|
专栏名称: 威科先行法律信息库
| 提供及时、准确的法律专业资讯。 |
目录
相关文章推荐
|
高分子科学前沿 · 巨星陨落!中国工程院院士黄旭华逝世 · 昨天 |
|
康石石 · 宠物设计大火缺人,视传、产品、交互,各专业如 ... · 昨天 |
|
高分子科技 · 济大王鹏/河北工大孟垂舟/山大李阳/苏州纳米 ... · 3 天前 |
|
高分子科学前沿 · 东华王刚、孙恒达/川大冯良文《AM》:直接微 ... · 2 天前 |
|
高分子科技 · 澳大张宣军、黄冠豪团队/南科大吴长锋团队 ... · 5 天前 |
个人信息保护合规审计系列简评——关于附件C若干重要章节审计证据和审计方法的梳理丨威科先行
威科先行法律信息库 · 公众号 · · 2024-11-21 17:59正文
作者丨解佳璞
机构丨上海数示信诚科技有限公司
* 本文为威科先行首发文章,未经授权请勿转载
9月初,《个人信息保护合规审计要求》完成意见稿的征集。本简评将对其核心内容附件C审计内容和审计方法做尝试性的梳理,希望给企业在《要求》正式实施前,做好力所能及的准备工作提供参考。
附件C 审计内容一共为37章, 细项约160项,从各章节的项目数量来看,最多的前九名分别如下。读者也可据此大致推断出审计工作重点关注的方面:
第9章:利用自动化决策处理个人信息
第27章:内部管理制度和操作规程
第14章:向境外提供个人信息
第13章:处理敏感个人信息
第37章:个人信息保护社会责任报告
第23章:个人信息删除权保障情况
第1章:个人信息处理活动的合法性基础条件
第2章:个人信息处理的必要性
第6章:委托处理个人信息
本系列简评做进一步说明,帮助企业理解并形成可操作的应对建议。
第9章 利用自动化决策处理个人信息
核心内容:
|
审计内容 |
审计证据 |
审计方法 |
|
告知自动化决策处理个人信息的种类及影响 |
自动化决策 情况说明 |
验证开展了 哪些 自动化决策活动 |
|
隐私政策 |
验证 是否告知 自动化决策, 是否完整 告知涉及的场景 |
|
|
告知 方式、 告知文案 |
是否 清晰告知 个人信息的种类、可能带来的影响 |
|
|
是否对算法模型进行事前安全评估,并按国家相关规定进行备案; 当场景和功能发生变化时,是否对算法模型重新评估 |
算法模型安全 评估报告 |
针对有 舆论 属性或 社会动员 能力的推荐算法,是否事前进行 安全评估 ,并进行 备案 ,当场景和功能 变化 时,是否对算法 重新评估 |
|
算法模型备案 记录 |
||
|
是否事前对算法进行科技伦理审查 |
科技伦理审查 制度 |
查验是否 事前 进行科技伦理审查,包括但不限于是否使用 诱导用户沉迷 、诱导 用户过度消费 的算法模型 |
|
科技伦理 审查报告 |
||
|
是否事前进行个人信息保护影响评估 |
自动化决策 情况说明 |
验证开展了 哪些 自动化决策活动 |
|
个人信息保护管理 制度 |
是否明确 开展 自动化决策 前 进行个保影响评估 |
|
|
个人信息保护影响 评估报告 |
是否 完整覆盖 进行自动化决策的所有场景 |
|
|
向用户提供保障机制,可通过便捷方式拒绝自动化作出对个人权益有重大影响的决策,或要求个人信息处理者就该类决策予以说明 |
自动化决策 情况说明 |
验证开展了 哪些 自动化决策活动 |
|
个人信息保护影响 评估报告 |
是否 明确 作出对个人权益有重大影响的决定的 场景 |
|
|
响应用户拒绝自动化决策或要求说明的 机制 |
核验机制是否 便捷 ,收到用户请求后,是否能够 停止 自动化决策,或 予以说明( 针对决策逻辑、价值权重等个人信息处理情况 ) |
|
|
响应用户拒绝自动化决策或要求说明的 记录 |
抽查 响应 记录 ,验证机制有效性 |
|
|
向用户提供功能,用于删除或者修改自动化决策产生的个人特征的标签 |
删除或修改用户标签的功能和机制的 证明 |
查验 是否向个人提供删除或修改其个人特征的标签的 机制 |
|
是否采取必要措施对算法和参数模型进行保护 |
系统配置、 保护方案 |
查验 系统配置文件 和保护方案 |
|
技术方案 等安全技术能力 |
查验是否采取 密码技术、访问控制等措施 对训练和测试数据、算法代码和模型等设置了保护 |
|
|
是否对个人信息处理、标签管理、模型训练等自动化决策过程中的人工操作进行记录,防范人为操纵自动化决策结果 |
用户 访问权限 |
查验 系统配置文件,查验是否对训练和测试数据、算法代码和模型等设置了 访问权限 ,是否能够避免非授权人员访问 |
|
通过 模拟非授权访问 等方式,验证访问控制有效性 |
||
