正文

《数据安全技术 个人信息保护合规审计要求(征求意见稿)》发布

admin
admin V管理员 /0 评论 /98 阅读
0715
此篇文章发布距今已超过66天,您需要注意文章的内容或图片是否可用!
网安秘字〔2024〕86号
全国网络安全标准化技术委员会归口的国家标准《数据安全技术 个人信息保护合规审计要求》现已形成标准征求意见稿。
根据《全国网络安全标准化技术委员会标准制修订工作程序》要求,现将该项标准征求意见稿面向社会公开征求意见。标准相关材料已发布在网安标委网站(网址https://www.tc260.org.cn/front/bzzqyjList.html?start=0&length=10),如有意见或建议请于2024年9月11日24:00前反馈秘书处。
联系人:
王丹丹 18811126578 [email protected]
张博然 13051502670 [email protected]
全国网络安全标准化技术委员会秘书处
2024年7月12日
《个人信息保护法》第54条明确:个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。
差不多一年前的2023年8月3日,网信办发布《个人信息保护合规审计管理办法(征求意见稿)》
7月12日,网安标委发布《数据安全技术 个人信息保护合规审计要求(征求意见稿)》
全国网络安全标准化技术委员会于2023年8月30日立项《数据安全技术 个人信息保护合规审计要求》国家标准制定项目。该标准由中国电子技术标准化研究院牵头,并联合中国电子信息产业发展研究院、中国信息通信研究院、中央网信办数据与技术保障中心等几十家单位共同编制。
制定背景
《个人信息保护法》第五十四条、第六十四条要求个人信息处理者自行开展合规审计以及个人信息处理活动存在较大风险或发生安全事件时,按照履行个人信息保护职责部门要求委托专业机构开展个人信息保护合规审计。为支持《个人信息保护法》落地实施,需要从国家标准层面提出开展个人信息保护合规审计的审计原则、审计总体要求。
标准编制原则
本标准在编制过程中遵循了问题导向原则、协调性原则。
本标准旨在支撑《个人信息保护法》第五十四条、第六十四条提出的个人信息保护合规审计制度的贯彻落实,解决由于缺少具体审计过程规范要求、审计开展方式步骤要求等,导致个人信息保护合规审计不易开展的问题。
主要内容及其确定依据
本标准规定了依据《个人信息保护法》开展个人信息保护合规审计的审计原则、审计总体要求。适用于个人信息处理者内部机构或委托专业机构开展的个人信息保护合规审计工作。个人信息处理者按照履行个人信息保护职责的部门要求委托专业机构对其个人信息处理活动进行合规审计时可作为参考。主要内容包括:
(1)本标准给出了个人信息保护合规审计的审计原则、审计总体要求,针对个人信息处理者以及开展个人信息保护合规审计的审计人员提出了总体要求


(2)本标准具体落地《个人信息保护法》第五十四条规定的“个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。”为更好得提供落地性指导,本标准附录给出了个人信息保护合规审计流程、个人信息保护合规审计证据、个人信息保护合规审计内容和审计方法、个人信息保护合规审计底稿模板、个人信息保护合规审计报告模板等参考。
(3)本标准附录C个人信息保护合规审计内容和审计方法主要根据中央网信办2023年8月发布的《个人信息保护合规审计管理办法(征求意见稿)》确定审计内容,在此基础上,补充了对收集个人信息最小必要要求的审计内容,和依据《未成年人网络保护条例》补充了针对未成年人个人信息保护的审计内容。针对个人信息出境的内容,则根据《促进和规范数据跨境流动规定》进行了修改。
中华人民共和国国家标准
GB/T XXXXX—XXXX
数据安全技术 个人信息保护合规审计要求
Data security technology — Personal Information Protection Compliance Audit Requirements
(本稿完成时间:2024年6月27日)
XXXX - XX - XX发布
XXXX - XX - XX实施
目 次
前 言
1范围
2规范性引用文件
3术语和定义
4个人信息保护合规审计原则
5个人信息保护合规审计实施要求
5.1 个人信息处理者审计工作开展要求
5.1.1 个人信息保护合规审计流程
5.1.2 个人信息保护合规审计实施管理
5.1.3 个人信息保护合规审计证据管理
5.1.4 个人信息保护合规审计专业机构权限
5.2 审计人员要求
5.2.1 审计人员专业能力要求
5.2.2 审计人员独立性要求
5.2.3 审计人员客观性要求
5.2.4 审计人员公正性要求
5.2.5 审计人员保密性要求
5.2.6 审计人员实施要求
附 录 A (资料性) 个人信息保护合规审计流程
附 录 B (资料性) 个人信息保护合规审计证据
附 录 C (资料性) 个人信息保护合规审计内容和审计方法
附 录 D (资料性) 个人信息保护合规审计底稿模板
附 录 E (资料性) 个人信息保护合规审计报告模板
参 考 文 献
前 言
本文件按照GB/T 1.1—2020《标准化工作导则  第1部分:标准化文件的结构和起草规则》的规定起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。
本文件由全国网络安全标准化技术委员会(SAC/TC 260)提出并归口。
本文件起草单位:。
本文件主要起草人:。
1 范围
本文件提出了个人信息保护合规审计原则,规定了个人信息保护合规审计的实施要求。
本文件适用于个人信息处理者开展个人信息保护合规审计工作,也可为相关机构对个人信息处理活动进行个人信息保护合规审计提供参考。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 25069—2022  信息安全技术  术语
GB/T 35273—2020 信息安全技术  个人信息安全规范
3 术语和定义
GB/T 25069—2022、GB/T 35273—2020界定的以及下列术语和定义适用于本文件。
3.1个人信息保护合规审计 personal information protection compliance audit
指针对个人信息处理者的个人信息处理活动是否遵守法律、行政法规的情况进行审查和评价的监督活动。
3.2审计证据 audit evidence
审计人员获取的能够为个人信息保护合规审计审计结论提供合理基础的全部事实,包括个人信息保护合规审计过程中收集、使用或发现的记录、事实陈述或其他信息。
3.3审计对象 audit object
被审计方的个人信息处理活动、信息系统、应用程序以及相关部门、人员和制度等。
3.4审计依据 audit basis
开展个人信息保护合规审计所依据的法律、行政法规。
3.5审计方案 audit program
个人信息保护合规审计实施时的步骤和安排的描述。
3.6审计底稿 audit paper
审计人员对制定的审计计划、实施的审计程序、获取的相关审计证据,以及得出的审计结论作出的记录。
4 个人信息保护合规审计原则
个人信息保护合规审计应遵循合法性、独立性、客观性、全面性、公正性、保密性原则:
a)合法性原则:审计人员应了解并遵守所有适用的法律法规要求,在审计过程中始终遵守审计过程规范;审计活动的流程及人员应遵从相关法律法规;
b)独立性原则:审计人员应独立于审计活动,与被审计方无利益冲突。对于内部机构自行开展的审计,实施审计的人员应独立于具体被审计的个人信息处理活动;
c)客观性原则:审计人员收集和记录的审计证据应保证其可信性,应采取科学、透明的方式获得审计证据,应保证审计证据的真实、完整、有效;
d)全面性原则:审计人员针对审计对象,应进行全面、系统的审计,进行综合、全面、系统的审查,确保证据充分;
e)公正性原则:审计发现、审计结论和审计报告应真实和准确地反映审计活动;审计人员应报告在审计过程中遇到的重大障碍,以及审计组和被审计方之间没有解决的分歧。沟通必须真实、准确、客观、及时、清楚和完整;
f)保密性原则:审计人员应遵守保密协议,审慎使用并保护在审计过程获得的信息和数据。
5 个人信息保护合规审计实施要求
5.1 个人信息处理者审计工作开展要求
5.1.1 个人信息保护合规审计流程
个人信息处理者应定期开展个人信息保护合规审计。个人信息保护合规审计通常包括审计准备、审计实施、审计报告、问题整改、归档管理等阶段。附录A给出了个人信息保护合规审计参考流程。
5.1.2 个人信息保护合规审计实施管理
开展个人信息保护合规审计应加强管理,并满足以下要求:
a)个人信息处理者董事会(审计委员会)、个人信息保护负责人或者主要负责人应对个人信息保护合规审计体系的建立、运行与维护,以及合规审计的独立性和有效性承担最终责任;
b)应制定个人信息保护合规审计相关管理制度,以制度形式明确个人信息保护合规审计开展的形式、频率,以及合规审计人员的职责及权限;
c)应确保个人信息保护合规审计的独立性及相关审计履职所需资源及权限,包括合规审计预算和人力资源计划,以及必要的办公场地、系统、设备等;
d)个人信息处理者董事会(审计委员会)、个人信息保护负责人或者主要负责人应对个人信息保护合规审计工作进行监督;
e)提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当成立主要由外部成员组成的独立机构对个人信息保护合规审计情况进行监督;
f)个人信息处理者应建立健全个人信息处理管理制度、处理流程记录、处理日志记录、安全保护记录等,以供个人信息保护合规审计进行查阅和测评;
g)宜准备适当的审计工具,提高个人信息保护合规审计工作质量。
5.1.3 个人信息保护合规审计证据管理
个人信息处理者应保证提供的审计证据真实、完整、有效,并满足以下要求。附录B给出了个人信息保护合规审计证据类型及有效性参考。
a)管理文件应经过正当的起草或批准程序并生效实施;
b)协议文件应获得协议各方的有效同意并实际生效和执行;
c)纸质或者电子记录的工作档案应能够反映真实情况;
d)访问日志、存储日志、传输日志、删除日志等网络日志应是未经篡改的原始记录;
e)网络安全等级保护、个人信息保护认证、数据安全管理认证等证明应在有效期内;
f)个人信息处理相关检测报告应加盖测试机构公章并对内容真实性做出负责任承诺。
5.1.4 个人信息保护合规审计专业机构权限
个人信息处理者按照履行个人信息保护职责的部门要求委托专业机构开展个人信息保护合规审计的,应保证专业机构能够正常行使下列权限:
a)要求提供或者协助查阅相关文件或资料;
b)进入个人信息处理活动相关场所;
c)观察场所内发生的个人信息处理活动;
d)调查相关业务活动及所依赖的信息系统;
e)检查、测试个人信息处理活动相关设备设施;
f)调取、查阅个人信息处理活动相关数据或信息;
g)访谈与个人信息处理活动有关的人员;
h)就相关问题进行调查、质询和取证;
i)其他开展合规审计工作所必需的权限。
5.2 审计人员要求
5.2.1 审计人员专业能力要求
从事个人信息保护合规审计的审计人员在专业能力方面,应满足以下要求:
a)应了解并熟练掌握个人信息保护相关法律、行政法规、监管要求,能够准确判断被审计对象个人信息保护措施的合法性、有效性;
b)应熟悉个人信息保护合规审计流程、审计方法、审计要点及个人信息保护技术措施,能够严格按照审计流程完成审计工作;
c)宜具备个人信息保护相关领域专业能力的资质认证。
5.2.2 审计人员独立性要求
审计人员在实施个人信息保护合规审计时,应保持审计工作的独立性,并满足以下要求:
a)内部机构审计人员应回避自身负责的业务内容,不应直接参与被审计对象的日常业务运营、个人信息安全保护工作,且其工作不受被审计对象的约束;
b)外部专业机构审计人员同被审计对象及其工作人员不得存在亲属关系、利益往来、法律纠纷等可能影响其做出公正、独立审计结论的利害关系;
c)不应参加可能影响其独立履行审计职责的活动,不应接受任何可能影响其独立性判断的财物;
d)审计人员产生影响审计独立性行为的,应立即向审计组提交书面说明,审计组应暂时回避或终止其审计工作。
5.2.3 审计人员客观性要求
审计人员在实施个人信息保护合规审计时,应保持审计工作的客观性,并满足以下要求:
a)应保证收集和使用审计证据的可信性、真实性、有效性、完整性,应采用合法、科学、透明的方式获取审计证据;
b)应依据充分、客观、完整的审计证据出具审计结论,不应歪曲事实、隐瞒审计发现,不应做出有误导性或含糊的陈述;
c)不应参加可能影响其做出客观判断的活动,不应利用职权接受任何可能影响其做出客观判断的财物;
d)应主动、及时向审计组书面报告所获得的审计证据,避免影响到审计工作整体的客观评价。
5.2.4 审计人员公正性要求
审计人员在实施个人信息保护合规审计时,应保持审计工作的公正性,并满足以下要求:
a)应实事求是,做出不带偏见的、符合实际的中立判断;
b)在审计过程中遇到重大障碍或审计人员之间产生意见分歧的,应及时向审计组提交真实、准确、完整的书面报告。
5.2.5 审计人员保密性要求
审计人员在实施个人信息保护合规审计时,应保持审计工作的保密性,并满足以下要求:
a)外部审计机构应在审计工作开展前与被审计对象签订保密协议,约定双方在审计信息保密层面的责任义务,并设定违约条款;
b)内部审计机构应遵守公司内部的保密章程;
c)应严格按照保密协议或公司内部章程的要求保护审计数据,不应超出审计目的使用审计数据;
d)应在确保遵守被审计对象内部信息安全要求的前提下,正常开展审计工作;
e)未经被审计单位书面授权或法律另有规定的,不应向任何第三方披露任何审计数据。
5.2.6 审计人员实施要求
审计人员应将个人信息保护合规审计发现的安全问题准确记录在审计底稿中,审计工作底稿应内容完整、记录清晰、结论明确,客观地反映审计方案的编制及实施情况,以及与形成审计结论、意见和建议有关的所有重要事项。附录C给出了个人信息保护合规审计方法。附录D给出了审计底稿模板。
审计人员应在审计完成后撰写审计报告,审计报告是发表审计意见的书面文件,应包括但不限于审计概况、审计依据、审计结论、审计发现、审计意见、审计建议等。内部机构出具的审计报告应由审计组长签字,并提交给相应负责人;专业机构出具的审计报告应由专业机构负责人、合规审计负责人签字并加盖公章。附录E给出了个人信息保护合规审计报告模板。
附 录 A(资料性)个人信息保护合规审计流程
A.1 概述
个人信息保护合规审计流程包含审计准备、审计实施、审计报告、问题整改、归档管理5个阶段,见图1。

图1 个人信息保护合规审计工作流程图
A.2 审计准备阶段
A.2.1 建立审计组
