
二十七、对大型互联网平台个人信息保护社会责任报告的审查 |
1.个人信息保护组织架构和内部管理情况; |
|
2.个人信息保护能力建设情况; |
|
|
3.个人信息保护措施和成效; |
|
|
4.个人行使权利的申请受理情况; |
|
|
5.独立监督机构履职情况; |
|
|
6.重大个人信息安全事件处理情况; |
|
|
7.促进个人信息保护社会共治的科普宣传、公益活动情况。 |
就审计证据和审计方法,我们选择“二十六、对大型互联网平台规则的审查”项下的“是否定期审核平台内产品或者服务提供者个人信息处理规则的合法性、合理性”和“二十七、对大型互联网平台个人信息保护社会责任报告的审查”项下的“每年发布个人信息保护社会责任报告”两种情形作为示例进行说明。具体如下:
关于是否定期审核平台内产品或者服务提供者个人信息处理规则的合法性、合理性。审计证据通常为平台内产品或者服务提供者个人信息处理规则的审核机制和记录。审计方法上,通常应充分审查平台内产品或者服务提供者个人信息处理规则的审核机制,确认该机制能否正常运行并审核平台内产品或者服务提供者个人信息处理规则的合法性、合理性;审查平台内产品或者服务提供者个人信息处理规则的审核记录,能否有效对平台内产品或者服务提供者个人信息处理规则的合法性、合理性进行审核;以及审查平台内产品或者服务提供者个人信息处理规则的审核记录,是否准确记录产品或者服务提供者个人信息处理规则通过或不通过的情况。
关于每年发布个人信息保护社会责任报告。审计证据通常应包括个人信息保护社会责任报告编制和发布机制、个人信息保护社会责任报告。审计方法上,通常应审查个人信息保护社会责任报告的编制和发布机制能否保证每年发布个人信息保护社会责任报告;审查个人信息保护社会责任报告是否按照相应机制编制并正式发布;以及审查是否能够通过公开渠道获取个人信息保护社会责任报告。
特别声明
Special Declaration
以上文章仅代表作者本人观点,不代表北京市中伦文德律师事务所或其律师出具的任何形式之法律意见或建议。如需转载或引用该等文章的任何内容,请私信沟通授权事宜。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。