|
算法日志 |
查验 算法变更日志 ,是否对个人信息处理、标签管理、模型训练等过程进行记录 |
|
|
向个人进行信息推送、商业营销时,是否同时提供不针对个人特征的选项,或者提供便捷的拒绝自动化决策服务的方式 |
自动化决策 情况说明 |
验证开展的自动化决策活动, 哪些 涉及信息推送、商业营销 |
|
信息推送和商业营销 机制 |
是否提供了 不针对 个人特征的选项 |
|
|
信息推送和商业营销机制的退出机制,个人关闭自动化决策的 选项界面 |
查验个人关闭自动化决策的选项界面是否 便捷 ,验证关闭选项后,退出机制能否 保障停止 对个人的自动化决策服务 |
|
|
退出后抽查 结果 |
抽查个人收到的信息推送和商业营销是否 带有个人特征 |
|
|
采取有效措施,防止自动化决策根据消费者的偏好、交易习惯等对个人在交易条件上实行不合理的差别待遇 |
自动化决策 情况说明 |
查阅情况说明,验证开展的自动化决策活动是否涉及决策 交易条件 ,包括交易价格、交易机会等 |
|
自动化决策 机制说明 |
查验机制说明,是否根据消 费者偏好 、 交易习惯 等对进行自动化决策交易条件 |
|
|
个人信息保护影响 评估报告 |
查阅评估报告,是否针对个人在交易条件上不合理的 差别待遇进行评估 ,并根据结果采取有效措施,避免出现不合理差别待遇 |
梳理建议:
该章共计10项审计内容,大约细分为26项审计证据,其中:
情况说明类: 5项,统揽之均为对自动化决策的场景进行梳理分类,以明确哪些涉及个人信息的自动化决策、哪些涉及对个人权益产生重大影响、哪些涉及信息推送、商业营销、哪些导致交易条件的差别化待遇等。企业须具备基本的个人信息处理场景梳理能力,快速收集不同业务活动中涉及自动化决策的场景及类型。
制度机制类: 5项,为管理类文本,在一段时间内相对固定,一旦制定后无需频繁更改运维。主要涉及个人信息保护管理制度、科技伦理审查制度、个人信息自动化决策机制(包括响应用户拒绝和说明、信息推送或商业营销等机制), 企业可以考虑先制定后优化的思路,切忌一步到位,全而不用。
评估报告类: 5项,分别涉及个人信息保护影响评估、算法模型安全评估、算法科技伦理审查。个人信息处理者应对个人信息保护影响评估较熟知,须关注评估的是否完整包含自动化决策的所有场景,考虑如何提高效率,减少重复评估等。算法安全评估及科技伦理审查应在需要时,按照《信息安全技术机器学习算法安全评估规范》或《科技伦理审查办法(试行)》的要求进行。
记录证明类: 5项,分别为模型备案记录、用户响应记录、用户个人标签的删除/修改记录、算法变更日志以及自动化决策退出机制的验证记录。除了模型备案和算法变更为后台管理的记录,其余3类记录可以在与用户交互的应用程序中自动收集,以便于审计。
界面呈现类: 3项,包含隐私政策、告知文案、用户退出自动化决策的界面等。企业在设计个人信息处理活动时,应该将隐私及用户权利响应等考虑在内,此类证据并非审计新增要求。
技术保障类: 3项,包含系统配置、数据保护技术、加密技术、访问权限等。该类技术常见于数据安全和防护的应用中,企业须确保在个人信息自动化决策过程中充分利用这些技术措施,为审计工作提供证据。
第27章 内部管理制度和操作规程
核心内容:
|
审计内容 |
审计证据 |
审计方法 |
|
个人信息保护的方针、目标、原则是否符合法律、行政法规规定 |
个人信息保护管理 制度 和操作 规程 |
查阅管理制度和操作规程 |
|
查验是否明确个人信息保护工作的 方针、目标、原则 |
||
|
负责人 访谈结果 |
访谈个保有关负责人, 是否了解 有关规定要求,对个人信息保护工作的方针、目标、原则等做出 清晰解释 |
|
|
个人信息保护组织架构、人员配备、行为规范、管理责任与应当履行的责任相适应 |
个人信息保护管理 制度 |
查阅相关文档,是否明确组织 架构 、 人员 配备、 行为 规范、管理 责任 |
|
机构 设立或 人员 任命文件 |
查阅文件,查验负责机构的设置、组织负责人、机构负责人、工作人员岗位设置 |
|
|
流程审批 记录 |
查阅流程文档,是否为 对外共享、数据出境、影响评估 等重要事项设置 管控卡点 ,进行审核和记录 |
|
|
日志 记录 |
核查个人信息的访问控制措施,查看 业务系统、数据库、审计平台 等日志记录和告警信息,查看违规记录和处置记录 |
|
|
是否根据个人信息的种类、来源、敏感程度、用途等,对个人信息进行分类,并采取有针对性的管理或者安全技术措施 |
数据分类分级、数据资产 制度文件 |
查阅 相关制度 文件 ,是否明确实施数据分类分级的 依据和方法 访谈 有关人员,能否对个人信息的 来源、用途以及数据定级 进行清晰的说明。 |