个人信息处理者内部机构或者委托的专业机构应综合考虑组织规模,业务种类,个人信息数量、种类、敏感程度,涉及系统的复杂程度等因素,组建审计组,任命审计组长,选派合格胜任的审计人员,组织审前培训。
审计组长应负责统筹配置和管理审计资源,安排审计工作分工,组织编制和审核审计实施方案,审核审计工作底稿和审计证据,组织完成审计结论,组织编制和审核审计报告。
审计组应通过以下方式组建:
a)组织内部设置有专职个人信息保护合规审计团队的,应从审计团队中选派相关审计人员,必要时,在保持独立原则的前提下可从具有个人信息保护专业能力的团队中选派人员参与审计;
b)组织内未设置专职个人信息保护合规审计团队的,应在保持独立原则的前提下,分别从内审团队、安全团队、法务团队等具有审计或个人信息保护相关专业能力的团队中选派人员,来自各团队的人员比例应保持在合理范围内,并由审计组长审批人员名单;
c)委托第三方专业机构进行个人信息保护合规审计的,应由第三方专业机构组建审计组,必要时,在保持独立原则的前提下,组织内部的内审团队、安全团队、法务团队等具有审计或个人信息保护相关专业能力的人员可以参与审计并提供支持。
A.2.2 开展审前调查
在正式实施审计前,审计组应通过发放调查表格、查询数据、调阅资料、访谈人员等方式,充分调查了解个人信息处理者的个人信息保护情况,包括但不限于:
a)个人信息处理者的组织架构、个人信息保护负责人、个人信息保护管理部门等;
b)个人信息处理者涉及个人信息处理的场景和活动,个人信息处理活动包括以下内容:
1)处理个人信息的类别、数量、敏感程度;
2)处理个人信息的目的、方式、范围;
3)处理个人信息的关键业务场景及相关流程。
c)支撑个人信息处理活动的信息系统情况;
d)个人信息处理者的个人信息保护相关管理制度和操作规程等;
e)个人信息处理者采取的相关安全技术措施等;
f)个人信息处理者已发生的个人信息相关安全事件或违规事件等。
A.2.4 确定审计方式方法
个人信息保护合规审计应采取现场审计和非现场审计相结合的方式,宜采用电子化和自动化审计方式,提高审计工作质量。
审计人员应根据审计对象,选择合适的审计方式,以获取所需的审计证据。
A.2.5 编制和评审审计方案
开展每个具体的个人信息保护合规审计项目前,审计人员应结合审计对象和审计方式,识别法律、行政法规等合规要求的变更,及时更新补充审计合规要求,编制审计方案。审计人员编制项目审计方案时,应充分借鉴个人信息保护相关法律、行政法规、国家标准和行业规范,并考虑下列因素:
a)高度依赖个人信息处理的关键流程;
b)个人信息处理者的组织架构和战略目标;
c)个人信息保护的长期规划和近期计划;
d)与个人信息处理活动密切相关的业务形态、业务流程和变更情况;
e)近三年个人信息合规审计所发现的问题及整改情况;
f)近三年发生的个人信息安全事件;
g)个人信息相关投诉举报情况;
h)个人信息处理活动相关特定技术;
i)涉及特殊群体的个人信息;
j)其他影响个人信息保护合规审计结论的因素。
审计方案是审计人员在实施审计时需要执行的一系列既定步骤,对每一步审计行动做出具体规定,以确保审计目标的实现。针对大部分常规审计活动可制定通用的审计方案,针对特殊场景可根据具体情况制定单独的审计方案。审计方案应包括下列基本内容:
a)被审计单位、审计对象的名称;
b)审计目标和范围;
c)审计依据和内容;
d)审计流程和方法;
e)审计组成员的组成及分工;
f)审计起止日期;
g)审计进度安排;
h)对专家和外部审计工作结果的利用;
i)审计实施所需资源;
j)审计风险管理措施;
k)其他有关内容。
审计方案编制完成后,审计组长和被审计方应对审计方案进行评审。审计方案评审应重点考虑以下事项:
a)结合以往开展的审计工作,审计方案是否可以改进;
b)审计工作的过程和输出物是否遵循相关的法律法规、标准规范等的要求;
c)与审计工作有关的保密和安全事宜;
d)相关方对审计工作进一步的需求和期望。
审计目标、审计对象、审计依据等发生变化时,应重新编制审计方案。
A.3 审计实施阶段
A.3.1 发送审计通知
正式实施审计前应通知被审计对象负责人,并明确以下事项:
a)审计工作参与者及其工作职责;
b)审计目标、范围和依据;
c)审计中所用的方法;
d)审计组成员的到场对组织可能形成的风险的管理方法;
e)审计组和被审计方之间的正式沟通渠道;
f)审计组所需的资源和设施;
g)有关保密和信息安全事宜;
h)审计组的日常安全事项、应急和安全程序;
i)审计对象对审计发现、审计结论等的反馈渠道。
A.3.2 收集审计证据
审计人员应多渠道、广泛收集审计证据,降低审计风险,确保审计质量。审计证据应与审计目的相关联,并能如实反映客观要求。
审计人员应对获取到的审计证据进行妥善保管,并进行集中归档,及时整理成对应的审计底稿。
A.3.3 采信审计证据
审计人员应仅采信符合要求的审计证据,应采信履行个人信息保护职责的部门本年度组织的或者仍处于有效期内的网络安全、数据安全、个人信息保护相关检查、检测、评估、认证结果。
A.3.4 撰写审计底稿
审计工作底稿应内容完整、记录清晰、结论明确,客观地反映审计方案的编制及实施情况,以及与形成审计结论、意见和建议有关的所有重要事项。审计底稿包括以下内容:
a)审计底稿编号;
b)审计机构的名称以及审计人员名称(签名)、审计日期、审计地点;
c)个人信息处理者的名称;
d)审计事项及审计起止日期;
e)审计程序的执行过程及结果记录;
f)审计依据;
g)审计发现和审计证据;
h)审计结论、意见及建议;
i)复核人员名称(签名)、复核日期和复核意见;
j)索引号及页次;
k)审计标识与其他符号及说明;
l)访谈人员清单和资料查阅清单;
m)其他审计人员认为应记录的内容。
A.3.5 确认审计发现
审计人员应对取得的审计证据进行评价分析,对发现的问题进行定性,并对照审计依据形成审计发现。
审计人员应通过会议等机制,将审计发现及审计结论通报给个人信息处理者管理层,并进行沟通和确认。个人信息处理者有异议的,双方应进行讨论协商,必要时审计人员进一步核实;若双方就审计发现及审计结论仍未能达成一致,审计人员应在审计工作底稿中予以记录。对于审计发现的问题,可根据问题的影响程度、整改代价等因素进行分级排序。审计完成后需要被审计方对审计问题进行正式确认。
A.4 审计报告阶段
A.4.1 异议解决
撰写审计报告前,审计人员与审计对象之间应建立异议解决机制,对审计对象提出异议的审计结论应及时进行沟通确认,并将沟通结果和审计结论归档保存。
A.4.2 撰写审计报告
审计人员应在审计完成后撰写审计报告。审计报告是发表审计意见的书面文件,应包括但不限于审计概况、审计依据、审计结论、审计发现、审计意见、审计建议等。
a)审计概况:对个人信息保护合规审计项目总体情况的介绍和说明,应包括以下内容:
1)审计机构信息。描述审计机构的名称、执行审计人员、审计执行期间、审计执行地点等。
2)被审计单位的信息。描述被审计的个人信息处理者的基本情况,包括但不限于个人信息处理者的名称、性质、规模、经营范围或职责范围、主要业务活动及目标、组织结构、管理方式、员工数量、管理人员、内部控制和信息系统情况,具备的资质、认证、以往接受的内外部监督检查等。
3)审计背景。描述本次审计的背景等。
4)审计目标范围。描述本次审计期望达到的目标、覆盖的时间范围、组织范围、业务范围和审计领域等。
5)主要审计内容和重点。简要列明审计主要内容及重点。
6)审计程序和方法。描述本次审计的程序以及所采用的审计方法和技术手段等。
b)审计依据:实施个人信息保护合规审计所依据的相关法律、行政法规、政策文件、国家标准等。
c)审计过程:从审计开始到结束的过程中,审计人员所采取的系统性工作步骤。
d)审计结论:根据已查明的事实,对被审计单位涉及个人信息处理活动等方面的合规性、适当性、有效性作出的评价。
e)审计发现:对被审计单位涉及个人信息处理活动等方面所发现的主要合规问题的事实、定性、原因、后果或影响等。
f)审计意见:针对审计发现的被审计单位在个人信息处理活动等方面存在的违反法律、行政法规的情况,提出审计处理意见,或者建议个人信息处理者管理层做出处理意见。
g)审计建议:针对审计发现的主要问题,在分析原因和影响的基础上,给出有针对性的审计建议。
h)其他解释说明材料。如有需对报告正文进行进一步补充、解释、说明的文字和数据等支撑性材料,可在该部分列出。一般包括:
1)相关问题的计算及分析过程;
2)审计发现问题的详细说明;
3)记录审计人员修改意见、明确审计责任、体现审计报告版本的审计清单;
4)需要提供解释和说明的其他内容。
A.4.3 交付审计报告
内部机构出具的审计报告应由审计组长签字,并提交给组织负责人或个人信息保护负责人。
外部第三方专业机构出具的审计报告应由出具报告的审计组长、专业机构负责人签字并加盖公章,并在与审计对象商定的时间期限内提交。
A.5 问题整改阶段
审计人员应对审计中发现的不合规项进行跟踪,督促被审计方在规定期限内整改。必要时,审计人员可对整改措施的完成情况及有效性进行跟踪审计。
A.6 归档管理阶段
个人信息处理者和第三方专业机构应妥善保管个人信息保护合规审计底稿、报告等档案资料。
附 录 B(资料性)个人信息保护合规审计证据
B.1 审计证据类型
个人信息处理者应保证审计人员能够获取审计证据,并对提供资料的真实性、完整性负责。审计证据应能体现个人信息处理者的个人信息保护情况,包括但不限于:
a)个人信息处理者的组织架构,包括:个人信息保护负责人及职责、个人信息保护管理部门及职责、岗位设置及人员配置,业务部门联系人等;
b)个人信息处理者涉及个人信息处理的场景和活动,个人信息处理活动包括以下内容:
1)处理个人信息的类别、数量;
2)处理个人信息的目的、方式、范围;
3)处理个人信息的关键业务场景及相关流程。
c)个人信息处理规则及隐私政策、平台规则等;
d)支撑个人信息处理活动的信息系统情况;
e)个人信息处理者的个人信息保护相关管理制度和操作规程,包括敏感个人信息处理、个人信息全流程安全保护、个人信息安全事件应急响应、个人信息保护影响评估等制度规程;
f)个人信息处理相关记录,包括但不限于:取得个人同意(书面同意/单独同意)的记录,个人信息转移、公开、提供等操作记录,自动化决策中人工操作记录,响应个人信息查询、复制、转移、更正、补充、删除请求的记录等;
g)个人信息处理者采用的相关安全技术措施,包括个人信息匿名化处理、去标识化处理、自动化决策、访问控制等相关技术文档和实地演示;
h)个人信息处理者与共同处理者、委托处理者及境内外数据接收方、平台内产品和服务提供者等主体的有关个人信息处理的合约文件;
i)个人信息处理者的个人信息保护影响评估报告、数据出境安全风险自评估报告、平台企业社会责任报告等;
j)个人信息处理者通过的网络安全等级保护、网络或数据安全风险评估、数据安全认证、个人信息保护认证等;
k)个人信息处理者进行的个人信息安全检测报告、个人信息保护咨询报告等;
l)个人信息重大事项决策会议纪要、记录等;
m)个人信息保护培训计划及相关记录;
n)个人信息处理者的用户投诉举报渠道、机制,涉及个人信息投诉举报案件数量及处理情况;
o)以往审计发现的个人信息保护相关问题、涉及个人信息的法律诉讼、个人信息处理者已发生的个人信息相关安全事件或违规事件等资料;
p)独立监督机构履职过程中会议纪要、工作记录等相关文件;
q)其他合规审计所需的相关资料。
B.2 审计证据有效性
个人信息保护合规审计所收集的审计证据应对于个人信息合规判断具有相关性,其取得的方式应具有合法性,其记录的内容应具有真实性。各类审计证据有效性要求见表B.1。
表B.1 个人信息保护合规审计证据的有效性要求

附 录 C(资料性)个人信息保护合规审计内容和审计方法
C.1 个人信息处理活动的合法性基础条件
C.1.1
a)审计内容:处理个人信息是否取得个人同意,该同意是否在个人信息主体充分知情的前提下自愿、明确作出。
b)审计证据:隐私政策、征得个人同意机制说明、取得个人同意的实例记录。
c)审计方法:
1)查验个人信息处理活动是否属于基于个人同意处理个人信息;
2)查阅各渠道隐私政策说明是否充分;
3)查验征得个人同意机制能否保证在处理个人信息前取得个人同意;
4)查验征得个人同意机制中,个人是否自愿、明确的做出同意行为,不存在默认同意、强制同意、欺骗诱导等;
5)抽查取得个人同意的实例记录,核验是否满足上述要求。
C.1.2
a)审计内容:基于个人同意处理个人信息,个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,是否重新取得个人同意;
b)审计证据:个人信息处理管理机制、个人信息处理审批记录、隐私政策、重新征得个人同意机制说明、重新取得个人同意的实例记录。
c)审计方法:
1)查验是否具备管理个人信息处理目的、处理方式和处理个人信息种类的机制;
2)查验个人信息处理目的、处理方式和处理个人信息种类发生变更时的审批记录;
3)查验个人信息处理目的、处理方式和处理个人信息种类变更后,相应渠道隐私政策是否同步修改;
4)查验是否具备重新征得个人同意机制,能够在个人信息的处理目的、处理方式、处理的个人信息种类发生变更时重新征得个人同意;
5)抽查重新征得个人同意的实例记录,核验征得个人同意机制能否保证重新取得个人同意。
C.1.3
a)审计内容:基于个人同意处理个人信息,是否为个人提供便捷的撤回同意的方式;
b)审计证据:个人信息处理管理机制、撤回同意的机制说明、撤回同意的记录
c)审计方法:
1)查验个人信息安全检测报告是否涵盖撤回同意部分内容,检测结果是否通过。
2)查验隐私政策是否说明了个人撤回同意的具体事项;
3)查验个人信息主体撤回同意的方式和记录,是否存在撤回同意的入口隐藏过深、明显小号字体、需线下操作、提供额外信息等不便捷形式。
C.1.4
a)审计内容:基于个人同意处理个人信息,是否对个人同意的操作进行记录;
b)审计证据:个人同意操作记录
c)审计方法:
1)查验基于个人同意处理个人信息的,是否有个人同意操作记录,包括首次处理个人信息的个人同意记录、处理规则变更后重新取得的同意记录、撤回同意记录。
C.1.5
a)审计内容:基于个人同意处理个人信息,是否存在以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务的情况;处理个人信息属于提供产品或者服务所必需的除外;
b)审计证据:个人信息处理管理机制、提供撤回同意的方式和记录,撤回同意后的个人信息处理机制。
c)审计方法:
1)查验个人信息安全检测报告是否涵盖撤回同意部分内容,检测结果是否通过。
2)查验个人信息主体撤回同意的方式和记录。
3)抽查不提供非必要个人信息或撤回同意非必要个人信息,是否能够使用产品或服务。
C.1.6
a)审计内容:处理个人信息未取得个人同意,是否属于法律、行政法规规定不需取得个人同意的情形。
b)审计证据:个人信息保护管理制度、隐私政策。
c)审计方法:
