守护数字时代隐私权!个人信息保护合规审计指南
点击蓝字 ↑ 关注我们
随着《个人信息保护法》的深入实施,特别是自2021年第54条和第64条明确合规审计要求以来,个人信息保护合规审计已经成为社会各界关注的焦点。
2023年8月,国家网信办发布的《个人信息保护合规审计管理办法(征求意见稿)》进一步推动了这一进程。
紧随其后,2024年7月12日,全国网络安全标准化技术委员会发布了国家标准《数据安全技术 个人信息保护合规审计要求》征求意见稿。
2024年7月25日,中国网络空间安全协会发布由中央网信办数据与技术保障中心负责起草的团体标准《个人信息保护合规审计技术能力及工具要求》征求意见稿。
这些要求的发布标志着个人信息保护合规审计制度的确立和即将全面展开。
在这一背景下,企业开展个保合规审计的重要性日益凸显。以下是对个人信息处理合法性基础的审计内容和方法的详细阐述:
1. 是否知情同意
审计内容:处理个人信息是否取得个人同意,该同意是否在个人信息主体充分知情的前提下自愿、明确作出。
审计证据:隐私政策、征得个人同意机制说明、取得个人同意的实例记录。
审计方法:
(1)查验个人信息处理活动是否属于基于个人同意处理个人信息;
(2)查阅各渠道隐私政策说明是否充分;
(3)查验征得个人同意机制能否保证在处理个人信息前取得个人同意;
(4)查验征得个人同意机制中,个人是否自愿、明确的做出同意行为,不存在默认同意、强制同意、欺骗诱导等;
(5)抽查取得个人同意的实例记录,核验是否满足上述要求。
2. 重新同意获取
审计内容:基于个人同意处理个人信息,个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,是否重新取得个人同意。
审计证据:个人信息处理管理机制、个人信息处理审批记录、隐私政策、重新征得个人同意机制说明、重新取得个人同意的实例记录。
审计方法:
(1)查验是否具备管理个人信息处理目的、处理方式和处理个人信息种类的机制;
(2)查验个人信息处理目的、处理方式和处理个人信息种类发生变更时的审批记录;
(3)查验个人信息处理目的、处理方式和处理个人信息种类变更后,相应渠道隐私政策是否同步修改;
(4)查验是否具备重新征得个人同意机制,能够在个人信息的处理目的、处理方式、处理的个人信息种类发生变更时重新征得个人同意;
(5)抽查重新征得个人同意的实例记录,核验征得个人同意机制能否保证重新取得个人同意。
3. 撤回同意的便捷性
审计内容:确认是否存在因个人不同意或撤回同意而拒绝提供产品或服务的情形。
审计证据:个人信息处理管理机制、撤回同意的机制说明、撤回同意的记录。
审计方法:
(1)查验个人信息安全检测报告是否涵盖撤回同意部分内容,检测结果是否通过。
(2)查验隐私政策是否说明了个人撤回同意的具体事项;
(3)查验个人信息主体撤回同意的方式和记录,是否存在撤回同意的入口隐藏过深、明显小号字体、需线下操作、提供额外信息等不便捷形式。
4. 同意操作的记录
审计内容:基于个人同意处理个人信息,是否对个人同意的操作进行记录。
审计证据:个人同意操作记录。
审计方法:查验基于个人同意处理个人信息的,是否有个人同意操作记录,包括首次处理个人信息的个人同意记录、处理规则变更后重新取得的同意记录、撤回同意记录。
5. “选择退出”机制
审计内容:基于个人同意处理个人信息,是否存在以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务的情况;处理个人信息属于提供产品或者服务所必需的除外。
审计证据:个人信息处理管理机制、提供撤回同意的方式和记录,撤回同意后的个人信息处理机制。
审计方法:
(1)查验个人信息安全检测报告是否涵盖撤回同意部分内容,检测结果是否通过。
(2)查验个人信息主体撤回同意的方式和记录。
(3)抽查不提供非必要个人信息或撤回同意非必要个人信息,是否能够使用产品或服务。
6. 法定免同意情形
审计内容:处理个人信息未取得个人同意,是否属于法律、行政法规规定不需取得个人同意的情形。
审计证据:个人信息保护管理制度、隐私政策。
审计方法:
(1)查阅个人信息保护管理制度,是否明确规定处理个人信息不需要取得个人同意的情形,规定的情形是否符合法律、行政法规要求;
(2)查阅各渠道隐私政策,是否明确说明处理个人信息不需要取得个人同意的情形,说明的情形是否符合法律、行政法规要求;
(3)抽查个人信息处理活动是否存在未征得个人同意的情况,存在未征得个人同意的,是否属于法律、行政法规规定不需要取得个人同意的情形。
这些审计内容和方法基于国家标准《数据安全技术 个人信息保护合规审计要求》征求意见稿,帮助企业确保个人信息处理的合法性,同时保护个人隐私权益,推动企业在数字化时代的合规与进步。
来源:国家标准《数据安全技术 个人信息保护合规审计要求》征求意见稿
全球数据资产大会
随着数字经济的蓬勃发展,数据资产已成为企业竞争力的关键。面对数据资产入表落地面临的诸多挑战,全球数据资产理事会作为一个非营利性组织,将充分发挥优势,协同全球顶尖的数据资产专家、学者和企业精英,构建有利于数据资产入表的生态体系。关注详细信息请点击下面链接。
Dataweekly联系方式
了解更多数据要素、数据资产、行业活动,可扫描下方⬇⬇⬇二维码或点击加入Dataweekly数据生态群,了解全国各行业各领域数字化政策、采购需求、标准规范文件、项目解决方案、顶层可研设计方案资料。
往
期
推
荐