个保合规审计实务指南09：如何审计个人信息处理的必要性？

DPOHUB个保合规审计专业群

#目标# 个保合规审计专业人士 一起共享时代红利！风口来了，猪也能飞起来！

#愿景# 建立个保合规审计平台和渠道， 法律、技术和管理 等专家 相互赋能。

#申请# 设置 专业门 槛 ，入群需说明个人信息保护相关 实务经验 。

请说明姓名+单位+职位+项目经验

自2021年《个人信息保护法》第54条和第64条中明确了合规审计要求，个人信息保护合规审计就引起了广泛关注。

2023年8月国家网信办发布的《个人信息保护合规审计管理办法（征求意见稿）》；

2024年7月12日，全国网络安全标准化技术委员会发布了国家标准《数据安全技术 个人信息保护合规审计要求》征求意见稿；

2024年7月25日，中国网络空间安全协会发布团体标准《个人信息保护合规审计技术能力及工具要求》征求意见稿；

2024年9月24日，《网络数据安全管理条例》正式发布！并于2025年1月1日施行 ！

2024年11月19日， 全国网安标委开启国家标准《个人信息保护合规审计要求》试点。

2025年2月14日，《个人信息保护合规审计管理办法》正式发布！并于5月1日施行！

2025年3月3日，全国网安标委《个人信息保护合规审计 专业机构服务能力要求》公开征求意见

由此，个人信息保护合规审计的制度箭在弦上，蓄势待发！企业开展个保合规审计的重要性越发凸显。

如何审计个人信息处理必要性？

C.2.1

a) 审计内容：处理个人信息是否具有明确、合理的目的，是否与处理目的直接相关。

b) 审计证据：隐私政策、个人信息上传记录、个人信息存储记录。

c) 审计方法：

1) 查阅隐私政策，其中主要业务场景处理个人信息的目的是否明确、合理，处理个人信息的种类是否与目的直接相关。

2) 对于长期存储的个人信息，抽查主要业务场景存储的个人信息内容是否与处理目的直接相关。

3) 对于不长期存储的个人信息，抽查主要业务场景上传的个人信息内容是否与处理目的直接相关。

C.2.2

a) 审计内容：是否采取对个人权益影响最小的方式处理个人信息。

b) 审计证据：个人信息处理的相关流程说明，如业务逻辑、数据流图等，个人信息处理过程实例。

c) 审计方法：

1)查验个人信息处理流程，核验处理每项个人信息是否采取对个人权益影响最小的方式。

C.2.3

a) 审计内容：是否仅限于实现处理目的的最小范围收集个人信息。

b) 审计证据：隐私政策、个人信息处理情况记录。

c) 审计方法：

1)查验处理的个人信息种类、数量和频率是否为实现处理目的所需的最少种类、最少数量和最低频率。

C.2.4

a)审计内容：是否强制要求个人信息主体同意非必要的个人信息处理行为。

b)审计证据：个人信息处理的相关流程说明、隐私政策、个人信息处理过程实例。

c)审计方法：

1)查阅隐私政策和个人信息处理的相关流程说明，核验个人信息处理行为涉及的非必要个人信息；

2)查验当个人信息主体拒绝同意处理非必要个人信息后，是否能够继续使用对应业务功能。

C.2.5

a)审计内容：是否因个人信息主体不同意处理非必要个人信息或撤回同意，每次重新使用产品或服务时，向用户频繁询问是否同意处理非必要个人信息。