1) 查阅个人信息保护管理制度,是否明确规定处理个人信息不需要取得个人同意的情形,规定的情形是否符合法律、行政法规要求;
2)查阅各渠道隐私政策,是否明确说明处理个人信息不需要取得个人同意的情形,说明的情形是否符合法律、行政法规要求;
3)抽查个人信息处理活动是否存在未征得个人同意的情况,存在未征得个人同意的,是否属于法律、行政法规规定不需要取得个人同意的情形。
C.2 个人信息处理必要性
C.2.1
a) 审计内容:处理个人信息是否具有明确、合理的目的,是否与处理目的直接相关。
b) 审计证据:隐私政策、个人信息上传记录、个人信息存储记录。
c) 审计方法:
1) 查阅隐私政策,其中主要业务场景处理个人信息的目的是否明确、合理,处理个人信息的种类是否与目的直接相关。
2) 对于长期存储的个人信息,抽查主要业务场景存储的个人信息内容是否与处理目的直接相关。
3) 对于不长期存储的个人信息,抽查主要业务场景上传的个人信息内容是否与处理目的直接相关。
C.2.2
a) 审计内容:是否采取对个人权益影响最小的方式处理个人信息。
b) 审计证据:个人信息处理的相关流程说明,如业务逻辑、数据流图等,个人信息处理过程实例。
c) 审计方法:
1)查验个人信息处理流程,核验处理每项个人信息是否采取对个人权益影响最小的方式。
C.2.3
a) 审计内容:是否仅限于实现处理目的的最小范围收集个人信息。
b) 审计证据:隐私政策、个人信息处理情况记录。
c) 审计方法:
1)查验处理的个人信息种类、数量和频率是否为实现处理目的所需的最少种类、最少数量和最低频率。
C.2.4
a)审计内容:是否强制要求个人信息主体同意非必要的个人信息处理行为。
b)审计证据:个人信息处理的相关流程说明、隐私政策、个人信息处理过程实例。
c)审计方法:
1)查阅隐私政策和个人信息处理的相关流程说明,核验个人信息处理行为涉及的非必要个人信息;
2)查验当个人信息主体拒绝同意处理非必要个人信息后,是否能够继续使用对应业务功能。
C.2.5
a)审计内容:是否因个人信息主体不同意处理非必要个人信息或撤回同意,每次重新使用产品或服务时,向用户频繁询问是否同意处理非必要个人信息。
b) 审计证据:个人信息处理的相关流程说明、个人信息处理过程实例。
c)审计方法:
1) 查验当个人信息主体拒绝同意处理非必要个人信息后,短期内重新进入该业务场景是否被再次征求同意;
2) 查验当个人信息主体撤回同意处理非必要个人信息后,短期内重新进入该业务场景是否被再次征求同意。
C.2.6
a)审计内容:是否因个人信息主体不同意处理非必要个人信息或者撤回同意,拒绝个人信息主体使用其基本功能服务。
b) 审计证据:个人信息处理的相关流程说明、个人信息处理过程实例。
c)审计方法:
1) 查验当个人信息主体拒绝同意处理非必要个人信息后,是否能够继续使用基本功能服务;
2) 查验当个人信息主体撤回同意处理非必要个人信息后,是否能够继续使用基本功能服务。
C.3 个人信息处理规则
C.3.1
a)审计内容:是否真实、准确、完整地告知个人信息处理者的名称或者姓名和联系方式;
b)审计证据:隐私政策
c)审计方法:
1)查验隐私政策及其他个人信息处理规则告知材料中是否提供了真实有效的个人信息处理者名称或者姓名、联系方式等;
2)查验提供的联系方式是否能正常使用和反馈。
C.3.2
a)审计内容:是否以清单形式列明所收集的个人信息及其处理目的、方式、范围;
b)审计证据:个人信息处理清单、个人信息处理记录、个人信息处理技术文档。
c)审计方法:
1)查验是否有个人信息处理清单;
2)查阅个人信息处理清单等材料,验证是否以表格等清单形式明确列明了所有业务收集和处理的个人信息种类、处理目的、方式和范围等,是否具体明确而非笼统描述;
3)抽查个人信息处理记录、处理个人信息的技术文档,验证收集和处理个人信息的目的、方式、范围是否与告知的个人信息处理清单一致。
C.3.3
a)审计内容:是否明确个人信息存储期限或者存储期限的确定方法、到期后的处理方式,以及确保存储期限为实现处理目的所必要的最短时间;
b)审计证据:隐私政策、存储期限届满后的处理方式说明、匿名化的技术措施说明
c)审计方法:
1)查阅各渠道隐私政策中是否明确了不同种类个人信息的存储期限以及确定存储期限的依据,是否说明了到期后个人信息的处理方式,如删除或匿名化;
2)根据个人信息处理必要性,抽查存储期限是否为实现处理目的必要的最短时间;
3)抽查个人信息的实际存储时间长度,验证是否符合隐私政策中告知的期限要求;
4)抽查个人信息存储期满后是否有自动或手动数据删除/匿名化的技术措施落实。
C.3.4
a)审计内容:是否明确个人查阅、复制、加工、转移、更正、补充、删除、公开、限制处理个人信息以及注销账号、撤回同意的途径和方法;
b)审计证据:个人信息保护管理制度、隐私政策、个人信息主体行使权利的途径和方法及记录
c)审计方法:
1)查阅个人信息保护管理制度,验证是否明确了个人查阅、复制、转移、更正、补充、删除、限制处理个人信息以及注销账号、撤回同意的途径和方法;
2)查阅各渠道隐私政策,验证是否说明了个人查阅、复制、转移、更正、补充、删除、限制处理个人信息以及注销账号、撤回同意的途径和方法;
3)查验个人信息主体请求相关操作的页面或流程是否可以正常使用;
4)查验个人信息主体请求相关操作的处理记录,验证是否响应个人请求。
C.3.5
a)审计内容:向第三方提供个人信息的,是否明确向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,是否取得个人的单独同意;
b)审计证据:隐私政策、个人信息主体行使权利的途径和方法及证明
c)审计方法:
1)查验个人信息处理者向个人告知第三方信息的方式和页面是否清晰明确;
2)查验向第三方提供个人信息的流程,查看是否要求获取个人的单独同意;
3)抽查部分已提供给第三方的个人信息,确定是否均属于个人在知情基础上自愿授权同意的。
C.4 个人信息处理者处理个人信息时的告知义务
C.4.1
a)审计内容:个人信息处理者在处理个人信息前,是否以显著方式、清晰易懂的语言真实、准确、完整地向个人告知个人信息处理规则;
b)审计证据:隐私政策、告知方式、告知文案
c)审计方法:
1)查验各渠道隐私政策或其他告知文案,是否以清晰易懂的语言真实、准确、完整地向个人告知个人信息处理规则,内容覆盖附录C.3个人信息处理规则;
2)查验个人信息处理者是否在处理个人信息前以显著方式告知个人信息处理规则。
C.4.2
a)审计内容:告知文本的大小、字体和颜色是否便于个人完整阅读告知事项;
b)审计证据:隐私政策、告知方式、告知文案
c)审计方法:
1)查验各渠道隐私政策或其他告知文案,验证告知文本的大小、字体和颜色是否便于个人完整阅读告知事项。
C.4.3
a)审计内容:线下告知是否通过标注、说明等多种方式向个人履行告知义务;
b)审计证据:线下合同、用户手册、说明书等,告知方式、告知文案
c)审计方法:
1)查验线下服务合同、纸质版用户手册、说明书等协议,是否通过加注下划线、加粗、高亮等标注和说明方式向个人告知个人信息处理规则及其中的重点内容。
C.4.4
a)审计内容:在线告知是否提供文本信息或者通过适当方式向个人履行告知义务;
b)审计证据:隐私政策、告知方式、告知文案
c)审计方法:
1)查验各渠道在线隐私政策或其他在线告知方式,验证是否提供了文本信息或通过适当方式向个人履行告知义务,适当方式包括告知的弹窗方式、展现界面等。
C.4.5
a)审计内容:个人信息处理规则发生变更的,是否将变更内容及时告知个人。
b)审计证据:隐私政策变更机制、重新告知方式、告知文案、重新告知的实例记录。
c)审计方法:
1) 查验隐私政策更新机制,能否保障在个人信息处理规则发生变更时及时更新隐私政策,变更包括但不限于个人信息处理目的、方式、种类、保存期限、个人行使其权利的方式和程序等个人信息处理规则;
2)查验重新告知的方式,能否在隐私政策发生变更时,及时将变更内容告知个人。
3)抽查重新告知的实例记录,是否实现了及时告知个人信息处理规则。
C.5 与他人共同处理个人信息
C.5.1
a)审计内容:是否约定各自的权利义务;
b)审计证据:共同处理个人信息情况说明、个人信息共同处理合同或协议
c)审计方法:
1)查验共同处理个人信息情况说明,验证有哪些共同处理者;
2)查验双方的个人信息共同处理合同或协议,是否约定各自的权利义务。
C.5.2
a)审计内容:各方采取的个人信息保护措施;
b)审计证据:共同处理个人信息情况说明、个人信息共同处理合同或协议
c)审计方法:
1)查验双方的个人信息共同处理合同或协议,是否约定各方采取的个人信息保护措施。
C.5.3
a)审计内容:个人信息权益保护机制;
b)审计证据:共同处理个人信息情况说明、个人信息共同处理合同或协议、个人信息保护管理制度
c)审计方法:
1)查验共同处理个人信息情况说明,验证有哪些共同处理者;
2)查验双方的个人信息共同处理合同或协议,是否约定个人信息权益保护机制;
3)查阅个人信息保护管理制度,验证是否明确针对共同处理个人信息的个人信息权益保护机制;
4)抽查个人信息权益保护机制,通过穿行测试等方式验证是否有效。
C.5.4
a)审计内容:个人信息安全事件报告机制;
b)审计证据:共同处理个人信息情况说明、个人信息共同处理合同或协议、个人信息保护管理制度
c)审计方法:
1)查验共同处理个人信息情况说明,验证有哪些共同处理者;
2)查验双方的个人信息共同处理合同或协议,是否约定个人信息安全事件报告机制;
3)查阅个人信息保护管理制度,验证是否明确针对共同处理个人信息的个人信息安全事件报告机制;
4)抽查个人信息安全事件报告机制,通过穿行测试等方式验证是否有效。
C.5.5
a)审计内容:侵害个人信息权益造成损害的,各方应当承担的责任;
b)审计证据:共同处理个人信息情况说明、个人信息共同处理合同或协议
c)审计方法:
1)查验双方的个人信息共同处理合同或协议,是否约定侵害个人信息权益造成损害时,各方应当承担的责任。
C.6 委托处理个人信息
C.6.1
a)审计内容:个人信息处理者在委托处理个人信息前,是否开展个人信息保护影响评估;
b)审计证据:个人信息委托处理情况说明、个人信息保护影响评估报告
c)审计方法:
1)查阅个人信息委托处理情况说明,验证有哪些委托处理个人信息情形;
2)查阅个人信息处理者在委托处理个人信息前开展个人信息保护影响评估的记录;
3)查验个人信息处理者在委托处理个人信息前是否开展了个人信息保护影响评估。
C.6.2
a)审计内容:个人信息处理者与受托人签订的合同,是否约定了委托处理的目的、期限、方式及个人信息的种类、受托人应当采取的技术措施和管理措施、双方的权利义务等;
b)审计证据:个人信息委托处理情况说明、个人信息处理者与受托人签订的合同或协议
c)审计方法:
1)查阅个人信息委托处理情况说明,验证有哪些委托处理个人信息情形;
2)查看相关合同或其他文档,查验个人信息处理者是否通过合同等方式,与受托人约定个人信息委托处理的目的、期限、处理方式、个人信息的种类、双方采取的技术措施和管理措施、双方的权利和义务等;
3)查看个人信息保护影响评估报告和委托处理合同文本,验证个人信息保护影响评估及合同文本是否存在错漏或不一致的情况,并核实原因。
C.6.3
a)审计内容:个人信息处理者是否采取定期查验等方式,对受托人的个人信息处理活动进行监督,以确保委托处理个人信息的活动符合法律规定;
b)审计证据:个人信息保护管理制度、定期检查记录、监督记录
c)审计方法:
1)查阅个人信息保护管理制度,验证是否明确采取定期查验等方式,对受托人的个人信息处理活动进行监督;
2)查阅定期检查记录或监督记录等,验证个人信息处理者是否采取定期查验等方式,对受托人的个人信息处理活动进行监督,以确保委托处理个人信息的活动符合约定的内容。
C.6.4
a)审计内容:受托人是否严格按照委托合同的约定处理个人信息,是否存在超出约定的处理目的、处理方式处理个人信息的情况;
b)审计证据:受委托人提供的书面说明或评估、认证、检测报告
c)审计方法:
1)查看受委托人提供的书面说明或评估、认证、检测报告,是否包括受委托人超出约定处理目的、处理方式处理个人信息情况的评估结果;
2)查验受托人是否严格按照委托合同的约定处理个人信息,是否存在超出约定的处理目的、处理方式处理个人信息的情况;
3)查验受托人是否严格按照委托合同的约定处理个人信息,是否采取了约定的个人信息保护措施。
C.6.5
a)审计内容:当委托合同不生效、无效、被撤销或者终止时,受托人是否将个人信息返还个人信息处理者或者予以删除;
b)审计证据:沟通记录、往来邮件、系统日志
c)审计方法:
1)当委托合同不生效、无效、被撤销或者终止时,查看沟通记录、往来邮件、系统日志等证明材料,查验个人信息处理者是否要求受托人将个人信息返还个人信息处理者或者予以删除。
C.6.6
a)审计内容:受托人是否存在转委托他人处理个人信息的情况,是否得到个人信息处理者的同意。
b)审计证据:定期检查记录、监督记录、受委托人提供的书面说明或评估、认证、检测报告
c)审计方法:
1)查看定期检查记录、监督记录、受委托人提供的书面说明或评估、认证、检测报告等,查验受托人是否存在转委托他人处理个人信息的情况,是否得到个人信息处理者的同意。
C.7 因合并、重组、分立、解散、被宣告破产等原因需要转移个人信息
C.7.1
a)审计内容:个人信息处理者是否向个人告知接收方的名称或者姓名和联系方式;
b)审计证据:个人信息保护管理制度、告知文案、告知方式、告知记录
c)审计方法:
1)查阅个人信息保护管理制度,验证是否明确在合并、重组、分立、解散、被宣告破产等原因需要转移个人信息前向个人告知接收方的名称或者姓名和联系方式;
2)查验转移个人信息前的告知方式和告知记录,是否通过公告、弹窗或其他形式向用户告知个人信息转移情况;
3)查验告知内容,是否包括接收方的名称或者姓名和联系方式。
C.7.2
a)审计内容:接收方是否继续履行个人信息处理者的义务;
b)审计证据:接收方隐私政策
c)审计方法:
1)查验接收方隐私政策,是否包含履行个人信息处理者义务的说明,或者接收方通过其他形式说明的个人信息处理者的义务履行情况。
C.7.3
a)审计内容:接收方变更原先处理目的、处理方式的,是否依照法律、行政法规有关规定重新取得个人同意。
b)审计证据:接收方隐私政策,弹窗等重新取得个人同意的证明
c)审计方法:
1)查验接收方隐私政策,是否包含变更个人信息处理目的、处理方式等内容;
2)查验发生个人信息转移时,是否依照法律、行政法规有关规定重新取得个人同意。
C.8 向其他个人信息处理者提供其处理的个人信息
C.8.1
a)审计内容:是否取得个人的单独同意;
b)审计证据:向其他个人信息处理者提供其处理的个人信息的情况说明、隐私政策、征得个人同意的机制、征得个人同意的记录
c)审计方法:
1)查阅向其他个人信息处理者提供其处理的个人信息的情况说明,验证存在哪些向其他个人信息处理者提供其处理的个人信息的情形;
2)查验各渠道隐私政策,是否告知向其他个人信息处理者提供其处理的个人信息的内容;
3)查验征得个人同意的机制,是否满足取得个人单独同意的要求;
4)抽查征得个人同意的记录,是否取得个人单独同意。
C.8.2
a)审计内容:是否向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类;
b)审计证据:向其他个人信息处理者提供其处理的个人信息的情况说明、隐私政策、告知机制、告知文案
c)审计方法:
1)查验隐私政策,是否包含向其他个人信息处理者提供其处理的个人信息的内容;
2)查验向其他个人信息处理者提供其处理的个人信息时,是否向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类。
C.8.3
a)审计内容:接收方是否在双方约定的处理目的、处理方式和个人信息的种类等范围内处理个人信息;
b)审计证据:向其他个人信息处理者提供其处理的个人信息的情况说明、隐私政策、合同或协议。
c)审计方法:
1)查验隐私政策,是否包含向其他个人信息处理者提供其处理的个人信息的内容;
2)查验双方的合同或协议,是否约定处理目的、处理方式和个人信息的种类。
3)查看接收方提供的书面说明或检测、评估、认证报告,是否能够证明其在约定范围内处理个人信息。
C.8.4
a)审计内容:变更处理目的、处理方式的,是否依照法律、行政法规规定重新取得个人同意;
b)审计证据:向其他个人信息处理者提供其处理的个人信息的情况说明、隐私政策、征得个人同意的机制、征得个人同意的记录
c)审计方法:
1)查验隐私政策,是否包含向其他个人信息处理者提供其处理的个人信息的内容;
2)查验个人信息接收方变更处理目的、处理方式的,是否依照法律、行政法规规定重新取得个人同意。
C.8.5
a)审计内容:是否事前进行个人信息保护影响评估。
b)审计证据:向其他个人信息处理者提供其处理的个人信息的情况说明、个人信息保护影响评估报告
c)审计方法:
1) 查阅向其他个人信息处理者提供其处理的个人信息的情况说明,验证存在哪些向其他个人信息处理者提供其处理的个人信息的情形;
2)查验个人信息保护影响评估报告,是否对向其他个人信息处理者提供其处理的个人信息情形开展个人信息保护影响评估。
C.9 利用自动化决策处理个人信息
C.9.1
a)审计内容:是否事前告知个人自动化决策处理个人信息的种类及可能带来的影响;
b)审计证据:自动化决策情况说明、隐私政策、告知方式、告知文案
c)审计方法:
1)查阅自动化决策情况说明,验证开展了哪些基于个人信息的自动化决策活动;
2)查阅各渠道隐私政策,验证是否告知自动化决策处理说明,涉及的场景是否完整告知;
3)查验自动化决策处理说明告知内容,是否清晰告知个人自动化决策处理个人信息的种类及可能带来的影响。
C.9.2
a)审计内容:是否事前对算法模型进行安全评估,并按国家相关规定进行备案,以尽可能减少自动化决策算法模型存在的缺陷,当应用场景和主要功能发生变化时,是否对算法模型重新进行评估;
b)审计证据:算法模型安全评估报告、算法模型备案记录
c)审计方法:
1)针对具有舆论属性或者社会动员能力的算法推荐服务提供者,查验个人信息处理者安全评估报告,是否事前对算法模型进行安全评估,并按国家相关规定进行备案,当应用场景和主要功能发生变化时,是否对算法模型重新进行评估。
C.9.3
a)审计内容:是否事前对算法模型进行科技伦理审查;
b)审计证据:算法模型科技伦理审查报告、科技伦理审查制度
c)审计方法:
1)查验个人信息处理者是否事前对算法模型进行科技伦理审查,包括但不限于是否使用诱导用户沉迷的算法模型提供互联网信息服务、是否使用诱导用户过度消费的算法模型提供互联网信息服务。
C.9.4
a)审计内容:是否事前进行个人信息保护影响评估;
b)审计证据:自动化决策情况说明、个人信息保护管理制度、个人信息保护影响评估报告
c)审计方法:
1)查阅自动化决策情况说明,验证开展了哪些基于个人信息的自动化决策活动;
2)查阅个人信息保护管理制度,是否明确开展自动化决策前进行个人信息保护影响评估;
3)查验个人信息保护影响评估报告,是否完整覆盖基于个人信息进行自动化决策的场景。
C.9.5
a)审计内容:是否向用户提供保障机制,以便用户可以通过便捷方式拒绝通过自动化决策方式作出对个人权益有重大影响的决定,或要求个人信息处理者就应用自动化决策方式作出对用户个人权益有重大影响的决定予以说明;
b)审计证据:自动化决策情况说明、个人信息保护影响评估报告、响应用户拒绝自动化决策或要求进行解释说明的机制、响应用户拒绝自动化决策或进行解释说明的记录
c)审计方法:
1)查阅自动化决策情况说明,验证开展了哪些基于个人信息的自动化决策活动;
2)查阅个人信息保护影响评估报告,是否明确自动化决策方式作出对个人权益有重大影响的决定的场景;
3)查验响应用户拒绝自动化决策或要求进行解释说明的机制,核验机制是否便捷,在收到用户请求后,是否能够停止自动化决策,或针对决策逻辑、价值权重、个人数据利用情况等予以说明;
4)抽查响应用户拒绝自动化决策或进行解释说明的记录,验证机制是否有效。
C.9.6
a)审计内容:是否向用户提供删除或者修改用于自动化决策服务的针对其个人特征的用户标签功能;
b)审计证据:删除或修改用户标签的功能和机制的证明材料
c)审计方法:
1)查验个人信息处理者是否向个人提供删除或修改用于自动化决策服务的针对其个人特征的标签的机制。
C.9.7
a)审计内容:是否采取必要措施对算法和参数模型进行保护;
b)审计证据:系统配置、保护方案、技术方案等安全技术能力证明
c)审计方法:
1)查验个人信息处理者系统配置文件和保护方案,查验是否采取密码技术、访问控制等措施对训练数据、测试数据、算法代码、算法模型等数据设置了保护机制。
C.9.8
a)审计内容:是否对个人信息处理、标签管理、模型训练等自动化决策过程中的人工操作进行记录,防范人为恶意操纵自动化决策信息和结果;
b)审计证据:人工操作记录
c)审计方法:
1)查验个人信息处理者的系统配置文件,查验是否对自动化决策中的训练数据、测试数据、算法代码、算法模型等设置了访问权限,研判权限设置是否能够避免非相关人员访问;
2)是否通过模拟非授权访问等方式验证访问控制策略有效性。
3)查验算法变更日志,是否对个人信息处理、标签管理、模型训练等自动化决策过程进行记录。
C.9.9
a)审计内容:向个人进行信息推送、商业营销时,是否同时提供不针对个人特征的选项,或者提供便捷的拒绝自动化决策服务的方式;
b)审计证据:自动化决策情况说明、信息推送和商业营销机制、退出机制、个人关闭自动化决策的选项界面
c)审计方法:
1)查阅自动化决策情况说明,验证开展了哪些基于个人信息的自动化决策活动,是否涉及信息推送、商业营销;
2)查验信息推送和商业营销机制,是否同时提供了不针对个人特征的选项;
3)查验信息推送和商业营销的退出机制,查验个人关闭自动化决策的选项界面是否便捷,验证个人关闭自动化决策选项后,退出机制能否保障停止对个人的自动化决策服务;
4)抽查关闭自动化决策后,个人收到的信息推送和商业营销是否带有个人特征。
C.9.10
a)审计内容:是否采取了有效措施,防止自动化决策根据消费者的偏好、交易习惯等对个人在交易条件上实行不合理的差别待遇;
b)审计证据:自动化决策情况说明、自动化决策机制说明、个人信息保护影响评估报告
c)审计方法:
1) 查阅自动化决策情况说明,验证开展了哪些基于个人信息的自动化决策活动,是否涉及自动化决策交易条件,包括交易价格、交易机会等;
2)查验自动化决策机制说明,是否根据消费者偏好、交易习惯等对交易条件进行自动化决策;
3)查阅个人信息保护影响评估报告,是否针对自动化决策可能导致个人在交易条件上遭遇不合理的差别待遇进行评估,并根据评估结果采取有效措施,避免出现交易条件上的不合理差别待遇。
C.10 公开其处理的个人信息情形
C.10.1
a)审计内容:个人信息处理者公开其处理的个人信息前是否取得个人单独同意,该授权是否真实、有效,是否存在违背个人意愿将个人信息予以公开的情况;
b)审计证据:公开处理的个人信息情况说明、征得个人同意的机制、征得个人同意记录
c)审计方法:
1)查阅公开处理的个人信息情况说明,验证存在哪些公开处理的个人信息的情形;
2)查验公开处理的个人信息的情形,是否需要提前获取个人同意;
3)查阅公开处理的个人信息的授权同意记录,判断授权是否真实有效,例如抽查同意记录,核实用户身份和同意行为;
4)抽查公开的个人信息,查看是否均属于个人在知情基础上自愿授权同意的;查验公开个人信息业务的技术流程,获取授权同意是否在发布前完成。
C.10.2
a)审计内容:个人信息处理者公开个人信息前,是否进行了个人信息保护影响评估。
b)审计证据:公开处理的个人信息情况说明、个人信息保护管理制度、个人信息保护影响评估报告
c)审计方法:
1) 公开处理的个人信息情况说明,验证存在哪些公开处理的个人信息的情形;
2)查阅个人信息保护管理制度,验证是否明确公开个人信息前,需要进行个人信息保护影响评估;
3)查验个人信息保护影响评估报告,是否完整覆盖了公开处理的个人信息的情形。
C.11 在公共场所安装图像采集、个人身份识别设备
C.11.1
a)审计内容:是否为维护公共安全所必需,是否存在为商业目的处理所采集信息的情况;
b)审计证据:公共场所安装图像采集、个人身份识别设备管理制度
c)审计方法:
1)查验公共场所安装图像采集、个人身份识别设备管理制度,是否明确安装目的,是否为维护公共安全所必需;
2)查验图像、个人身份标识的处理过程,是否为维护公共安全所必需;
3)查验采集的图像、个人身份标识是否用于商业目的。
C.11.2
a)审计内容:是否设置了显著的提示标志;
b)审计证据:显著提示标志
c)审计方法:
1)查验是否为公共场所的图像采集和身份识别设备处设置了显著的提示标志;
2)查验提示标志的内容、大小、位置和可见度,确保公众可以轻易注意到;
3)查验图形采集、个人身份识别设备本身是否清晰可见。
C.11.3
a)审计内容:若个人信息处理者所收集的个人图像、身份识别信息用于维护公共安全以外用途的,是否取得个人单独同意。
b)审计证据:个人信息保护管理制度、征得个人同意的机制、征得个人同意记录
c)审计方法:
1) 查阅个人信息保护管理制度,是否明确收集的个人图像、身份识别信息用于维护公共安全以外用途的,需要取得个人单独同意;
2)查验收集的个人图像和身份识别信息的存储、处理和传输流程,是否用于维护公共安全以外用途;
3)收集的信息用于非维护公共安全的用途,查验是否有证据表明已经取得了个人的单独同意;
4)查验取得个人单独同意的方式,确保其合法、明确且真实有效。
C.12 处理已公开个人信息
C.12.1
a)审计内容:是否向已公开个人信息中的电子邮箱、手机号等发送与其公开目的无关的信息;
b)审计证据:个人信息保护管理制度、处理已公开个人信息的情况说明、已公开个人信息的来源、数量、处理目的、处理方式等记录。
c)审计方法:
1)查阅个人信息保护管理制度,验证是否明确处理已公开个人信息的规定,如确保对已公开的个人信息的处理与其公开目的相符;
2)查看处理已公开个人信息的情况说明,验证存在哪些处理已公开个人信息的情况;
3)查验处理已公开个人信息的数据处理活动,验证处理目的必要性及是否与其公开目的相关;
4)核查处理已公开的个人信息的系统,查看系统功能和访问记录与业务开展情况是否一致;
5)抽查是否存在与公开目的不符的营销、推广等活动,如向已公开个人信息中的电子邮箱、手机号等发送与其公开目的无关的信息,对个人主体造成直接或间接的打扰行为。
C.12.2
a)审计内容:是否利用已公开的个人信息从事网络暴力活动;
b)审计证据:个人信息管理制度、已公开个人信息的来源、数量、处理目的、处理方式等记录。
c)审计方法:
1)查阅个人信息管理制度,审查处理已公开个人信息的规定,确保收集处理信息具备合理的业务需求,禁止用于网络暴力活动;
2)访谈有关人员,是否发生已公开个人信息被利用进行网络暴力的情况。
C.12.3
a)审计内容:是否处理个人明确拒绝处理的已公开个人信息;
b)审计证据:个人信息保护管理制度、处理已公开个人信息的情况说明、已公开个人信息的来源、数量、处理目的、处理方式等记录
c)审计方法:
1)查验个人信息保护管理制度,是否明确不应处理个人明确拒绝处理的已公开个人信息;
2)查验处理已公开个人信息前,是否有机制判断个人明确拒绝公开信息被处理;
3)查阅处理已公开个人信息的情况说明,核查处理公开个人信息的记录及已公开个人信息处理流程,查看个人已拒绝处理的已公开个人信息是否存在被处理的情况;
4)抽查处理的已公开个人信息,是否存在个人明确拒绝处理的情况。
C.12.4
a)审计内容:是否未取得个人同意处理已公开的个人信息对个人权益造成重大影响。
b)审计证据:个人信息保护管理制度、处理已公开个人信息的情况说明、个人信息保护影响评估报告
c)审计方法:
1) 查看个人信息保护管理制度,是否明确个人信息处理者在处理已公开的个人信息前应先征得个人信息主体的同意;
2)查看处理已公开个人信息的情况说明,验证存在哪些处理已公开个人信息的情况;
3)查看个人信息保护影响评估报告,是否对处理已公开个人信息可能对个人权益造成重大影响进行评估;
4)抽查处理已公开的个人信息对个人权益造成重大影响的情形,是否存在未取得个人同意的情况。
C.13 处理敏感个人信息
C.13.1
a)审计内容:处理生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等敏感个人信息的,以同意作为合法性基础的,是否事前取得个人的单独同意;
b)审计证据:个人信息保护管理制度、处理敏感个人信息情况说明、个人单独同意的记录,产品或服务上单独同意的弹窗,隐私政策或用户协议等
c)审计方法:
1)查看个人信息保护管理制度,是否明确基于个人同意处理个人信息的,事前需要取得个人单独同意;
2)查看处理敏感个人信息情况说明,验证存在哪些处理敏感个人信息的情况;
3)存在处理生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等敏感个人信息的,查验征得个人同意的机制,以及个人信息处理者与个人之间签署的告知同意书、来往邮件等;
4)使用App收集敏感个人信息的,查验个人信息处理者是否通过单独弹窗、单独告知等方式,征得用户的单独同意;
5)抽查所处理的敏感个人信息,是否存在对应的征得个人单独同意记录。
C.13.2
a)审计内容:处理不满十四周岁未成年人的个人信息,是否事前取得未成年人的父母或者其他监护人的同意;