|
数据分级分类目录、数据资产 清单 |
查阅相关清单,是否对 个人信息资产 进行全面的梳理和记录 |
|
|
数据防护策略等 文件 |
查阅技术文档或方案,是否针对 不同等级 的数据设置合理的 防护措施 |
|
|
数据库、数据资产管理系统等 记录 |
查阅是否采用人工或自动化的方式,核查 数据库表字段 ,以验证数据资产清单的准确性 |
|
|
是否建立个人信息安全事件应急响应机制 |
个人信息管理 制度 、个人信息安全事件应急 预案 、操作 流程 |
查阅有关文档,查验是否建立对个人信息 安全事件 的 定义 和 定级 ,是否建立安全事件的 发现 、 处置 和 报告 的流程 |
|
事件处置 记录 |
查阅记录和日志,内容是否包含发现事件的 时间、原因 、涉及个人信息的 类型和数量 ,发生事件的 系统和设备 、有关责任方、采取的 阻断或补救 措施,对个人信息主体造成的 影响 等 |
|
|
互联网或威胁 情报 |
通过互联网或威胁情报,搜集 近一年 内可能发生的信息泄露事件,访谈有关人员,了解事件的 真实性 和 处置情况 |
|
|
是否建立个人信息保护影响评估、合规审计制度 |
个人信息管理 制度 |
查阅 个人信息管理制度 |
|
个人信息保护影响评估 报告 |
审阅评估报告,是否包括 发起 影响评估的 原因 、 评估结果 和审 批流程 |
|
|
合规审计 报告 |
查阅合规审计的规定,审阅合规审计的 结果 和 问题整改 情况 |
|
|
是否建立畅通的个人信息保护投诉举报受理流程 |
个人信息管理 制度 |
查阅管理制度相关处理个人信息投诉、举报的规定, 受理的部门 、 处理流程、响应时间 和 完成 处理的 时限 ; |
|
个人信息保护投诉举报受理 记录 |
查阅投诉、举报的 处理记录 ,验证投诉、举报渠道的有效性 |
|
|
是否制定实施个人信息保护安全教育和培训计划 |
个人信息管理 制度 |
查阅管理制度相关安全教育和培训的规定, 培训周期 和 参与 培训的 人员 |
|
个人信息保护安全教育和培训计划和 记录 |
查阅培训材料和记录,确认培训实施与计划的 一致性 |
|
|
是否建立个人信息保护负责人及相关人员履职评价制度 |
个人信息管理 制度 |
查阅管理制度中规定 负责人 及相关人 职责 和 考核评价 的要求 |
|
人员履职和考核的评价 记录 等 |
访谈考评负责人员,了解评价 方法 和 内容 |
|
|
是否建立针对个人信息处理相关人员的违规处置或者违规行为责任制度 |
个人信息管理 制度 |
查阅管理制度中的违规行为的 定义 和 处罚办法 |
|
违规行为处置 记录 |
审阅违规行为 处置记录 ,访谈有关负责人 |
梳理建议:
该章共计9项审计内容,大致细分为24项审计证据,其中:
制度流程类 :共10项,主要涉及个人信息保护管理制度和操作流程、信息安全事件应急预案、数据资产及分类分级制度、数据防护策略文件。除了数据资产及分类分级制度需个人信息处理者根据自身实际情况订制外,其余的流程类文件均可以作为个人信息保护管理制度的子集,在制定管理制度时统一制定。
记录清单类 :共9项,基本涉及每个审计内容。需要关注的是,数据分类分级目录和数据资产清单不同于其他事件、活动、行为的记录,是需要企业持续维护及更新,并通过系统化或与人工结 合的方式,尽量保持与数据库表的一致性。
报告情报类 :共3项,分别为个保影响评估报告、合规审计报告和信息泄露事件互联网情报。由于审计报告是企业开展个保审计自然的结果,因此需要将重点放在发现的问题和整改措施上。值得关注的是基于互联网或威胁情报,对过去的安全事件进行回溯式访谈,确定其是否真实发生以及企业当时采取的处置动作。这将对企业事件响应流程的有效性及执行水平提出极高的要求。
其他 :共2项,组织及机构人员设置文件、负责人访谈结果。此两类证据旨在要求企业有完整的组织架构、明确的负责人员及职责范围,且负责人有意识推进制度落地,确保个人信息保护合规框架及流程得以完整执行。
第14章 向境外提供个人信息
核心内容:
|
审计内容 |
审计证据 |
审计方法 |
|
关键 信息基础设施运营者,是否经过国家网信部门组织的安全评估 |
数据出境安全 评估报告 、 评估 结果通知书 |
确定处理的个人信息 规模 |
|
查看 评估报告 ,是否经过国家网信部门组织的安全评估 |
||
|
评估期限 是否符合规定、评估记录 保存时限 是否符合要求 |
||
|
评估发现的问题是否有 整改记录 |
||
|
平台系统 记录 |
查验 平台系统的个人信息提供 记录 ,是否存在未经国家网信部门组织的安全评估或超出安全评估范围的情况 |
