新规速递-《数据安全技术个人信息保护合规审计要求（征求意见稿）》





首页 产品与服务 解决方案 客户案例 技术支持 合作发展 关于美创 用户退出 合作商登录 用户登录 申请试用

行业解决方案政府解决方案金融解决方案医疗解决方案教育解决方案能源解决方案物流交通解决方案

售后服务文档中心年度培训

渠道政策申请成为合作伙伴渠道专区

公司动态行业资讯安全研究

热门阅读

国务院：审议通过《网络数据安全管理条例（草案）》

2024-09-02

聚焦医疗数据安全｜美创亮相“2024健康中国医疗健康产业大会”

2024-08-29

美创荣获“中国数据安全领域最具商业合作价值企业”

2024-08-28

国家数据局：数据产业和企业数据资源开发利用政策即将出台

2024-08-28

从这三方面入手，杜绝“删库跑”！

2024-08-22

《财政数据分类分级规范》地方标准通过立项评审

2024-09-14

保护敏感数据：数据安全指南

2024-09-14

福建自贸试验区首批数据跨境流动清单发布，涉及4个行业15大应用场景

2024-09-13

数据博弈：跨国公司如何应对跨境数据披露困境？

2024-09-12

以区块链技术维护国家数据安全

2024-09-10

新规速递-《数据安全技术个人信息保护合规审计要求（征求意见稿）》

发布时间：2024-07-15 阅读次数： 275 次

《中华人民共和国个人信息保护法》第54条规定：个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。

2023年8月3日，网信办发布《个人信息保护合规审计管理办法（征求意见稿）》，简称《审计办法》，截至目前《审计办法》未正式发布。全国网络安全标准化技术委员会于2024年7月12日发布《数据安全技术个人信息保护合规审计要求（征求意见稿）》，简称《审计要求》，《审计要求》可视为《审计办法》的配套落地文件。

二、核心内容

《审计要求》旨在规范个人信息处理者开展个人信息保护合规审计工作，并为相关机构提供参考。

1. 范围

文件适用于个人信息处理者开展合规审计，也可为相关机构提供参考。

2. 规范性引用文件

列出了相关的国家标准，如GB/T 25069和GB/T 35273。

3. 术语和定义

定义了“个人信息保护合规审计”、“审计证据”、“审计对象”等关键术语。

4. 个人信息保护合规审计原则

遵循合法性、独立性、客观性、全面性、公正性、保密性原则。

5. 个人信息保护合规审计实施要求

5.1 个人信息处理者审计工作开展要求

5.1.1 个人信息保护合规审计流程：包括审计准备、审计实施、审计报告、问题整改、归档管理等阶段。

5.1.2 个人信息保护合规审计实施管理：建立审计体系，明确职责权限，确保独立性，提供必要资源。

5.1.3 个人信息保护合规审计证据管理：保证证据的真实性、完整性、有效性。

5.1.4 个人信息保护合规审计专业机构权限：确保专业机构正常行使权限。

5.2 审计人员要求

5.2.1 审计人员专业能力要求：了解法律法规、熟悉审计流程、具备资质认证。

5.2.2-5.2.6 审计人员独立性、客观性、公正性、保密性要求：确保审计人员不受利益冲突，客观公正地执行审计工作。

5.2.7 审计人员实施要求：记录审计发现，撰写审计底稿和报告。

6. 附录

附录 A：个人信息保护合规审计流程图

附录 B：个人信息保护合规审计证据类型及有效性参考

附录 C：个人信息保护合规审计内容和审计方法

主要包括的要点有：(1)合法性基础；(2)必要性；(3)处理规则；(4)告知；(5)共同处理；(6)委托处理；(7)合并重组分立解散移转；(8)对外提供；(9)自动化决策；(10)公开；（11）公共场所身份采集；（12）处理已公开个人信息；（13）敏感个人信息；（14）出境；（15）境外接收方监督有效性；（16）未成年人保护；（17）删除权；（18）行权保障；（19）解释说明；（20）处理者义务；（21）内部制度和操作规程；（22）安全技术措施；（23）教育培训计划；（24）负责人；（26）PIA；（27）应急预案；（28）外部独立监督机构；（29）大型互联网平台规则；（30）社会责任报告。

附录C的审计内容可以作为日常隐私合规测试的用例。