b)审计证据:个人信息保护管理制度、处理敏感个人信息情况说明、不满十四周岁未成年人父母或其他监护人同意的记录,产品或服务上可以进行同意的按钮、选项的截图,个人单独同意记录、隐私政策、告知同意书、来往邮件
c)审计方法:
1)查看个人信息保护管理制度,是否明确基于个人同意处理不满十四周岁未成年人的个人信息,事前需要取得未成年人的父母或者其他监护人的同意;
2)查看处理敏感个人信息情况说明,验证是否存在处理不满十四周岁未成年人的个人信息的情况;
3)存在处理不满十四周岁未成年人个人信息的,查验征得个人同意的机制,以及个人信息处理者与未成年人的父母或其他监护人之间签署的告知同意书、来往邮件等;
4)使用App收集未满十四周岁未成年人个人信息的,查验个人信息处理者是否通过弹窗告知等方式,征得未成年人的父母或其他监护人的同意;
5)抽查所处理的不满十四周岁未成年人的个人信息,是否存在对应的事前取得未成年人父母或者其他监护人的同意记录。
C.13.3
a)审计内容:处理敏感个人信息的目的、方式是否合法、正当、必要;
b)审计证据:敏感个人信息处理记录、个人信息保护影响评估报告
c)审计方法:
1)查看处理敏感个人信息情况说明,验证存在哪些处理敏感个人信息的情况;
2)查看个人信息保护影响评估报告,是否完整覆盖处理敏感个人信息情况,是否对处理敏感个人信息的目的、方式是否合法、正当、必要进行评估;
3)抽查处理的敏感个人信息,验证其处理目的、方式是否合法、正当、必要。
C.13.4
a)审计内容:敏感个人信息处理是否与提供商品或者服务、履行法定职责或者法定义务等特定的目的密切相关,是否以非必要不处理为原则;
b)审计证据:敏感个人信息处理记录、个人信息保护影响评估报告
c)审计方法:
1)查看个人信息保护影响评估报告中处理敏感个人信息部分内容;
2)对敏感个人信息处理相关记录进行分析,查验敏感个人信息处理是否与提供商品或者服务、履行法定职责或者法定义务等特定的目的密切相关,是否以非必要不处理为原则。
C.13.5
a)审计内容:是否在事前进行个人信息保护影响评估,并向个人告知处理敏感个人信息的必要性以及对个人权益的影响;
b)审计证据:个人信息保护影响评估报告、隐私政策或其它个人信息处理规则、告知机制、告知文案、告知记录
c)审计方法:
1)查验是否建立了事前进行个人信息保护影响评估和处理敏感个人信息的必要性以及权益影响的告知机制;
2)查看个人信息保护影响评估报告中处理敏感个人信息部分内容;
3)查看个人信息保护影响评估报告、告知文案和相关告知记录;
4)查验个人信息处理者是否在事前进行个人信息保护影响评估,并向个人告知处理敏感个人信息的必要性以及对个人权益的影响。
C.13.6
a)审计内容:法律、行政法规规定应当取得书面同意的,是否取得书面同意;
b)审计证据:书面同意记录
c)审计方法:
1)法律、行政法规规定应当取得书面同意的,调取相关书面记录,查验个人信息处理者是否取得书面同意。
C.13.7
a)审计内容:是否按照法律、行政法规对处理敏感个人信息规定取得相关行政许可或者遵守其限制性规定。
b)审计证据:涉及行政许可的,相关行政许可记录;涉及限制性规定的,对限制性规定进行的回应。
c)审计方法:
1)查看相关法律法规,是否作出对被审计对象涉及的敏感个人信息规定了行政许可或限制性规定;
2)如有,涉及行政许可的,查看相关行政许可记录;
3)涉及限制性规定的,查看对限制性规定进行的回应。
C.13.8
a)审计内容:是否对处理敏感个人信息的过程进行了记录,以保障处理敏感个人信息流程合法合规。
b)审计证据:敏感个人信息处理记录
c)审计方法:
1)查看个人信息处理者处理敏感个人信息的过程记录,查验处理敏感个人信息的流程是否合法合规。记录宜包含个人信息处理者的名称和联系信息、个人信息主体的分类、个人信息的类别、处理的目的、处理的合法性基础、留存期限以及到期后的清理措施等;如涉及委托处理个人信息,宜包括受托人的名称和联系方式;如涉及共同处理个人信息,宜包括共同处理者、个人信息处理者指定机构/代表和个人信息保护负责人的名称/姓名和联系信息;如涉及向其他个人信息处理者提供个人信息,宜包括个人信息接收方的名称和联系方式,包括境外的接收方;如涉及向境外提供个人信息,宜包含向境外提供个人信息的机制以及采取的安全措施。
C.14 向境外提供个人信息
C.14.1
a)审计内容:关键信息基础设施运营者向境外提供个人信息是否经过国家网信部门组织的安全评估;
b)审计证据:数据出境安全评估报告、平台系统、评估结果通知书
c)审计方法:
1)查验数据出境安全评估报告,审计以下几个要素:一是处理的个人信息规模;二是是否具备评估报告,是否经过国家网信部门组织的安全评估;三是评估期限是否符合规定、评估记录保存时限是否符合要求;四是评估发现的问题是否有整改记录;
2)查验平台系统的个人信息提供记录,是否存在未经国家网信部门组织的安全评估或超出安全评估范围向境外提供的情况;
3)未经国家网信部门组织的安全评估的,是否符合国家网信部门的另行规定
C.14.2
a)审计内容:关键信息基础设施运营者以外的个人信息处理者,自当年1月1日起累计向境外提供100万人以上个人信息或者1万人以上敏感个人信息是否经过国家网信部门组织的安全评估;
b)审计证据:数据出境安全评估报告、平台系统
c)审计方法:
1)查验数据出境安全评估报告,审计以下几个要素:一是处理的个人信息规模;二是是否具备评估报告,是否经过国家网信部门组织的安全评估;三是评估期限是否在规定范围内、评估记录保存时限是否符合要求;四是评估发现的问题是否有整改记录;
2)查验平台系统的个人信息提供记录,是否存在未经国家网信部门组织的安全评估或超出安全评估范围向境外提供的情况。
C.14.3
a)审计内容:是否按照国家相关规定申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证;
b)审计证据:符合安全评估条件的,提供安全评估通过材料或证明;其他情形查看是否订立了个人信息出境标准合同,或通过个人信息保护认证;
c) 审计方法:
1) 符合安全评估条件的,查验是否有安全评估通过材料或证明,评估证明材料期限是否在规定范围内、评估记录保存时限是否符合要求;
2) 其他情形查看是否订立了个人信息出境标准合同,或通过个人信息保护认证。
C.14.4
a)审计内容:是否存在向外国司法或者执法机构提供存储于中华人民共和国境内的个人信息的情形,若有,是否经过中华人民共和国主管机关批准;
b)审计证据:访谈记录,和主管机关批准书面文件、平台系统
c)审计方法:
1)询问被审计人员是否存在上述向境外提供个人信息情形,如存在,审查是否有书面批准文件;
2)查验平台系统的个人信息提供记录,是否存在上述向境外提供个人信息的情形。
C.14.5
a)审计内容:中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的,是否按照其规定执行;
b)审计证据:访谈记录,和缔结或参加的国际条约、协定、平台系统
c)审计方法:
1)查看与出境个人信息相关的国家条约、协定等规定,询问实际执行过程中是否符合其要求;
2)查验平台系统,是否存在未按照相关规定执行的情形。
C.14.6
a)审计内容:是否按照国家网信部门的规定,经专业机构进行个人信息保护认证或者按照国家网信部门制定的标准合同与境外接收方签订合同,或者符合法律、行政法规、国家网信部门规定的其他条件;
b)审计证据:个人信息保护认证报告,或与境外接收方签订的合同。
c)审计方法:
1)查看个人信息保护认证报告,其中有对签订合同的合理性进行认证;
2)查看与境外接收方签订的合同,是否按照标准合同签订。
C.14.7
a)审计内容:是否了解境外接收方所在国家或者地区的隐私政策和网络安全环境对出境个人信息的影响;
b)审计证据:访谈记录。
c)审计方法:
1)询问被审计人员境外接收方所在国家或者地区的隐私政策、网络安全环境对出境个人信息的影响等情况。
C.14.8
a)审计内容:是否存在违规向被列入限制或者禁止个人信息提供清单的组织和个人提供个人信息的情形。
b)审计证据:向境外提供个人信息记录、访谈记录。
c)审计方法:
1)查验向境外提供个人信息记录是否存在上述违规情形;
2)询问被审计人员是否存在上述违规情形。
C.15 对境外接收方采取监督措施的有效性
C.15.1
a)审计内容:是否了解和掌握境外接收方的情况,特别是接收方是否具备必要的个人信息保护能力;
b)审计证据:数据出境安全评估报告
c)审计方法:
1)查看数据出境安全评估报告,重点审计境外接收方为保障跨境个人信息安全所采取的技术和管理措施,及其有效性评估。
C.15.2
a)审计内容:是否向境外接收方告知我国法律、行政法规对个人信息保护的要求,并要求境外接收方采取相应的保护措施;
b)审计证据:向境外接收方告知法律规定要求的记录
c)审计方法:
1)询问被审计人员告知境外接收方我国法律法规要求的途径、方式,查看告知记录核对真实性。
C.15.3
a)审计内容:是否采取签订协议、定期核查等方式,督促境外接收方切实履行个人信息保护义务。
b)审计证据:签订协议、定期核查记录、协议文本、核查记录
c)审计方法:
1)查看签订的协议,协议中是否对境外接收方履职情况进行约定;
2)询问被审计人员协议落实情况,包括定期核查频率和记录,违规处理个人信息整改情况等。
C.16 未成年人个人信息的告知义务
C.16.1
a)审计内容:是否制定专门的未成年人个人信息处理规则;
b)审计证据:未成年人隐私政策
c)审计方法:
1)查验个人信息处理者的隐私政策和产品是否有制定专门的未成年人个人信息处理规则和用户协议,是否制定专门的未成年人个人信息处理规则并予以发布。
C.16.2
a)审计内容:是否向未成年人及其监护人告知未成年人个人信息的处理目的、处理方式、处理必要性及处理个人信息的种类、所采取的保护措施等;
b)审计证据:告知机制、告知文案、告知记录
c)审计方法:
1)核验个人信息处理者告知同意机制、告知文案和告知记录,是否采取不易绕过的方式向未成年人及其监护人告知未成年人个人信息的处理目的、处理方式、处理必要性及处理个人信息的种类、所采取的保护措施等。
C.17 未成年人真实身份审核
C.17.1
a)审计内容:是否建立网络直播发布者真实身份信息动态核验机制
b)审计证据:管理制度、未成年人个人信息处理规则、核验机制的证明文件
c)审计方法:
1)查阅相关管理制度、未成年人个人信息处理规则,是否明确了核验网络直播发布者的要求;
2)试用相关功能服务,核验是否存在网络直播发布者身份核验机制。
C.17.2
a)审计内容:是否向不符合法律规定情形的未成年人用户提供网络直播发布服务
b)审计证据:核验机制的核验结果
c)审计方法:
1)核验是否存在网络直播发布者身份核验机制
2)查看身份核验机制核验结果,是否存在向不符合法律规定的用户提供网络直播发布服务。
C.18 收集未成年人个人信息的最小必要
C.18.1
a)审计内容:是否存在强制要求未成年人或者其监护人同意非必要的个人信息处理的行为。
b)审计证据:未成年人个人信息处理规则、平台系统
c)审计方法:
1)查验未成年人个人信息处理规则和平台系统,收集个人信息的类型、频率、数量、精度等是否存在强制要求未成年人或者其监护人同意非必要的个人信息处理的行为。
C.18.2
a)审计内容:是否因为未成年人或者其监护人不同意处理未成年人非必要个人信息或者撤回同意,拒绝未成年人使用其基本功能服务
b)审计证据:主要业务场景
c)审计方法:
1)查验未成年人或其监护人不同意处理未成年人非必要个人信息时,是否拒绝向未成年人提供基本功能服务
2)查验未成年人或其监护人撤回统一处理未成年人非必要个人信息时,是否拒绝向未成年人提供基本功能服务
C.19 未成年人个人信息主体权利
C.19.1
a)审计内容:是否提供便捷的支持未成年人或者其监护人查阅未成年人个人信息种类、数量等的方法和途径
b)审计证据:未成年人个人信息处理规则、未成年人或其监护人查阅未成年人个人信息的记录
c)审计方法:
1)查阅未成年人个人信息处理规则是否声明未成年人或其监护人查阅未成年人个人信息种类、数量等的方法和途径;
2)通过拨打客服电话、向在线客服申请、联系个人信息保护负责人/机构、查看系统界面或未成年人个人信息处理规则等方式,查验客服电话、在线客服、个人信息保护负责人/机构联系方式、系统界面中是否向个人提供便捷的查阅个人信息的方法
C.19.2
a)审计内容:是否限制未成年人或者其监护人的合理请求
b)审计证据:未成年人或其监护人行使权利的记录、司法案件
c)审计方法:
1)查阅公司留存的未成年人或其监护人行使权利的记录,是否存在限制其行使权利的情况;
2)查阅相关司法案例,是否存在因限制未成年人或其监护人行使权利的案件。
C.19.3
a)审计内容:是否设置不合理条件阻碍未成年人或者其监护人复制、更正、补充、删除未成年人个人信息的功能
b)审计证据:未成年人或其监护人行使权利的方法和途径
c)审计方法:
1)按照未成年人个人信息处理规则等公布的方法和途径,核验是否存在不合理条件、让用户增加负担的条件阻碍未成年人或其监护人行使复制、更正、补充、删除未成年人个人信息的情况。
C.19.4
a)审计内容:是否及时受理并处理未成年人或者其监护人查阅、复制、更正、补充、删除未成年人个人信息的申请,拒绝未成年人或者其监护人行使权利的请求的,应书面告知申请人并说明理由
b)审计证据:客服电话、在线客服、个人信息保护负责人/机构联系方式、申请处理机制、客服答复记录、未成年人个人信息处理规则、包含申请处理机制的管理制度等
c)审计方法:
1) 查验是否通过客服电话、在线客服、个人信息保护负责人/机构联系方式、包含申请处理机制的管理制度等建立个人行使权利的申请受理机制。
2)通过拨打客服电话、向在线客服申请、或联系个人信息保护负责人/机构、等方式查验客服话术、客服流程等个人行权申请处理机制,是否能够受理未成年人或者其监护人行权申请;
3)抽查客服电话、在线客服、个人信息保护负责人/机构联系方式、客服答复记录,是否能够受理未成年人或者其监护人行权申请
C.19.5
a)审计内容:对未成年人或者其监护人依法提出的转移未成年人个人信息请求、符合主管部门规定条件的,是否提供转移的途径
b)审计证据:管理制度、个人信息转移记录
c)审计方法:
1)查验相关管理制度,是否明确说明了关于未成年人或其监护人行使个人信息转移权的内容;
2)对于存在个人信息转移情况的,是否存在未成年人或其监护人行使个人信息转移权记录。
C.20 未成年人个人信息安全事件应急响应处置
C.20.1
a)审计内容:是否立即启动个人信息安全事件应急预案,采取补救措施
b)审计证据:应急管理制度、应急响应记录
c)审计方法:
1)查看个人信息处理者的个人信息安全事件应急管理制度,是否包括个人信息安全事件的应急预案,是否明确应急响应原则和策略,是否明确应急管理组织及职责分工,是否明确应急相关人员的协调内容和联系方式;
