个人信息保护合规审计参考要点.docx

《个人信息保护合规审计参考要点.docx》由会员分享，可在线阅读，更多相关《个人信息保护合规审计参考要点.docx（17页珍藏版）》请在第一文库网上搜索。

1、个人信息保护合规审计参考要点第一条本要点依据中华人民共和国个人信息保护法等法律、行政法规和国家标准的强制性要求制定，为开展个人信息保护合规审计提供参考。第二条个人信息保护合规审计应当首先审查个人信息处理活动的合法性基础条件，重点审查下列事项：（一）处理个人信息是否取得个人同意，该同意是否在个人信息主体充分知情的前提下自愿、明确作出；（二）基于个人同意处理个人信息，个人信息的处理目的、处理方式和处理的个人信息种类发生变更的，是否重新取得个人同意；（S）基于个人同意处理个人信息，是否为个人提供便捷的撤回同意的方式；（四）基于个人同意处理个人信息，是否对个人同意的操作进行记录；（五）基于个人同意处理

2、个人信息，是否存在以个人不同意处理其个人信息或者撤回同意为由，拒绝提供产品或者服务的情况；处理个人信息属于提供产品或者服务所必需的除外；（六）处理个人信息未取得个人同意，是否属于法律、行政法规规定不需取得个人同意的情形。第三条对个人信息处理规则进行审计时，应当重点审查下列事项:（一）是否真实、准确、完整地告知个人信息处理者的名称或者姓名和联系方式；（二）是否以清单形式列明所收集的个人信息及其处理目的、方式、范围；（三）是否明确个人信息存储期限或者存储期限的确定方法、到期后的处理方式，以及确保存储期限为实现处理目的所必要的最短时间；（四）是否明确个人查阅、复制、加工、转移、更正、补充、删除、公开

3、、限制处理个人信息以及注销账号、撤回同意的途径和方法；（五）向第三方提供个人信息的，是否明确向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，是否取得个人的单独同意；（六）法律、行政法规规定的其他事项。第四条个人信息处理者处理个人信息应当履行告知义务，审计时应当重点审查下列事项：（一）个人信息处理者在处理个人信息前，是否以显著方式、清晰易懂的语言真实、准确、完整地向个人告知个人信息处理规则；（二）告知文本的大小、字体和颜色是否便于个人完整阅读告知事项；（三）线下告知是否通过标注、说明等多种方式向个人履行告知义务;（四）在线告知是否提供文本信息或者通过适当方式向个人履

4、行告知义务；（五）个人信息处理规则发生变更的，是否将变更内容及时告知个人。第五条个人信息处理者存在与他人共同处理个人信息情形的，应当重点审查下列事项：（一）是否约定各自的权利义务；（二）各方采取的个人信息保护措施；（S）个人信息权益保护机制；（四）个人信息安全事件报告机制；（五）侵害个人信息权益造成损害的，各方应当承担的责任；（六）其他法律、行政法规规定需要约定的权利和义务。第六条个人信息处理者存在委托处理个人信息情形的,应当重点审查下列事项：（一）个人信息处理者在委托处理个人信息前，是否开展个人信息保护影响评估；（二）个人信息处理者与受托人签订的合同，是否约定了委托处理的目的、期限、方式及个

5、人信息的种类、受托人应当采取的技术措施和管理措施、双方的权利义务等；（三）个人信息处理者是否采取定期检查等方式，对受托人的个人信息处理活动进行监督，以确保委托处理个人信息的活动符合法律规定；（四）受托人是否严格按照委托合同的约定处理个人信息，是否存在超出约定的处理目的、处理方式处理个人信息的情况；（五）当委托合同不生效、无效、被撤销或者终止时，受托人是否将个人信息返还个人信息处理者或者予以删除；（六）受托人是否存在转委托他人处理个人信息的情况,是否得到个人信息处理者的同意。第七条个人信息处理者存在因合并、重组、分立、解散、被宣告破产等原因需要转移个人信息情形的，应当重点审查下列事项：（一）个人