|
|
非关键信息基础设施运营者,自当年1月 1 日起累计向境外提供 100 万人以上个人信息或者 1 万人以上敏感个人信息是否经过国家网信部门组织的安全评估 |
数据出境安全 评估报告 |
处理的个人信息规模;评估报告,是否经过国家网信部门组织的安全评估;三是评估期限是否在规定范围内、评估记录保存时限是否符合要求;四是发现的问题是否有整改记录 |
|
平台系统 记录 |
查验平台系统的个人信息提供 记录 ,是否存在 未经 国家网信部门组织的安全评估或 超出 安全评估范围的情况 |
|
|
是否按照国家相关规定申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证 |
安全评估 通过证明 |
查验是否有安全评估 通过材料或证明 ,评估证明材料期限是否在 规定范围 内、评估记录保存时限是否符合要求 |
|
个人信息出境标准 合同 ,或个人信息保护 认证 |
查看是否订立了个人信息出境 标准合同 ,或通过个人信息保护 认证 |
|
|
是否存在向外国司法或者执法机构提供存储于中华人民共和国境内的个人信息的情形,若有,是否经过中华人民共和国主管机关批准 |
访谈 记录 和主管机关批准书面文件 |
询问是否存在向境外提供个人信息情形,如存在,审查是否有 书面批准 文件 |
|
平台系统 记录 |
查验平台系统的个人信息提供 记录 ,是否存在上述情形 |
|
|
中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的,是否按照其规定执行 |
访谈 记录 ,和缔结或参加的国际条约、协定 |
查看与出境相关的国家条约、协定等规定,询问 实际执行 过程中是否 符合 其要求 |
|
平台 系统记录 |
查验平台系统,是否存在 未按照 相关规定执行的情形 |
|
|
是否按照国家网信部门的规定,经专业机构进行个人信息保护认证或者按照国家网信部门制定的标准合同与境外接收方签订合同 |
个人信息保护 认证报告 |
查看 认证报告 |
|
与境外接收方签订的 合同 |
查看与境外接收方签订的合同,是否 按照标准合同 签订 |
|
|
是否了解境外接收方所在国家或者地区的隐私政策和网络安全环境对出境个人信息的影响 |
访谈 记录 |
询问访谈对象 境外接收方所在国 家或者地区的隐私政策、网络安全环境对出境的影响 |
|
是否存在违规向被列入限制或者禁止个人信息提供清单的组织和个人提供个人信息 |
向境外提供个人信息 记录 |
查验 记录 是否存在此类违规情形 |
|
访谈 记录 |
询问被审计人员是否存在此类 违规 情形 |
梳理建议:
该章共计8项审计内容,大致细分为15项审计证据,其中:
评估报告类 :共4项,分别涉及数据出境安全评估报告、安全评估结果/通过证明、个人信息保护认证报告。个人信息出境是数据出境的其中一类,因此满足一定条件(如关键基础设施运营者、非关基但当年累计出境个人信息超过一定量后)必须通过数据出境安全评估。此项工作为前两年数据合规工作的重点,相信大部分符合条件的企业已经完成或正在进行安全评估的过程中,因此较容易理解此项要求。但是关于另外一条出境合规路径:个人信息保护认证,由于目前缺乏明确的认证主体、认证流程及实际成熟的案例,企业可以选择签订标准合同的方式替代完成该合规义务。
记录证明类 :共9项,主要为访谈记录、平台向境外提供个人信息的记录。可以理解,此类记录为验证出境情形与安全评估/标准合同/保护认证/主管机构/国际条约等认可的范围一致,为常见的审计手段。
其他 :共2项,分别为标准合同文件或认证证书,为支撑性文档。
第13章 处理敏感个人信息
核心内容:
|
审计内容
|
审计证据
|
审计方法
|
|
处理敏感个人信息,以 同意 作为 合法性 基础的,是否 事前 取得个人的 单独同意
|
个人信息保护 管理制度
|
制度 是否 明确处理敏感个人信息,以 同意 作为 合法性 基础的, 事前 需要取得个人单独同意
|
|
处理敏感个人信息 情况说明
|
查看情况说明,验证 存在哪些 处理敏感个人信息的情况;
|
|
|
隐私政策或 用户协议
|
存在处理生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等敏感个人信息的,查验征得个人同意的机制,以及个人信息处理者与个人之间签署的 告知同意书 、 来往邮件 等
|
|
|
产品或服务上单独同意的 弹窗
|
使用App收集敏感个人信息的,查验个人信息处理者是否通过 单独弹窗 、 单独告知 等方式,征得单独同意
|