2)查阅个人信息安全事件应急响应处置记录,个人信息处理者采取了哪些措施将事件可能造成的损失和危害降到最低。
C.20.2
a)审计内容:是否及时向网信等部门报告,是否按照国家有关规定将事件情况以邮件、信函、电话、信息推送等方式告知受影响的未成年人及其监护人
b)审计证据:个人信息安全事件应急响应处置制度、个人信息安全事件应急响应处置记录
c)审计方法:
1)查阅个人信息安全事件应急处置制度、个人信息安全事件应急响应处置记录,判断是否建立了个人信息安全风险通报渠道,包括但不限于:内部运维感知、批量客诉分析、社会舆情监测、主管部门下发等;
2)访谈相关部门和人员,判断个人信息处理者能否在事件发生后72小时内通知到履行个人信息保护职责的部门和个人。
C.21 未成年人个人信息访问的最小必要
C.21.1
a)审计内容:是否设定了未成年人信息访问权限,控制未成年人个人信息知悉范围
b)审计证据:个人信息授权访问管理要求、授权访问记录
c)审计方法:
1)查阅有关文档,审查个人信息授权访问管理要求,是否明确权限最小化原则、权限管理的审批流程等;
2)核查未成年人个人信息的访问控制措施,查看业务系统、数据库、审计平台等日志记录和告警信息,查看违规记录和处置记录。
C.21.2
a)审计内容:工作人员访问未成年人个人信息的,是否经过相关负责人或者其授权的管理人员审批,记录访问情况,并采取技术措施,避免违法处理未成年人个人信息
b)审计证据:个人信息授权访问管理要求、授权访问记录
c)审计方法:
1)查阅有关文档,审查个人信息授权访问管理要求,是否明确权限最小化原则、权限管理的审批流程等;
2)核查未成年人个人信息的访问控制措施,查看业务系统、数据库、审计平台等日志记录和告警信息,查看违规记录和处置记录。
3)核查业务系统访问个人信息的展示方式,敏感个人信息是否脱敏后展示。
C.22 未成年人私密信息保护
C.22.1
a)审计内容:发现未成年人私密信息或者未成年人通过网络发布的个人信息中涉及私密信息的,是否及时提示,并采取停止传输等必要保护措施,防止信息扩散
b)审计证据:未成年私密信息保护制度、未成年人私密信息审查机制
c)审计方法:
1)查阅是否制定了未成年人私密信息保护制度,或未成年人个人信息保护制度中是否覆盖未成年人私密信息保护要求;
2)核验未成年人私密信息审查机制及提示管理机制。
C.22.2
a)审计内容:通过未成年人私密信息发现未成年人可能遭受侵害的,是否立即采取必要措施保存有关记录,并向公安机关报告
b)审计证据:事件保存和报告记录
c)审计方法:
1)存在未成年人因未成年人私密信息遭到侵害的,是否保存相关事件记录;
2)存在未成年人因未成年人私密信息遭到侵害的,是否保存相关事件报告记录;
C.23 个人信息删除权保障情况
C.23.1
a)审计内容:个人信息处理目的已实现、无法实现或者为实现处理目的不再必要,是否删除或匿名化处理个人信息;
b)审计证据:个人信息删除或匿名化处理的管理制度、个人信息删除或匿名化机制、个人信息删除或匿名化处理的记录、系统日志
c)审计方法:
1)查验是否建立个人信息删除或匿名化机制;
2)查看内部规范中关于个人信息删除或匿名化处理机制的相关规则,是否有覆盖个人信息处理目的已实现、无法实现或者为实现处理目的不再必要的情形
3)查看个人信息删除或匿名化记录或系统日志,查验个人信息处理目的已实现、无法实现或者为实现处理目的不再必要,是否删除或匿名化处理个人信息
4)询问是否存在个人信息处理目的已实现、无法实现或者为实现处理目的不再必要的情形,并查验个人信息删除记录或系统日志;
5)个人信息处理目的已实现、无法实现或者为实现处理目的不再必要,是否删除或匿名化处理个人信息。
C.23.2
a)审计内容:停止提供产品或者服务,或者个人注销账号,是否删除或匿名化处理个人信息;
b)审计证据:个人信息删除或匿名化处理的管理制度、个人信息删除或匿名化机制、个人信息删除或匿名化处理的记录、系统日志
c)审计方法:
1)查验是否建立个人信息删除或匿名化机制;
2)查看内部规范中关于个人信息删除或匿名化处理机制的相关规则,是否有覆盖停止提供产品或者服务或者个人注销账号的情形;
3)查看个人信息删除或匿名化记录或系统日志,查验停止提供产品或者服务,或者个人注销账号,是否删除或匿名化处理个人信息。
C.23.3
a)审计内容:达到与个人约定的存储期限,是否删除或匿名化处理个人信息;
b)审计证据:个人信息删除或匿名化处理的管理制度、个人信息删除或匿名化机制、个人信息删除或匿名化处理的记录、系统日志
c)审计方法:
1)查看内部规范中关于个人信息删除或匿名化处理机制的相关规则,是否有覆盖达到与个人约定的存储期限的情形;
2)查看个人信息删除或匿名化记录或系统日志,查验达到与个人约定的存储期限,是否删除或匿名化处理个人信息。
C.23.4
a)审计内容:个人撤回同意,是否删除或匿名化处理个人信息;
b)审计证据:个人信息删除或匿名化处理的管理制度、个人信息删除或匿名化机制、个人信息删除或匿名化处理的记录、系统日志
c)审计方法:
1)查看内部规范中关于个人信息删除或匿名化处理机制的相关规则,是否有覆盖个人撤回同意的情形;
2)查看个人信息删除或匿名化记录或系统日志,查验个人撤回同意,是否删除或匿名化处理个人信息。
C.23.5
a)审计内容:因使用自动化采集技术等,无法避免采集到非必要个人信息或者未经同意的个人信息,是否删除或匿名化处理个人信息;
b)审计证据:个人信息删除或匿名化处理的管理制度、个人信息删除或匿名化机制、个人信息删除或匿名化处理的记录、系统日志
c)审计方法:
1)查验因使用自动化采集技术等,无法避免采集到非必要个人信息或者未经同意的个人信息,是否删除或匿名化处理个人信息。
C.23.6
a)审计内容:个人信息处理者违反法律、行政法规或者违反约定处理个人信息,是否删除或匿名化处理个人信息。
b)审计证据:公开通报、个人信息删除或匿名化处理的管理制度、个人信息删除或匿名化机制、个人信息删除或匿名化处理的记录、系统日志
c)审计方法:
1)查看内部规范中关于个人信息删除或匿名化处理机制的相关规则,是否有覆盖个人信息处理者违反法律、行政法规或者违反约定处理个人信息的情形;
2)查看个人信息删除或匿名化记录或系统日志,查验个人信息处理者近1年内是否存在违反法律、行政法规或者违反约定处理个人信息的情形,若存在是否已删除或匿名化处理个人信息;
3)查看个人信息删除或匿名化记录或系统日志,查验个人信息处理者违反法律、行政法规或者违反约定处理个人信息,是否删除或匿名化处理个人信息。
C.23.7
a)审计内容:法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,个人信息处理者是否停止除存储和采取必要的安全措施之外的处理。
b)审计证据:访谈记录、个人信息删除或匿名化处理的管理制度、个人信息删除或匿名化机制、个人信息删除或匿名化处理的记录、系统日志、已采取的安全措施
c)审计方法:
1)查看个人信息处理内部规范,是否有覆盖法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的情形;
2)访谈相关人员是否存在法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的情形;
3)查验法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,个人信息处理者是否停止除存储和采取必要的安全措施之外的处理。
C.24 个人行使个人信息权益的权利保障
C.24.1
a)审计内容:是否建立个人行使权利的申请受理机制;
b)审计证据:客服电话、在线客服、个人信息保护负责人/机构联系方式、申请处理机制、客服答复记录、隐私政策、包含申请处理机制的管理制度等
c)审计方法:
1)查验是否通过客服电话、在线客服、个人信息保护负责人/机构联系方式、包含申请处理机制的管理制度等建立个人行使权利的申请受理机制。
2)通过拨打客服电话、向在线客服申请、或联系个人信息保护负责人/机构、等方式查验客服话术、客服流程等个人行权申请处理机制,是否能够受理个人行权申请;
3)抽查客服电话、在线客服、个人信息保护负责人/机构联系方式、客服答复记录,是否能够受理个人行权申请。
C.24.2
a)审计内容:是否向个人提供便捷的查阅、复制、转移、更正、补充、删除个人信息的方法;
b)审计证据:客服电话、在线客服、个人信息保护负责人/机构联系方式、系统界面、隐私政策中明示的方法等
c)审计方法:
1)通过拨打客服电话、向在线客服申请、联系个人信息保护负责人/机构、查看系统界面或隐私政策等方式,查验客服电话、在线客服、个人信息保护负责人/机构联系方式、系统界面中是否向个人提供便捷的查阅、复制、转移、更正、补充、删除个人信息的方法。
C.24.3
a)审计内容:是否及时响应个人行使权利的申请,是否及时、完整、准确告知处理意见或者执行结果。
b)审计证据:客服电话、在线客服、个人信息保护负责人/机构联系方式、客户处理机制、客户答复记录、隐私政策、包含用户处理机制的管理制度、客服答复记录等
c)审计方法:
1)查看包含用户处理机制的内部规范,是否对响应个人行使权利的申请有时间和内容完整性等方面的要求;
2)通过拨打客服电话、向在线客服申请、联系个人信息保护负责人/机构、查看客服答复记录等方式,查验客服电话、在线客服、个人信息保护负责人/机构联系方式是否及时响应个人行使权利的申请,是否及时、完整、准确告知处理意见或者执行结果。
C.25 响应个人对其个人信息处理规则进行解释说明的申请
C.25.1
a)审计内容:个人信息处理者是否提供便捷的方式和途径,接受、处理个人关于个人信息处理规则解释说明的要求;
b)审计证据:客服电话、在线客服、个人信息保护负责人/机构联系方式
c)审计方法:
1)通过拨打客服电话、向在线客服申请、联系个人信息保护负责人/机构等方式,查验是否接受、处理个人关于个人信息处理规则解释说明的要求。
C.25.2
a)审计内容:接到个人的要求后,个人信息处理者是否在合理的时间内,使用通俗易懂的语言对其个人信息处理规则作出解释说明。
b)审计证据:客服电话、在线客服、在线客服或电话客服答复记录
c)审计方法:
1)通过拨打客服电话、向在线客服申请、或查看在线客服或电话客服答复记录等方式,查验是否能够在合理的时间内,使用通俗易懂的语言对其个人信息处理规则作出解释说明。
C.26 个人信息处理者保护责任
C.26.1
a)审计内容:个人信息保护制度制定、组织架构、管理程序与处理个人信息的性质、规模、复杂程度、风险程度的适应性;
b)审计证据:个人信息保护相关管理制度、操作规程、组织架构示意图,个人信息等数据资产统计资料
c)审计方法:
1)查阅个人信息管理制度体系有关文档,评估战略层、管理层、执行层等各级文件和技术方案等文档的完整性,文档发布的形式和更新频率,管理审批流程和工作记录,应落实制度要求;
2)访谈个人信息保护负责人、有关业务负责人,询问个人信息保护工作职责,业务活动涉及处理个人信息的各环节,业务过程中个人信息保护的管控卡点,需个人信息保护或安全负责部门审核的事项。
3)核查系统和数据资源清单,统计个人信息数量、类型和处理目的等,分析数据收集、存储、传输、提供等处理活动和业务的关联性。
C.26.2
a)审计内容:个人信息保护职责分工是否合理、职责是否明确、报告关系是否清晰;
b)审计证据:负责人和关键岗位人员任命文件、机构部门职责设置
c)审计方法:
1)查阅有关文件,审查制度文件明确规定了个人信息保护职责分工,定期审核和更新岗位的职责要求和工作任务,以适应业务发展和法规要求;
2)访谈个人信息保护负责人和关键岗位人员,询问工作职责、汇报关系和工作内容;
C.26.3
a)审计内容:个人信息处理者为个人信息保护提供的人、财、物保障与企业业务规模、运营计划、个人信息合规风险管理的匹配性。
b)审计证据:网络安全、数据安全、个人信息保护专项投入的预算计划,负责个人信息保护工作的人员名单,人员招聘计划,风险与合规管理工作计划安排
c)审计方法:
1)查阅预算计划,审阅投入个人信息保护和安全工作的经费,个人信息保护所需的技术资源、外部服务资源等是否明确规划和记录;
2)访谈有关负责人,询问根据个人信息保护所需的人力资源,定期更新招聘计划;
3)查看是否对物资保障、人员保障等定期评估,判定其是否与企业业务规模、运营计划、个人信息合规风险管理相匹配。
C.27 内部管理制度和操作规程
C.27.1
a)审计内容:个人信息保护工作的方针、目标、原则是否符合法律、行政法规规定;
b)审计证据:个人信息保护管理制度、操作规程
c)审计方法:
1)查阅个人信息保护的有关管理制度和操作规程;
2)查验是否符合法律、行政法规和有关强制性要求的情况,是否明确个人信息保护工作的方针、目标、原则等;
3)访谈个人信息保护工作有关负责人,是否了解有关规定要求,对个人信息保护工作的方针、目标、原则等做出清晰的解释。
C.27.2
a)审计内容:个人信息保护组织架构、人员配备、行为规范、管理责任是否与应当履行的个人信息保护责任相适应;
b)审计证据:个人信息保护管理制度、机构设立或人员任命文件、流程审批记录、日志记录等
c)审计方法:
1)查阅个人信息保护管理制度等相关文档,是否明确个人信息保护组织架构、人员配备、行为规范、管理责任;
2)查阅机构设立或人员任命文件等,查验个人信息保护工作的负责机构的设置、组织负责人、机构负责人、工作人员岗位设置。
3)查阅管理程序文档,是否为个人信息对外共享、数据出境、影响评估等重要事项设置管控卡点,进行审核和记录;
4)核查个人信息的访问控制措施,查看业务系统、数据库、审计平台等日志记录和告警信息,查看违规记录和处置记录。
C.27.3
a)审计内容:是否根据个人信息的种类、来源、敏感程度、用途等,对个人信息进行分类,并采取有针对性的管理或者安全技术措施;
b)审计证据:数据分类分级、数据资产制度文件、数据分级分类目录、数据资产清单、数据防护策略等文件,数据库、数据资产管理系统等记录
c)审计方法:
1)查阅数据分类分级、数据资产梳理等相关制度文件,是否明确个人信息处理者实施数据分类分级的依据和方法;
2)查阅数据分类分级目录、数据资产清单,是否对个人信息资产进行全面的梳理和记录。
3)查阅数据防护策略等技术文档或方案,是否针对不同等级的数据设置合理的防护措施。
4)访谈有关人员,能否对个人信息的来源、用途以及数据定级进行清晰的说明。
5)查阅个人信息处理者是否采用人工或自动化的方式,核查数据库表字段,以验证数据资产清单内容的准确性。
C.27.4
a)审计内容:是否建立个人信息安全事件应急响应机制;
b)审计证据:个人信息管理制度、个人信息安全事件应急预案、操作流程、事件处置记录等
c)审计方法:
1)查阅有关文档或记录,查验个人信息处理是否建立对个人信息安全事件的定义和事件定级方式,安全事件的发现、处置和报告的流程。
2)查阅安全事件处置记录和日志,记录内容是否包含发现事件的时间、原因、涉及的个人信息的类型和数量,发生事件的系统和设备以及有关责任方,采取的阻断或补救措施,对个人信息主体可能造成的影响等。
3)通过互联网或威胁情报等方式,搜集个人信息处理者近一年内可能发生的信息泄露事件,访谈有关人员,了解事件的真实性和处置情况。
C.27.5
a)审计内容:是否建立个人信息保护影响评估、合规审计制度;
b)审计证据:个人信息管理制度、个人信息影响评估报告、合规审计报告
c)审计方法:
1)查阅个人信息管理制度,审阅个人信息保护影响评估、合规审计的规定。查阅个人信息保护影响评估、合规审计报告或记录,是否包括发起影响评估的原因、评估结果和审批流程,合规审计的结果和问题整改情况。
C.27.6
a)审计内容:是否建立畅通的个人信息保护投诉举报受理流程;
b)审计证据:个人信息管理制度、个人信息保护投诉举报受理记录
c)审计方法:
1)查阅个人信息管理制度,审查处理个人信息投诉、举报的规定,负责受理的部门、处理流程、响应时间和完成处理的最长时限;查阅投诉、举报的处理记录。
2)验证投诉、举报渠道的有效性。
C.27.7
a)审计内容:是否制定实施个人信息保护安全教育和培训计划;
b)审计证据:个人信息管理制度、个人信息保护安全教育和培训计划和记录
c)审计方法:
1)查阅个人管理制度,审阅开展个人信息保护安全教育和培训的规定,培训周期和参与培训的人员。
2)查阅培训材料和记录,确认培训的实施与培训计划的一致性。
C.27.8
a)审计内容:是否建立个人信息保护负责人及相关人员履职评价制度;
b)审计证据:个人信息管理制度、人员履职和考核的评价记录等
c)审计方法:
1)查阅个人管理制度,规定个人信息保护负责人及相关人职责和考核评价要求。
2)访谈考评负责人员,了解评价方法和评价内容
C.27.9
a)审计内容:是否建立针对个人信息处理相关人员的个人信息违规处置或者违规行为责任制度,并有效实施;
b)审计证据:个人信息管理制度、违规行为处置记录等
c)审计方法:
1)查阅个人信息管理制度,审阅违规行为的定义和处罚办法,审阅违规行为处置记录。
2)访谈有关负责人,了解发生个人信息违规处置或者违规行为的情况。
C.28 安全技术措施
C.28.1
a)审计内容:是否参照有关国家标准或者技术要求,采取相应安全技术措施实现个人信息的保密性、完整性、可用性;
b)审计证据:技术方案、检测评估报告、技术测试报告、风险评估报告
c)审计方法:
1)查阅技术方案、检测报告和结果,是否按照国家或行业规定开展系统和设备的安全检测,是否对重大风险和问题进行记录。
2)选取可能影响个人信息安全的未整改问题,进行技术检测,是否仍存在高危漏洞或严重安全风险。
C.28.2
a)审计内容:是否采取加密、去标识化等安全技术措施,确保在不借助额外信息的情况下,消除或者降低个人信息的可识别性;
b)审计证据:加密、去标识化技术文档,数据库表字段信息、个人信息展示页面
c)审计方法:
1)查阅技术文档,审阅采用加密、去标识化的技术措施的要求;
2)核查存储个人信息的数据库,抽查验证数据字段内容是否按照要求进行保护,统计数据表包括的个人信息种类,分析标识或关联标识个人的可能性;
3)核查业务系统访问个人信息的展示方式,敏感个人信息是否脱敏后展示。
C.28.3
a)审计内容:采取的安全技术措施能否合理确定有关人员查阅、复制、传输等个人信息的操作权限,减少个人信息在处理过程中未经授权的访问和滥用风险。
b)审计证据:个人信息管理制度、用户授权和权限管理策略、日志和审计记录
c)审计方法:
1)查阅有关文档,审查个人信息授权访问管理要求,是否明确权限最小化原则、权限管理的审批流程等;
2)核查业务系统的用户角色配置、权限设置,申请和审批权限的流程和记录,查看日志记录的内容。
C.29 教育培训计划的制定和实施
C.29.1
a)审计内容:是否按计划对管理人员、技术人员、操作人员、全员开展相应的安全教育和培训,是否对相应人员的个人信息保护意识和技能进行考核;
b)审计证据:培训计划、培训通知、培训记录、培训签到记录、培训材料、考核材料、考核成绩记录
c)审计方法:
1)查验培训计划制定、培训实施、培训考核过程文档证实是否按计划对管理人员、技术人员、操作人员、全员开展相应的安全教育和培训,并实施考核。
2)查验是否有针对管理人员、技术人员、操作人员、全员开展的个人信息保护相关规范与要求培训,个人信息保护意识与技能的测试。
3)抽查管理人员、技术人员、操作人员、全员,了解是否参加培训、测试,测试其是否熟悉单位在个人信息保护方面的规范、要求,是否具备个人信息保护意识与技能。
C.29.2
a)审计内容:培训内容、培训方式、培训对象、培训频率等能否满足个人信息保护需要。
b)审计证据:培训计划、培训通知、培训记录
c)审计方法:
1)查验培训计划与培训实施中,是否包含个人信息保护教育与培训的内容。
2)查验培训计划与培训实施中,个人信息保护教育与培训的频率、周期、时长、覆盖范围。
3)抽查管理人员、技术人员、操作人员、全员,是否参加培训、测试,参加培训与测试的次数是否与岗位所需个人信息保护要求相适应。
C.30 个人信息保护负责人
C.30.1
a)审计内容:个人信息保护负责人是否具有相关的工作经历和专业知识,熟悉个人信息保护相关法律、行政法规;
b)审计证据:个人信息保护管理制度、个人信息保护负责人身份和背景、个人信息保护负责人工作经历
c)审计方法:
1)查验个人信息保护管理制度是否明确任命个人信息保护负责人。
2)查验个人信息保护负责人身份、背景、工作经历,是否有个人信息保护相关专业知识、管理经验和工作经历。
C.30.2
a)审计内容:个人信息保护负责人是否具有明确清晰的职责,是否被赋予充分的权限协调组织内个人信息处理相关部门与人员;
b)审计证据:个人信息保护岗位责任书或相关制度管理文件
c)审计方法:
1)查验个人信息保护岗位责任书或相关制度管理文件,是否清晰明确个人信息保护负责人的职责,是否赋予个人信息保护负责人行使个人信息保护职责的权限。
C.30.3
a)审计内容:个人信息保护负责人是否有权提名个人信息保护团队负责人,并与其保持顺畅的沟通和联系;
b)审计证据:个人信息保护岗位责任书或相关制度管理文件,个人信息保护负责人和个人信息保护团队负责人名单,沟通机制和记录
c)审计方法:
1)个人信息保护负责人和个人信息保护团队负责人非同一人时,查验个人信息保护岗位责任书或相关制度管理文件,是否明确个人信息保护负责人提名或任命个人信息保护团队负责人的职权;
2)查验个人信息保护负责人和个人信息保护团队负责人的沟通机制,抽查沟通记录,确认沟通机制是否顺畅。
C.30.4
a)审计内容:个人信息保护负责人在个人信息处理重大事项决策前是否有权提出相关意见和建议;
b)审计证据:个人信息保护岗位责任书或相关制度管理文件,会议记录,决策记录、审批记录
c)审计方法:
1)查验个人信息保护岗位责任书或相关制度管理文件,是否明确个人信息保护负责人在个人信息处理重大事项时的决策权、建议权。
2)查验相关会议记录、决策记录、审批记录,个人信息保护负责人是否对个人信息处理重大事项进行决策或建议。
C.30.5
a)审计内容:个人信息保护负责人是否有权对组织内部个人信息处理的不合规操作进行制止和采取必要的纠正措施;
b)审计证据:个人信息保护岗位责任书或相关制度管理文件,会议记录,决策记录、审批记录
c)审计方法:
1)查验个人信息保护岗位责任书或相关制度管理文件,个人信息保护负责人的岗位职责范围是否可以覆盖对组织内部个人信息处理的不合规操作进行制止和采取必要的纠正措施。
2)查验相关会议记录、决策记录、审批记录,个人信息保护负责人是否对组织内部个人信息处理的不合规操作进行制止和采取必要的纠正措施。
C.30.6
a)审计内容:个人信息处理者是否公开个人信息保护负责人的联系方式,并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门。
b)审计证据:隐私政策、企业社会责任报告、官方网站、报送机制
c)审计方法:
1)查验隐私政策或企业社会责任报告或官网,是否公开个人信息保护负责人的联系方式。
2)查验个人信息保护负责人的姓名、联系方式报送机制,是否报送履行个人信息保护职责的部门。
C.31 个人信息保护影响评估
C.31.1
a)审计内容:是否依照法律、行政法规的规定,在进行对个人权益具有重大影响的个人信息处理活动前通过个人信息保护影响评估;
b)审计证据:个人信息保护影响评估制度、个人信息保护影响评估报告
c)审计方法:
1)查验个人信息保护影响评估制度,是否规定在处理敏感个人信息、利用个人信息进行自动化决策、委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息、向境外提供个人信息前,开展个人信息保护影响评估。
2)查验个人信息保护影响评估报告,是否在相应个人信息处理活动前开展个人信息保护影响评估并形成相应的个人信息保护影响评估报告。
C.31.2
a)审计内容:是否对个人信息处理活动的合法性、正当性和必要性进行了分析评估,是否存在过度收集个人信息的情况;
b)审计证据:个人信息保护影响评估报告
c)审计方法:
1)查验个人信息保护影响评估报告,是否对个人处理活动的合法性、正当性和必要性进行了分析评估;
2)查验个人信息保护影响评估报告,是否评估最小必要收集个人信息的情况。
C.31.3
a)审计内容:是否对限制个人自主决定权、引发差别性待遇、导致个人名誉受损或者遭受精神压力、造成人身财产受损等安全风险进行了分析评估;
b)审计证据:个人信息保护影响评估报告
c)审计方法:
1)查验个人信息保护影响评估报告,是否对限制个人自主决定权、引发差别性待遇、导致个人名誉受损或者遭受精神压力、造成人身财产受损等安全风险进行了分析评估。
C.31.4
a)审计内容:是否对所采取的保护措施的合法性、有效性、适应性进行了分析评估;
b)审计证据:个人信息保护影响评估报告和处理记录
c)审计方法:
1)查验个人信息保护影响评估报告和处理记录,是否分析了所采取的保护措施,是否对所采取的保护措施的合法性、有效性、适应性进行了分析评估。
C.31.5
a)审计内容:个人信息保护影响评估报告和处理记录是否至少保存三年。
b)审计证据:个人信息保护影响评估报告和处理记录、个人信息保护影响评估报告和处理记录保存机制
c)审计方法:
1)抽查3年内的个人信息保护影响评估报告和记录,是否能够找到相应的个人信息保护影响评估报告和处理记录。
2)查验个人信息保护影响评估报告和处理记录保存机制,是否满足至少保存3年的要求。
C.32 个人信息安全事件应急预案
C.32.1
a)审计内容:是否制定个人信息安全事件应急预案
b)审计证据:个人信息安全事件应急管理制度、个人信息安全事件应急预案
c)审计方法:
1)查看个人信息处理者的个人信息安全事件应急管理制度,是否包括个人信息安全事件的应急预案,是否明确应急响应原则和策略,是否明确应急管理组织及职责分工,是否明确应急相关人员的协调内容和联系方式;
C.32.2
a)审计内容:是否结合业务实际,对面临的个人信息安全风险作出了系统评估和预测;
b)审计证据:个人信息安全事件应急预案、个人信息安全事件应急预案管理制度
c)审计方法:
1)查阅个人信息安全事件应急预案、个人信息安全事件应急预案管理制度,个人信息处理者是否结合业务实际,对业务所面临的个人信息安全风险进行了风险场景梳理、风险评估与排查、对可能发生的风险进行预测;
C.32.3
a)审计内容:指导思想、基本策略,组织机构、人员,技术、物资保障及指挥处置程序、应急和支持措施等是否足以应对预测的风险;
b)审计证据:个人信息安全事件应急预案、个人信息安全事件应急预案管理制度
c)审计方法:
1)查阅个人信息安全事件应急预案,是否包括组织及职责分工、个人信息安全事件分类分级定义、应急演练规划和机制、安全事件应急响应流程(包括针对儿童个人信息事件应急的相关条款)、安全事件应急处置机制、响应时间等内容;
2)查阅个人信息安全事件应急预案、个人信息安全事件应急预案管理制度,是否明确组织及职责分工、应急响应流程、处置机制等内容,分析判断技术、物资保障及指挥处置程序、应急和支持措施等是否足以应对预测的风险;
3)通过访谈或查看系统等方式,是否有针对应急预案的有效性和可执行的能力建设,例如对事件溯源的工具化建设。
C.32.4
a)审计内容:是否对相关人员进行应急预案培训,定期对应急预案进行演练。
b)审计证据:个人信息安全事件应急预案培训记录、个人信息安全事件应急演练计划、个人信息安全事件应急演练记录
c)审计方法:
1)查看应急演练相关文档,是否对相关人员进行应急预案培训,是否定期按照应急演练规划来组织应急演练,演练规划包括但不限于:演练范围、演练方式、演练程序、资源保障需求等。
C.33 个人信息安全事件应急响应处置
C.33.1
a)审计内容:是否按照应急预案、操作规程及时查明个人信息安全事件的影响、范围和可能造成的危害,分析、确定事件发生的原因,提出防止危害扩大的措施方案;
b)审计证据:个人信息安全事件应急响应处置制度、个人信息安全事件应急响应处置记录
c)审计方法:
1)查阅个人信息安全事件处置记录,是否包含判断个人信息安全事件的影响、范围和可能造成的危害,分析、确定事件发生的原因,提出防止危害扩大的措施方案;
2)查看个人信息处理者个人信息安全事件应急响应处置制度规范,是否具备应急响应处置及同步机制,包括但不限于:处置流程、处置团队成员、应急模式、处置时效、同步范围、升级通知规则、延期处置情形等。
C.33.2
a)审计内容:是否建立通报渠道,能否在事件发生后72小时内通知履行个人信息保护职责的部门和个人;
b)审计证据:个人信息安全事件应急响应处置制度、个人信息安全事件应急响应处置记录
c)审计方法:
1)查阅个人信息安全事件应急处置制度、个人信息安全事件应急响应处置记录,判断是否建立了个人信息安全风险通报渠道,包括但不限于:内部运维感知、批量客诉分析、社会舆情监测、主管部门下发等;
2)访谈相关部门和人员,判断个人信息处理者能否在事件发生后72小时内通知到履行个人信息保护职责的部门和个人。
C.33.3
a)审计内容:是否采取相应措施将个人信息安全事件可能造成的损失和可能产生的危害风险降低到最小。
b)审计证据:个人信息安全事件应急响应处置制度、个人信息安全事件应急响应处置记录
c)审计方法:
1)查阅个人信息安全事件应急响应处置记录,是否按照应急预案对事件进行应急响应和处置,是否对安全事件及时进行真实性核定、溯源分析、风险排查等,明确定位了事件发生的原因;
2)查阅个人信息安全事件应急响应处置记录,是否根据不同类别和级别的个人信息安全事件和影响评估,采用分级的应急响应和决策,处置和响应时效是否及时,满足预定的时效要求;