6、信息处理者是否向个人告知接收方的名称或者姓名和联系方式；（二）接收方是否继续履行个人信息处理者的义务；（三）接收方变更原先处理目的、处理方式的，是否依照法律、行政法规有关规定重新取得个人同意。第八条个人信息处理者存在向其他个人信息处理者提供其处理的个人信息的，应当重点审查下列事项：（一）是否取得个人的单独同意；（二）是否向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类；（S）接收方是否在双方约定的处理目的、处理方式和个人信息的种类等范围内处理个人信息；（四）变更处理目的、处理方式的，是否依照法律、行政法规规定重新取得个人同意；（五）是否事前进行个人信息保护影响评估。

7、第九条个人信息处理者利用自动化决策处理个人信息的，审计时应当重点评价自动化决策的透明度和结果的公平性、公正性：（一）是否事前主动告知个人自动化决策处理个人信息的种类及可能带来的影响；（二）是否事前对算法模型进行安全评估，并按国家相关规定进行备案，以尽可能减少自动化决策算法模型存在的缺陷，当应用场景和主要功能发生变化时，是否对算法模型重新进行评估；（三）是否事前对算法模型进行科技伦理审查；（四）是否事前进行个人信息保护影响评估；（五）是否向用户提供保障机制，以便用户可以通过便捷方式拒绝通过自动化决策方式作出对个人权益有重大影响的决定，或要求个人信息处理者就应用自动化决策方式作出对用户个人权益有重

8、大影响的决定予以说明；（六）是否向用户提供删除或者修改用于自动化决策服务的针对其个人特征的用户标签功能；（七）是否采取必要措施对算法和参数模型进行保护；（A）是否对个人信息处理、标签管理、模型训练等自动化决策过程中的人工操作进行记录，防范人为恶意操纵自动化决策信息和结果；（九）向个人进行信息推送、商业营销时，是否同时提供不针对个人特征的选项，或者提供便捷的拒绝自动化决策服务的方式；（十）是否采取了有效措施，防止自动化决策根据消费者的偏好、交易习惯等对个人在交易条件上实行不合理的差别待遇；（十一）其他可能影响自动化决策的透明度和结果公平、公正的事项。第十条个人信息处理者存在公开其处理的个人信息情

9、形的，应当重点审查下列事项：（一）个人信息处理者公开其处理的个人信息前是否取得个人单独同意，该授权是否真实、有效，是否存在违背个人意愿将个人信息予以公开的情况；（二）个人信息处理者公开个人信息前，是否进行了个人信息保护影响评估。第十一条个人信息处理者在公共场所安装图像采集、个人身份识别设备的，应当重点对其安装图像采集、个人信息身份识别设备的合法性及所收集个人信息的用途进行审查。审查内容包括但不限于：（一）是否为维护公共安全所必需，是否存在为商业目的处理所采集信息的情况；（二）是否设置了显著的提示标志；（三）若个人信息处理者所收集的个人图像、身份识别信息用于维护公共安全以外用途的，是否取得个人单

10、独同意。第十二条个人信息处理者处理已公开个人信息的，审计时应当重点审查个人信息处理者是否存在下列违规行为：（一）向已公开个人信息中的电子邮箱、手机号等发送与其公开目的无关的信息；（二）利用已公开的个人信息从事网络暴力活动；（三）处理个人明确拒绝处理的已公开个人信息；（四）未取得个人同意处理已公开的个人信息对个人权益造成重大影响。第十三条个人信息处理者处理敏感个人信息的，审计时应当重点审查下列事项：（一）处理生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等敏感个人信息的，是否事前取得个人的单独同意；（二）处理不满十四周岁未成年人的个人信息，是否事前取得未成年人的父母或者其他监护人的同