|
|
个人单独同意 记录
|
抽查所处理的敏感个人信息,是否存在对应的个人单独同意 记录
|
|
|
处理不满十四周岁未成年人的个人信息,是否事前取得未成年人的父母或者其他监护人的同意
|
个人信息保护 管理制度
|
查看制度, 是否明确 基于个人同意处理不满十四周岁未成年人的个人信息,事前需要取得未成年人的父母或者其他监护人的同意
|
|
处理敏感个人信息 情况说明
|
查看情况说明,验证 是否存在 处理不满十四周岁未成年人的个人信息的情况
|
|
|
隐私政策 、告知同意书、来往邮件
|
存在处理不满十四周岁未成年人个人信息的, 查验 征得个人同意的 机制 ,以及个人信息处理者与未成年人的父母或其他监护人之间签署的 告知同意书 、来往邮件等
|
|
|
产品或服务上可以进行同意的 按钮 、选项的 截图 ,
|
使用App收集未满十四周岁未成年人个人信息的, 查验 个人信息处理者是否 通过弹窗告知 等方式,征得未成年人的父母或其他监护人的同意
|
|
|
不满十四周岁未成年人父母或其他监护人同意的 记录 ,个人单独同意 记录
|
抽查处理不满十四周岁未成年人的个人信息,对应的事前取得未成年人父母或者其他监护人的 同意记录
|
|
|
处理敏感个人信息的 目的 、 方式 是否 合法 、 正当 、 必要
|
个人信息保护影响 评估报告
|
查看评估报告,是否 完整覆盖 处理敏感个人信息情况,是否对处理敏感个人信息的 目的、方式 是否 合法、正当、必要 进行评估
|
|
敏感个人信息处理 记录
|
查看情况说明,存在哪些处理情况,验证其处理目的、方式是否合法、正当、必要。
|
|
|
敏感个人信息处理是否与提供商品或者服务、履行法定职责或者法定义务等特定的目的密切相关,是否以非必要不处理为原则
|
个人信息保护影响 评估报告
|
查看评估报告中的处理敏感个人信息部分内容
|
|
敏感个人信息处理 记录
|
对 记录 进行 分析 ,查验敏感个人信息处理是否与 提供商品 或者 服务 、 履行法定 职责或者 法定 义务等特定的目的密切相关,是否以非必要不处理为原则
|
|
|
是否在事前进行个人信息保护影响评估,并向个人告知处理敏感个人信息的必要性以及对个人权益的影响
|
个人信息保护影响 评估报告
|
查看报告中对敏感个人信息的评估,查验是否建立了 事前评估 和 告知 机制
|
|
隐私政策或其它个人信息处理 规则
|
查看隐私政策或用户协议,是否 告知 处理敏感个人信息的 必要性 以及对个人权益的 影响
|
|
|
告知 机制 、告知文案、告知记录
|
查看告知文案和相关告知记录,是否告知处理敏感个人信息的必要性以及对个人权益的影响
|
|
|
法律、行政法规规定应当取得书面同意的,是否取得书面同意
|
书面同意 记录
|
获取相关书面记录,查验个人信息处理者是否取得书面同意
|
|
是否按照法律、行政法规对处理敏感个人信息规定取得相关行政许可或者遵守其限制性规定
|
相关行政许可 记录
|
查看相关 法律法规 ,是否作出对被审计对象涉及的敏感个人信息规定了行政许可或限制性规定,涉及行政许可的,查看相关行政许可记录,如涉及限制性规定的,查看对限制性规定进行的回应
|
|
对限制性规定进行的 回应
|
||
|
是否对处理敏感个人信息的过程进行了记录,以保障处理敏感个人信息流程合法合规
|
敏感个人信息处理 记录
|
查看处理敏感个人信息的过程记录,查验处理敏感个人信息的流程是否合法合规。记录宜包含个人信息处理者的 名称 和 联系信息 、 个人信息主体 的分类、 个人信息的类别 、处理的 目的 、处理的 合法性 基础、 留存期限 以及到期后的 清理措施 等;如涉及 委托处理 个人信息,宜包括受托人的 名称 和 联系方式 ;如涉及 共同处理 个人信息,宜包括共同处理者、个人信息处理者指定机构/代表和个人信息保护负责人的名称 / 姓名和联系信息;如涉及向 其他 个人信息处理者 提供 个人信息,宜包括个人信息 接收方 的名称和联系方式,包括境外的接收方;如涉及 向境外提供 个人信息,宜包含向境外提供个人信息的 机制 以及采取的 安全措施
|
梳理建议:
该章共计8项审计内容,大约细分为22项审计证据,其中:
制度机制类 :4项,为管理类文本,在一段时间内相对固定,一旦制定后无需频繁更新维护。主要涉及个人信息保护管理制度、隐私政策或用户协议中的个人信息处理规则、敏感个人信息处理的告知机制, 企业可以考虑先制定后优化的思路,不贪求一步到位,全而无用。
