關注公眾號並設為🌟標,一天發多次
自2021年《個人資訊保護法》第54條和第64條中明確了合規審計要求,個人資訊保護合規審計就引起了廣泛關注。
2023年8月國家網信辦釋出的《個人資訊保護合規審計管理辦法(徵求意見稿)》;
2024年7月12日,全國網路安全標準化技術委員會發布了國家標準《資料安全技術 個人資訊保護合規審計要求》徵求意見稿;
2024年7月25日,中國網路空間安全協會發布團體標準《個人資訊保護合規審計技術能力及工具要求》徵求意見稿;
2024年9月24日,《網路資料安全管理條例》正式釋出!並於2025年1月1日施行!
2024年11月19日,全國網安標委開啟國家標準《個人資訊保護合規審計要求》試點。
2025年2月14日,《個人資訊保護合規審計管理辦法》正式釋出!並於5月1日施行!
由此,個人資訊保護合規審計的制度箭在弦上,蓄勢待發!企業開展個保合規審計的重要性越發凸顯。
🌹歡迎文末免費訂閱“個保合規審計實務指南”專欄
以下是個人資訊處理合法性基礎的審計內容和審計方法
1.1 是否做到知情同意?
a)審計內容:處理個人資訊是否取得個人同意,該同意是否在個人資訊主體充分知情的前提下自願、明確作出。
b)審計證據:隱私政策、徵得個人同意機制說明、取得個人同意的例項記錄。
c)審計方法:
1)查驗個人資訊處理活動是否屬於基於個人同意處理個人資訊;
2)查閱各渠道隱私政策說明是否充分;
3)查驗徵得個人同意機制能否保證在處理個人資訊前取得個人同意;
4)查驗徵得個人同意機制中,個人是否自願、明確的做出同意行為,不存在默認同意、強制同意、欺騙誘導等;
5)抽查取得個人同意的例項記錄,核驗是否滿足上述要求。
1.2 是否取得重新同意?
a)審計內容:基於個人同意處理個人資訊,個人資訊的處理目的、處理方式和處理的個人資訊種類發生變更的,是否重新取得個人同意;
b)審計證據:個人資訊處理管理機制、個人資訊處理審批記錄、隱私政策、重新徵得個人同意機制說明、重新取得個人同意的例項記錄。
c)審計方法:
1)查驗是否具備管理個人資訊處理目的、處理方式和處理個人資訊種類的機制;
2)查驗個人資訊處理目的、處理方式和處理個人資訊種類發生變更時的審批記錄;
3)查驗個人資訊處理目的、處理方式和處理個人資訊種類變更後,相應渠道隱私政策是否同步修改;
4)查驗是否具備重新徵得個人同意機制,能夠在個人資訊的處理目的、處理方式、處理的個人資訊種類發生變更時重新徵得個人同意;
5)抽查重新徵得個人同意的例項記錄,核驗徵得個人同意機制能否保證重新取得個人同意。
1.3 是否提供便捷的撤回同意的方式
a)審計內容:基於個人同意處理個人資訊,是否為個人提供便捷的撤回同意的方式;
b)審計證據:個人資訊處理管理機制、撤回同意的機制說明、撤回同意的記錄
c)審計方法:
1)查驗個人資訊安全檢測報告是否涵蓋撤回同意部分內容,檢測結果是否透過。
2)查驗隱私政策是否說明了個人撤回同意的具體事項;
3)查驗個人資訊主體撤回同意的方式和記錄,是否存在撤回同意的入口隱藏過深、明顯小號字型、需線下操作、提供額外資訊等不便捷形式。
1.4 是否對同意的操作進行記錄
a)審計內容:基於個人同意處理個人資訊,是否對個人同意的操作進行記錄;
b)審計證據:個人同意操作記錄
c)審計方法:
1)查驗基於個人同意處理個人資訊的,是否有個人同意操作記錄,包括首次處理個人資訊的個人同意記錄、處理規則變更後重新取得的同意記錄、撤回同意記錄。
1.5 是否存在“opt-out(選擇退出)”情形?
a)審計內容:基於個人同意處理個人資訊,是否存在以個人不同意處理其個人資訊或者撤回同意為由,拒絕提供產品或者服務的情況;處理個人資訊屬於提供產品或者服務所必需的除外;
b)審計證據:個人資訊處理管理機制、提供撤回同意的方式和記錄,撤回同意後的個人資訊處理機制。
c)審計方法:
1)查驗個人資訊安全檢測報告是否涵蓋撤回同意部分內容,檢測結果是否透過。
2)查驗個人資訊主體撤回同意的方式和記錄。
3)抽查不提供非必要個人資訊或撤回同意非必要個人資訊,是否能夠使用產品或服務。
1.6 是否存在不需要同意的法定情形?
a)審計內容:處理個人資訊未取得個人同意,是否屬於法律、行政法規規定不需取得個人同意的情形。
b)審計證據:個人資訊保護管理制度、隱私政策。
c)審計方法:
1)查閱個人資訊保護管理制度,是否明確規定處理個人資訊不需要取得個人同意的情形,規定的情形是否符合法律、行政法規要求;
2)查閱各渠道隱私政策,是否明確說明處理個人資訊不需要取得個人同意的情形,說明的情形是否符合法律、行政法規要求;
3)抽查個人資訊處理活動是否存在未徵得個人同意的情況,存在未徵得個人同意的,是否屬於法律、行政法規規定不需要取得個人同意的情形。
來源:國家標準《資料安全技術 個人資訊保護合規審計要求》徵求意見稿
歡迎加入會員!影片+圈子+何談