11、意；（三）处理敏感个人信息的目的、方式是否合法、正当、必要；（四）敏感个人信息处理是否与提供商品或者服务、履行法定职责或者法定义务等特定的目的密切相关，是否以非必要不处理为原则；（五）是否在事前进行个人信息保护影响评估，并向个人告知处理敏感个人信息的必要性以及对个人权益的影响；（六）法律、行政法规规定应当取得书面同意的，是否取得书面同意；（七）是否对处理敏感个人信息的过程进行了记录，以保障处理敏感个人信息流程合法合规。第十四条个人信息处理者业务涉及处理不满十四周岁未成年人个人信息的，审计时应当重点审查下列事项：（一）是否制定专门的未成年人个人信息处理规则；（二）是否向未成年人及其监护人告知未成

12、年人个人信息的处理目的、处理方式、处理必要性及处理个人信息的种类、所采取的保护措施等；（三）是否存在强制要求未成年人或者其监护人同意非必要的个人信息处理的行为。第十五条个人信息处理者存在向境外提供个人信息情形的，应当重点审查下列事项：（一）关键信息基础设施运营者和处理IOO万人以上个人信息的个人信息处理者向境外提供个人信息是否经过国家网信部门组织的安全评估；（二）自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的个人信息处理者向境外提供个人信息是否经过国家网信部门组织的安全评估；（S）是否存在向外国司法或者执法机构提供存储于中华人民共和国境内的个人信息的情形，若有，是否经过

13、中华人民共和国主管机关批准；（四）中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的，是否按照其规定执行；（五）是否按照国家网信部门的规定，经专业机构进行个人信息保护认证或者按照国家网信部门制定的标准合同与境外接收方签订合同，或者符合法律、行政法规、国家网信部门规定的其他条件；（六）是否了解境外接收方所在国家或者地区的个人信息保护政策和网络安全环境对出境个人信息的影响；（七）是否存在违规向被列入限制或者禁止个人信息提供清单的组织和个人提供个人信息的情形。第十六条个人信息处理者向境外提供个人信息，应当采取必要措施，保障境外接收方处理个人信息的活动达到中华

14、人民共和国个人信息保护法规定的个人信息保护标准。审计时应当重点审查个人信息处理者对境外接收方采取监督措施的有效性，包括但不限于：（一）是否了解和掌握境外接收方的情况，特别是接收方是否具备必要的个人信息保护能力；（二）是否向境外接收方告知我国法律、行政法规对个人信息保护的要求，并要求境外接收方采取相应的保护措施;（S）是否采取签订协议、定期核查等方式，督促境外接收方切实履行个人信息保护义务。第十七条对个人信息删除权保障情况进行审计时，应当重点审查下列情形个人信息删除的情况：（一）个人信息处理目的已实现、无法实现或者为实现处理目的不再必要；（二）停止提供产品或者服务，或者个人注销账号；（三）达到与

15、个人约定的存储期限；（四）个人撤回同意；（五）因使用自动化采集技术等，无法避免采集到非必要个人信息或者未经同意的个人信息；（六）个人信息处理者违反法律、行政法规或者违反约定处理个人信息。法律、行政法规规定的保存期限未届满，或者删除个人信息从技术上难以实现的，个人信息处理者应当停止除存储和采取必要的安全措施之外的处理。第十八条个人信息处理者应当保障个人行使个人信息权益的权利，审计时应当重点审查下列事项：（一）是否建立个人行使权利的申请受理机制；（二）是否向个人提供便捷的查阅、复制、转移、更正、补充、删除个人信息的方法；（三）是否及时响应个人行使权利的申请，是否及时、完整、准确告知处理意见或者执行结果。第十九条个人信息处理者应当响应个人申请，对其个人信息处理规则进行解释说明，审计时应当重点对下列内容进行评价：（一）个人信息处理者是否提供便捷的方式和途径，接受、处理个人关于个人信息处理规则解释说明的要求；（二）接到个人的要求后，个人信息处理者是否在合理的时间内，使用通俗易懂的语言对其个人信息处理规则作出解释说明。第二十条个人信息处理者对个人信息保护承担主体责任，审计时应当重点对个人信息处理者履行主体责任情况进行评价，包括但不限于下列事项：（一）个人信息保护制度制定、组织架构、管理程序与处理个人信息的性质、规模、复杂程度、风险