情况说明类 :2项,均为处理敏感个人信息的情况说明,以明确哪些场景涉及敏感个人信息的处理、哪些涉及不满十四周四的未成年人。与其他对处理个人信息的活动梳理类似,该两项要求企业须具备全面准确的个人敏感信息处理活动的梳理能力,完整说明个人信息的类别,处理活动细节及关联的信息主体类型等。
评估报告类 :3项,均为个人信息保护影响评估报告。与其他章节类似,个人信息处理者应对个人信息保护影响评估较熟知,须关注评估是否完整包含敏感个人信息处理的所有场景,如何提高评估触发的效率,减少重复、不必要评估对业务的干扰等。
记录证明类 :11项,占据了本章审计证据的一半。分别为同意类记录、个人信息处理记录、告知类记录、行政许可记录及限制性规定的响应记录。同意类和告知类是一个硬币的两面,同意伴随着告知的活动出现。个人信息处理者应该在个人信息收集点中自动收集告知及同意记录,以便于审计。敏感个人信息的处理记录作为个人信息处理记录的一类,在个保法有明确的要求,与欧盟通用数据保护法案中的ROPA要求类似,应包含个人信息从收集、存储、使用、传输到存档/删除各个步骤的细节,上述审计方法还对几类记录列举了具体要求,包含:委托处理、共同处理、向其他处理者提供个人信息、向境外提供信息等情况。
隐私政策类 :2项,包含隐私政策、用户协议、告知文案等。主要审计角度强调为获取单独同意的事前告知情况、告知处理敏感信息的必要性及对个人权益的影响、对未成年人的个人信息处理的特殊告知/同意安排。 个人信息处理者在审计应对中,应重点关注单独同意的订制化隐私政策,区分数据主体(如未成年人)的告知政策、以及隐私政策与实际处理活动的一致性。
第37章:个人信息保护社会责任报告
核心内容:
|
审计内容 |
审计证据 |
审计方法 |
|
每年发布个人信息保护社会责任报告 |
个人信息保护社会责任报告编制和发布 机制 |
查验报告的 编制 和 发布 机制 |
|
个人信息保护社会责任 报告 |
查验报告是否按照相应机制编制并正式发布;查验是否能够通过 公开渠道 获取责任报告 |
|
|
个人信息保护组织架构和内部管理情况披露 |
个人信息保护社会责任 报告 |
查验报告是否披露个人信息保护 组织架构 和 内部管理 情况,包括但不限于个人信息保护组织架构、个人信息保护制度规范情况等 |
|
个人信息保护能力建设情况披露 |
个人信息保护社会责任 报告 |
查验报告是否披露个人信息保护能力建设情况,包括但不限于管理 制度 、技术 方案 、行业合作等 |
|
个人信息保护措施和成效披露 |
个人信息保护社会责任 报告 |
查验报告是否披露个人信息保护措施和成效,包括但不限于个人信息 培训 、个人信息保护 技术实践 与突破、个人信息保护效果等 |
|
个人行使权利的申请受理情况披露 |
个人信息保护社会责任 报告 |
查验报告是否披露个人行使权利的申请受理情况,包括但不限于公布个人行使权利的 申请渠道 、受理 处置规程 、受理处置效果、受理 情况统计 等 |
|
独立监督机构履职情况披露 |
个人信息保护社会责任 报告 |
查验报告是否披露独立监督机构履职情况,包括但不限于是否建立 独立监督机构 、是否具有完整的个人信息保护监督流程、是否就个人信息保护监督做出反馈 |
|
重大个人信息安全事件处理情况披露 |
个人信息保护社会责任 报告 |
查验报告是否披露 重大 个人信息 安全事件 的处理机制,是否披露重大个人信息安全事件的处理情况 |
梳理建议:
该章共计7项审计内容,大致细分为8项审计证据,其中:
机制类 :共1项,为个人信息保护社会责任报告编制和发布机制。由于个人信息保护法中要求:提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当履行下列义务:(四)定期发布个人信息保护社会责任报告,接受社会监督。因此非该类型的个人信息处理者,可自行判断是否需要制定并发布该报告。
报告类 :共7项,均为个人信息保护社会责任报告。需要关注的是,重要安全事件、个人主体权利的行使响应、互联网平台的独立监督机制、个人信息保护组织框架、保护措施的实施及成效等均为社会责任报告重点关注的内容。
第23章 个人信息删除权保障情况
核心内容:
|
审计内容 |
审计证据 |
审计方法 |
|
个人信息处理目的已实现、无法实现或者为实现处理目的不再必要,是否删除或匿名化处理个人信息 |
个人信息删除或匿名化处理的 管理制度 |
查验是否 建立 删除或匿名化 机制 |
|
个人信息删除或匿名化 机制 |
查看机制的相关规则,是否有 覆盖 个人信息处理目的已实现、无法实现或者为实现处理目的不再必要的 内容 ;询问 是否存在 个人信息处理目的已实现、无法实现或者为实现处理目的不再必要的 情形 |
|
|
个人信息删除或匿名化处理的 记录 、系统 日志 |