3)查阅个人信息安全事件应急响应处置记录,是否对个人信息安全事件进行复盘总结,制定具体整改方案;
4)查阅个人信息安全事件应急响应处置记录,是否具备安全监控机制,通过常态化的安全监控和风险感知,及时进行风险预警,提升应急响应能力;
5)查阅个人信息安全事件应急响应处置记录,个人信息处理者采取了哪些措施将事件可能造成的损失和危害降到最低。
C.34 外部独立监督机构
C.34.1
a)审计内容:独立机构对个人信息保护情况进行监督的独立性
b)审计证据:独立机构外部成员身份和背景,独立机构成员聘用机制、外部独立监督机构工作规则
c)审计方法:
1)查验独立机构成员的身份和背景信息,是否与个人信息处理者及其主要股东存在可能妨碍其进行独立客观判断的关系,包括在大型互联网企业或者其附属关联企业任职,或者其配偶、直系亲属、主要社会关系在大型互联网企业或者其附属企业任职,为大型互联网企业或者其附属企业提供财务、法律、咨询等服务,与大型互联网企业或者其附属企业存在股权关系。
2)查验外部独立监督机构工作规则,是否有人员聘用和换届等机制。
3)查验独立机构人员构成情况,外部成员的比例是否不低于三分之二。
C.34.2
a)审计内容:外部独立监督机构成员的履职能力
b)审计证据:独立机构外部成员身份和背景,独立机构工作记录
c)审计方法:
1)查验独立机构成员的背景信息,外部成员是否具备相应的专业知识和经验,例如是否具备个人信息保护、数据安全、网络安全等相关的教育背景或经验,是否公开发表过个人信息相关论文或观点,或参与了相关标准的制定等。
2)查验独立机构成员的背景信息,独立机构成员是否有违法违规记录,例如:个人信息违法违规事件记录,曾因犯罪受过刑事处罚、曾被开除公职或者受到监管部门的惩戒和处罚等。
3)查验独立机构会议记录和工作记录,独立机构成员是否出席独立机构会议,是否能给个人信息处理者的个人信息保护情况提出意见和建议。
C.34.3
a)审计内容:独立机构的监督作用
b)审计证据:独立机构资质文件、独立机构内部管理制度,独立机构工作机制,独立机构工作记录
c)审计方法:
1)查验独立机构资质文件,是否拥有行业相关资质,能够承担独立机构的监督功能。
2)查验独立机构内部管理制度,是否具备对个人信息处理者监督的能力。例如:管理制度的科学性和合理性、是否包含对个人信息保护情况监督的相关制度和流程。
3)查验独立机构会议记录和工作记录,独立机构成员是否能对个人信息处理者的合规制度体系、平台规则、隐私政策等发表监督意见,以及意见的采纳情况。
4)查验独立机构会议记录和工作记录,独立机构成员能否对个人信息处理者重大个人信息安全事件处置、履行企业社会责任等个人信息保护相关工作发表监督意见,以及意见的采纳情况。
5)查验独立机构相关议事规则,个人信息处理者是否存在对外部独立监督机构的履职保障,包括不限于制度、定期会议等。
C.35 大型互联网平台规则
C.35.1
a)审计内容:平台规则的合法合规性,是否存在与法律、行政法规相抵触的情况;
b)审计证据:大型互联网平台规则
c)审计方法:
1)查验大型互联网平台规则,是否存在与法律、行政法规相抵触的情况。
C.35.2
a)审计内容:平台规则的公平公正性,是否存在恶意竞争、影响消费者权益等违反公平竞争原则、诚实信用原则、公序良俗的内容;
b)审计证据:大型互联网平台规则
c)审计方法:
1)查验大型互联网平台规则,是否存在恶意竞争或垄断行为;
2)查验大型互联网平台规则,是否存在影响消费者权益等违反公平竞争原则、诚实信用原则、公序良俗的内容。
C.35.3
a)审计内容:平台规则个人信息保护条款的有效性,是否合理界定了平台、平台内产品或者服务提供者的个人信息保护权利和义务,是否对平台内经营者处理个人信息行为进行规范,平台内经营者的个人信息保护义务是否明确;
b)审计证据:大型互联网平台规则
c)审计方法:
1)查验大型互联网平台规则的个人信息保护条款,是否合理界定了平台、平台内产品或者服务提供者的个人信息保护权利和义务,是否对平台内经营者处理个人信息行为进行规范,平台内经营者的个人信息保护义务是否明确。
C.35.4
a)审计内容:平台规则的执行情况。
b)审计证据:大型互联网平台规则,大型互联网平台运营机制
c)审计方法:
1)抽查大型互联网平台规则实施机制,平台个人信息保护义务是否落实。
C.36 平台内产品或者服务提供者的个人信息处理活动监督
C.36.1
a)审计内容:是否定期审核平台内产品或者服务提供者个人信息处理规则的合法性、合理性;
b)审计证据:平台内产品或者服务提供者个人信息处理规则的审核机制和记录
c)审计方法:
1)查验平台内产品或者服务提供者个人信息处理规则的审核机制,能否正常运行并审核平台内产品或者服务提供者个人信息处理规则的合法性、合理性;
2)查验平台内产品或者服务提供者个人信息处理规则的审核记录,能否有效对平台内产品或者服务提供者个人信息处理规则的合法性、合理性进行审核;
3)查验平台内产品或者服务提供者个人信息处理规则的审核记录,是否准确记录产品或者服务提供者个人信息处理规则通过或不通过的情况。
C.36.2
a)审计内容:是否定期对平台内产品或者服务提供者处理个人信息遵守法律、行政法规情况进行审核;
b)审计证据:对平台内产品或者服务提供者处理个人信息遵守法律、行政法规情况进行审核的机制,对平台内产品或者服务提供者处理个人信息遵守法律、行政法规情况进行审核的记录,平台内产品或者服务提供者处理个人信息情况
c)审计方法:
1)查验是否具备定期对平台内产品或者服务提供者处理个人信息遵守法律、行政法规情况进行审核的机制,能否有效对平台内产品或者服务提供者处理个人信息遵守法律、行政法规情况进行审核。
2)查验对平台内产品或者服务提供者处理个人信息遵守法律、行政法规情况进行审核的记录,是否准确记录平台内产品或者服务提供者处理个人信息通过或不通过审核的情况。
3)抽查平台内产品或者服务提供者处理个人信息情况,是否存在不遵守法律、行政法规的情况。
C.36.3
a)审计内容:对于严重违反法律、行政法规处理个人信息的产品或者服务提供者,平台是否及时停止向其提供服务。
b)审计证据:对于违反法律、行政法规处理个人信息的产品或者服务提供者进行处罚的机制,停止提供服务记录,平台内产品或者服务提供者处理个人信息情况
c)审计方法:
1)查验是否有对违反法律、行政法规处理个人信息的产品或者服务提供者进行处罚的机制,是否区分不同情况下的处罚力度,明确对于严重违反法律、行政法规处理个人信息的产品或者服务提供者停止服务的机制。
2)查验停止提供服务记录,是否存在因产品或者服务提供者严重违反法律、行政法规处理个人信息而停止提供服务的记录。
3)抽查平台内产品或者服务提供者处理个人信息情况,是否存在严重违反法律、行政法规处理个人信息的情况。
C.37 个人信息保护社会责任报告
C.37.1
a)审计内容:每年发布个人信息保护社会责任报告;
b)审计证据:个人信息保护社会责任报告编制和发布机制、个人信息保护社会责任报告
c)审计方法:
1)查验个人信息保护社会责任报告的编制和发布机制能否保证每年发布个人信息保护社会责任报告;
2)查验个人信息保护社会责任报告是否按照相应机制编制并正式发布;
3)查验是否能够通过公开渠道获取个人信息保护社会责任报告。
C.37.2
a)审计内容:个人信息保护组织架构和内部管理情况披露;
b)审计证据:个人信息保护社会责任报告
c)审计方法:
1)查验个人信息保护社会责任报告是否披露个人信息保护组织架构和内部管理情况,包括但不限于个人信息保护组织架构、个人信息保护制度规范情况等。
C.37.3
a)审计内容:个人信息保护能力建设情况披露;
b)审计证据:个人信息保护社会责任报告
c)审计方法:
1)查验个人信息保护社会责任报告是否披露个人信息保护能力建设情况,包括但不限于管理制度、技术方案、行业合作等。
C.37.4
a)审计内容:个人信息保护措施和成效披露;
b)审计证据:个人信息保护社会责任报告
c)审计方法:
1)查验个人信息保护社会责任报告是否披露个人信息保护措施和成效,包括但不限于个人信息培训与宣贯、个人信息保护技术实践与突破、个人信息保护效果等。
C.37.5
a)审计内容:个人行使权利的申请受理情况披露;
b)审计证据:个人信息保护社会责任报告
c)审计方法:
1)查验个人信息保护社会责任报告是否披露个人行使权利的申请受理情况,包括但不限于公布个人行使权力的申请渠道、受理处置规程、受理处置效果、受理情况统计等。
C.37.6
a)审计内容:独立监督机构履职情况披露;
b)审计证据:个人信息保护社会责任报告
c)审计方法:
1)查验个人信息保护社会责任报告是否披露独立监督机构履职情况,包括但不限于是否建立独立监督机构、是否具有完整的个人信息保护监督流程、是否就个人信息保护监督做出反馈文件。
C.37.7
a)审计内容:重大个人信息安全事件处理情况披露;
b)审计证据:个人信息保护社会责任报告
c)审计方法:
1)查验个人信息保护社会责任报告是否披露重大个人信息安全事件的处理机制,是否披露重大个人信息安全事件的处理情况。
附 录 D(资料性)个人信息保护合规审计底稿模板
一、审计概况
1.说明审计机构信息,包括描述审计机构的名称、执行审计人员、审计执行期间、审计执行地点等;
2.说明被审计单位名称和审计项目名称;
3.审计人员姓名及审计工作底稿编制日期并签名;
4.审计审核人员姓名、审核意见及审核日期并签名;
5.附件数量;
6.其他。
二、审计底稿
序号审计内容审计步骤审计方法审计发现审计建议审计证据审计依据备注说明:
1.序号,指审计内容的编号;
2.审计内容,指个人信息保护合规审计的具体内容;
3.审计步骤,指审计人员在开展合规审计的过程中采取的具体步骤,包括访谈对象、检查的内容、被审计单位提供的资料等,并记录此过程中获取的反馈、观察到的事项等;
4.审计方法,描述个人信息处理活动是否合规、内部控制措施控制是否充分有效等;
5.审计发现,如前款审计结果为不合规或控制失效等,则进一步详细描述;
6.审计建议,针对审计结果及审计发现,提出的改进措施;
7.审计证据,指支持得出该项审计结果的证据,底稿中可直接体现审计证据,也可注明审计证据索引编号并引用。审计工作底稿中的审计证据编号,应当清晰反映与独立存储的审计证据的关系;
8.审计依据,即实施个人信息保护合规审计所依据的相关法律、行政法规的具体条款、要求等。
9.备注,其他审计人员认为应说明的内容。


附 录 E(资料性)个人信息保护合规审计报告模板
审计报告名称
一、审计概况
说明个人信息保护合规审计项目总体情况,包括审计机构信息、被审计单位信息、审计背景、审计目标及范围、主要审计内容和重点、审计程序和方法等内容。如有第三方机构参与审计,需说明第三方机构的基本情况及参与审计的情况。
(一)审计机构信息
说明审计机构的名称、执行审计人员、审计执行期间、审计执行地点等。
(二)被审计单位的信息
说明被审计的个人信息处理者的基本情况,包括但不限于个人信息处理者的名称、性质、规模、经营范围或职责范围、主要业务活动及目标、组织结构、管理方式、员工数量、管理人员、内部控制和信息系统情况,具备的资质、认证、以往接受的内外部监督检查等。
(三)审计背景
说明本次审计的背景等。
(四)审计目标范围
说明本次审计期望达到的目标,覆盖的时间范围,组织范围,业务范围和审计领域等。
(五)主要审计内容和重点
参考标准附录C,简要说明本次审计主要内容及重点。
(六)审计程序和方法
说明本次审计的程序以及所采用的审计方法和技术手段等。
……
二、审计依据
说明实施本次审计所依据的相关法律、行政法规、政策文件、国家标准等。
1.国家法律:如《个人信息保护法》《网络安全法》《数据安全法》等;
2.行政法规:如《关键信息基础设施安全保护条例》等;
3.部门规章:如《电信和互联网用户个人信息保护规定》等;
4.规范性文件:如《App违法违规收集使用个人信息行为认定方法》《常见类型移动互联网应用程序必要个人信息范围规定》等;
5.国家标准:如GB/T 35273-2020《信息安全技术-个人信息安全规范》、GB/T 39335-2020《信息安全技术 个人信息安全影响评估指南》、GB/T 41391-2022《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》等。
……
三、审计发现
参考标准附录C个人信息保护合规审计实施内容,对被审计单位涉及个人信息处理活动等方面所发现的主要合规问题的事实、定性、原因、后果或影响等。根据审计领域进行汇总、分析和总结。
1.处理个人信息的合法性
问题1:……(概述问题性质)。……(详细描述事实、性质、缺陷情况、原因和影响等)。
问题2:……
……
2.个人信息处理规则
问题1:……
问题2:……
……
3.告知同意
问题1:……
问题2:……
……
……
四、审计结论
说明根据本次合规审计的审计发现,对审计事项做出总体、有重点的综合性评价。既包括对良好业绩和先进经验的正面评价,也包括对审计发现主要问题的简要概括。审计结论不能与审计发现的问题相互矛盾。审计评价用语要准确、适当,以写实为主。
……
五、审计意见
针对审计发现的被审计单位在个人信息处理活动等方面存在的违反法律、行政法规的情况,提出审计处理意见,或者建议个人信息处理者管理层做出处理意见。
……
六、审计建议
针对审计发现的主要问题,在分析原因和影响的基础上,给出有针对性的审计建议。
(一)个人信息权益保障情况
1.处理个人信息的合法性
问题1:……
问题分析:……
审计建议:……
……
2.个人信息处理规则
问题1:……
问题分析:……
审计建议:……
……
3.告知同意
问题1:……
问题分析:……
审计建议:……
……
审计负责人签章
审计机构负责人签章(外部审计时)
审计机构名称(外部审计时)
审计机构(盖章)(外部审计时)
审计报告日期
附件一 审计发现清单
列出本次审计中发现的所有问题。
序号审计领域审计发现审计建议审计依据
附件二 其他解释说明材料
如有需对报告正文进行进一步补充、解释、说明的文字和数据等支撑性材料,可在该部分列出。一般包括:
相关问题的计算及分析过程;
审计发现问题的详细说明;
记录审计人员修改意见、明确审计责任、体现审计报告版本的审计清单;
需要提供解释和说明的其他内容。
……
附件三 被审计单位的反馈意见
如被审计单位对报告内容有异议的,可在该部分对有异议的部分进行说明。
参 考 文 献
[1]中华人民共和国个人信息保护法(中华人民共和国主席令第九十一号)
[2] 商业银行内部审计指引
[3] 个人信息保护合规审计管理办法(征求意见稿)

来源:全国网络安全标准化技术委员会


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
宙飒天下网-ZhouSa.com