DPOHUB個保合規審計專業群
#目標# 個保合規審計專業人士一起共享時代紅利!風口來了,豬也能飛起來!
#願景# 建立個保合規審計平臺和渠道,法律、技術和管理等專家相互賦能。
#申請# 設定專業門檻,入群需說明個人資訊保護相關實務經驗。
請說明姓名+單位+職位+專案經驗
2023年8月國家網信辦釋出的《個人資訊保護合規審計管理辦法(徵求意見稿)》;
2024年7月12日,全國網路安全標準化技術委員會發布了國家標準《資料安全技術 個人資訊保護合規審計要求》徵求意見稿;
2024年7月25日,中國網路空間安全協會發布團體標準《個人資訊保護合規審計技術能力及工具要求》徵求意見稿;
2024年9月24日,《網路資料安全管理條例》正式釋出!並於2025年1月1日施行!
2024年11月19日,全國網安標委開啟國家標準《個人資訊保護合規審計要求》試點。
2025年2月14日,《個人資訊保護合規審計管理辦法》正式釋出!並於5月1日施行!
2025年3月3日,全國網安標委《個人資訊保護合規審計 專業機構服務能力要求》公開徵求意見
由此,個人資訊保護合規審計的制度箭在弦上,蓄勢待發!企業開展個保合規審計的重要性越發凸顯。
🌹歡迎文末訂閱“個保合規審計實務指南”專欄
如何審計個人資訊處理必要性?
C.2.1
a) 審計內容:處理個人資訊是否具有明確、合理的目的,是否與處理目的直接相關。
b) 審計證據:隱私政策、個人資訊上傳記錄、個人資訊儲存記錄。
c) 審計方法:
1) 查閱隱私政策,其中主要業務場景處理個人資訊的目的是否明確、合理,處理個人資訊的種類是否與目的直接相關。
2) 對於長期儲存的個人資訊,抽查主要業務場景儲存的個人資訊內容是否與處理目的直接相關。
3) 對於不長期儲存的個人資訊,抽查主要業務場景上傳的個人資訊內容是否與處理目的直接相關。
C.2.2
a) 審計內容:是否採取對個人權益影響最小的方式處理個人資訊。
b) 審計證據:個人資訊處理的相關流程說明,如業務邏輯、資料流圖等,個人資訊處理過程例項。
c) 審計方法:
1)查驗個人資訊處理流程,核驗處理每項個人資訊是否採取對個人權益影響最小的方式。
C.2.3
a) 審計內容:是否僅限於實現處理目的的最小範圍收集個人資訊。
b) 審計證據:隱私政策、個人資訊處理情況記錄。
c) 審計方法:
1)查驗處理的個人資訊種類、數量和頻率是否為實現處理目的所需的最少種類、最少數量和最低頻率。
C.2.4
a)審計內容:是否強制要求個人資訊主體同意非必要的個人資訊處理行為。
b)審計證據:個人資訊處理的相關流程說明、隱私政策、個人資訊處理過程例項。
c)審計方法:
1)查閱隱私政策和個人資訊處理的相關流程說明,核驗個人資訊處理行為涉及的非必要個人資訊;
2)查驗當個人資訊主體拒絕同意處理非必要個人資訊後,是否能夠繼續使用對應業務功能。
C.2.5
a)審計內容:是否因個人資訊主體不同意處理非必要個人資訊或撤回同意,每次重新使用產品或服務時,向用戶頻繁詢問是否同意處理非必要個人資訊。
b) 審計證據:個人資訊處理的相關流程說明、個人資訊處理過程例項。
c)審計方法:
1) 查驗當個人資訊主體拒絕同意處理非必要個人資訊後,短期內重新進入該業務場景是否被再次徵求同意;
2) 查驗當個人資訊主體撤回同意處理非必要個人資訊後,短期內重新進入該業務場景是否被再次徵求同意。
C.2.6
a)審計內容:是否因個人資訊主體不同意處理非必要個人資訊或者撤回同意,拒絕個人資訊主體使用其基本功能服務。
b) 審計證據:個人資訊處理的相關流程說明、個人資訊處理過程例項。
c)審計方法:
1) 查驗當個人資訊主體拒絕同意處理非必要個人資訊後,是否能夠繼續使用基本功能服務;
2) 查驗當個人資訊主體撤回同意處理非必要個人資訊後,是否能夠繼續使用基本功能服務。
來源:國家標準《資料安全技術 個人資訊保護合規審計要求》徵求意見稿
歡迎加入會員!影片+圈子+何談