查看相关 记录 或系统 日志 ,查验个人信息处理目的已实现、无法实现或者为实现处理目的不再必要,是否删除或匿名化处理个人信息 |
|
|
停止提供产品或者服务,或者个人注销账号,是否删除或匿名化处理个人信息 |
个人信息删除或匿名化处理的 管理制度 |
查验是否建立删除或匿名化机制 |
|
个人信息删除或匿名化 机制 |
查看机制中关于删除或匿名化处理的规则,是否有覆盖 停止提供产品 或者 服务 或者个人 注销 账号的情形 |
|
|
个人信息删除或匿名化处理的 记录 、系统 日志 |
查看记录或系统日志, 验证 停止提供产品或者服务,或者个人注销账号, 是否删除 或 匿名化处理 个人信息 |
|
|
达到与个人约定的存储期限,是否删除或匿名化处理个人信息 |
个人信息删除或匿名化处理的 管理制度 |
查看是否有管理制度 |
|
个人信息删除或匿名化 机制 |
查看关于个人信息删除或匿名化处理机制的相关规则,是否有 覆盖达到 与个人约定的 存储期限 的情形 |
|
|
个人信息删除或匿名化处理的 记录 、系统 日志 |
查看删除或匿名化记录或系统日志,查验 达到 与个人约定的 存储期限 ,是否删除或匿名化处理个人信息 |
|
|
个人撤回同意,是否删除或匿名化处理个人信息 |
个人信息删除或匿名化处理的 管理制度 |
查看是否有管理制度 |
|
个人信息删除或匿名化 机制 |
查看内部规范中关于个人信息删除或匿名化处理机制的相关规则,是否有 覆盖个人撤回同意 的情形 |
|
|
个人信息删除或匿名化处理的 记录 、系统 日志 |
查看删除或匿名化记录或系统日志,查验个人 撤回同意后 ,是否删除或匿名化处理个人信息 |
|
|
因使用自动化采集技术等,无法避免采集到非必要个人信息或者未经同意的个人信息,是否删除或匿名化处理个人信息 |
个人信息删除或匿名化处理的 管理制度 |
查看是否有管理制度 |
|
个人信息删除或匿名化 机制 |
查看是否有个人信息删除或匿名化处理个人信息 |
|
|
个人信息删除或匿名化处理的 记录 、系统 日志 |
查验记录和日志,验证机制 |
|
|
个人信息处理者违反法律、行政法规或者违反约定处理个人信息,是否删除或匿名化处理个人信息 |
个人信息删除或匿名化处理的 管理制度 |
查看删除或匿名化处理机制的相关规则,是否覆盖个人信息处理者 违反法律 、 行政法规 或者 违反约定 处理个人信息的情形 |
|
个人信息删除或匿名化 机制 |
查验个人信息处理者 近1年内 是否存在违反法律、行政法规或者违反约定处理个人信息的情形。若存在,是否已删除或匿名化处理个人信息 |
|
|
个人信息删除或匿名化处理的 记录 、系统 日志 |
查看个人信息删除或匿名化 记录 或 系统日志 ,验证该机制 |
|
|
法律、行政法规规定的保存期限未到,或者删除个人信息从技术上难以实现的,个人信息处理者除存储和必要的安全措施之外,是否停止其他处理活动 |
个人信息删除或匿名化处理的 管理制度 、个人信息删除或匿名化 机制 |
查看内部规范是否有覆盖法律、行政法规规定的 保存期限未届满 , 或 者 删除个人信息 从技术上 难以实现 的情形 |
|
访谈 记录 |
访谈相关人员是否存在法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的情形 |
|
|
个人信息删除或匿名化处理的 记录 、系统 日志 、已采取的安全措施 |
查看处理记录、系统日志和采取的安全措施,验证上述情形下,个人信息处理者是否 停止 除存储和采取必要的安全措施之外的 处理 |
梳理建议:
该章共计7项审计内容,大致细分为22项审计证据,其中:
管理制度类 :共7项,均为个人信息删除或匿名化处理的管理制度。该制度通常作为个人信息保护管理制度的一部分,由企业数据合规或信息安全部门制定。该审计证据强调个人信息删除或匿名化的管理制度应该包含以下场景:个人信息处理不再必要时、个人信息主体和处理者不再是服务和被服务关系时、个人信息存储超出约定期限时、未超出存储期限内但处理目的不存在时、违反法律法规约定采集时、同意被撤回时、自动化技术采集到非必要个人信息时等。总的来看,审计的是处理的必要性,是否超过存储期限、是否违法、违规、违约。
记录证明类 :共8项,主要为个人信息删除或匿名化处理的记录、系统日志、访谈记录等。从审计角度,难点在于将上述不同场景的无需处理个人信息的情况和系统日志、处理记录映射起来,这就要求企业将处理活动的梳理与后续的删除/匿名化处理动作衔接起来,形成完整的证据链。
机制说明类 :共7项,均为个人信息删除或匿名化机制。所谓机制,其实为需要采取删除或匿名化处理的规则,当满足处理不再必要时、超过存储期限时、未超期限但处理目的不在时、违法违规违约收集时等,需要采取删除/匿名化,使得识别自然人变得不再可能。
第1章 个人信息处理活动的合法性基础条件
核心内容:
|
审计内容 |
审计证据 |
审计方法 |
|
处理个人信息是否取得个人同意,该同意是否在个人信息主体充分知情的前提下自愿、明确作出 |
征得个人同意 机制说明 |
查验个人信息处理活动是否属于 基于 个人 同意 处理个人信息; 查验征得个人同意机制能否保证在 处理 个人信息 前 取得个人同意; 查验征得个人同意机 制中,个人是否 自愿 、 明确 的做出同意行为,不存在 默认 同意、 强制 同意、 欺骗诱导 等 |
|
隐私政策 |
查阅 各渠道 隐私政策说明是否 充分 |
|
|
取得个人同意的 实例记录 |
抽查取得个人同意的实例记录 |
|
|
基于个人同意处理个人信息,个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,是否重新取得个人同意 |
个人信息处理 管理机制 |
查验管理个人信息 处理目的 、处理 方式 和处理个人信息 种类 的 机制 |
|
重新征得个人同意 机制说明 |
查验重新征得个人同意机制,能够在个人信息的处理目的、处理方式、处理的个人信息种类发生 变更 时 重 新征得 个人同意 |
|
|
个人信息处理 审批记录 |
查验个人信息处理目的、处理方式和处理个人信息种类发生 变更 时的 审批记录 |
|
|
隐私政策 |
查验个人信息处理目的、处理方式和处理个人信息种类变更后,相应渠道隐私政策是否 同步修改 |
|
|
重新取得个人同意的 实例记录 |
抽查重新征得个人同意的实例记录,核验征得个人同意机制能否保证 重新 取得个人同意 |
|
|
基于个人同意处理个人信息,是否为个人提供便捷的撤回同意的方式 |
个人信息处理管理 机制 |
查验机制是否 涵盖 撤回 同意部分内容 |
|
隐私政策 |
查验隐私政策是否说明了个人撤回同意的具体事项 |
|
|
撤回同意的 记录 |
查验个人撤回同意的方式和记录,是否存在撤回同意的 入口隐藏 过深、明显小号 字体 、需 线下 操作、提供额外信息等 不便捷 形式 |
|
|
基于个人同意处理个人信息,是否对个人同意的操作进行记录 |
个人同意操作 记录 |
查验是否有个人同意操作记录,包括 首次 处理个人信息的个人 同意记录 、处理规则变更后 重新 取得的 同意 记录、 撤回同意 记录 |
|
基于个人同意处理个人信息,是否存在以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务的情况;处理个人信息基于其他合法性基础的除外 |
个人信息处理管理 机制 |
查验机制是否 涵盖 撤 回同意部分内容 |
|
提供撤回同意的方式和 记录 |
查验个人信息主体撤回同意的 方式 和 记录 |
|
|
撤回同意后的个人信息处理 机制 |
抽查不提供 非必要 个人信息或撤回同意 非必要 个人信息,是否能够 使用 产品或服务 |
|
|
处理个人信息未取得个人同意,是否属于法律、行政法规规定不需取得个人同意的情形 |
个人信息保护管理 制度 |
查阅管理制度,是否明确规定处理个人信息 不需要 取得个人 同意 的情形,规定的情形是否 符合 法律、行政法 规要求 |
|
隐私政策 |
查阅各渠道隐私政策,是否明确说明处理个人信息 不需要 取得个人同意的情形 |
|
|
个人信息处理 同意记录 |
抽查个人信息处理活动是否存在 未征得 个人同意的情况,存在未征得个人同意的, 是否属于 法律、行政法规规定不需要取得个人同意的情形 |
请到「今天看啥」查看全文
推荐文章
|
|
高分子科学前沿 · 巨星陨落!中国工程院院士黄旭华逝世 昨天 |
|
|
康石石 · 宠物设计大火缺人,视传、产品、交互,各专业如何做宠物相关作品集项目 昨天 |
|
|
高分子科学前沿 · 东华王刚、孙恒达/川大冯良文《AM》:直接微光刻技术实现有机半导体晶体管光-电-离协同的晶圆级集成 2 天前 |
|
界面新闻 · 除了折价10%买进万科 中金的这家营业部还对格力电器钟爱有加 7 年前 |
|
哈尔滨发布 · 【冰城新闻】部分柴油黄标车可办“黄改绿”|要求行驶里程不超过30万公里 排放阶段为国Ⅱ标准 7 年前 |
|
哎咆科技 · ATM 机里发现一枚大叔,真尴尬... 7 年前 |
|
狮说新语 · 孙兴杰:十字路口上的朝核问题 7 年前 |
|
金羊毛工作坊 · NSE新闻 | 文一:伟大的中国工业革命 7 年前 |