根据《审计要求》的相关规定,个人信息保护合规审计通常包括审计准备、审计实施、审计报告、问题整改、归档管理等阶段。附录A给出了个人信息保护合规审计参考流程,旨在引导个人信息处理者科学合理地开展个人信息保护合规审计工作,有助于企业健全信息保护管理制度、完善信息保护安全技术措施、强化信息安全监督管控的审计目标,助力企业开展持续、全面和深入的信息保护合规审计工作。以下针对《审计要求》较之《审计办法》中新增的部分内容,进行重点提示。
《个人信息保护法》规定个人信息处理者处理个人信息应当遵循合法、正当、必要和诚信原则,具有明确、合理的目的,采取对个人权益影响最小的方式。收集个人信息时应限于实现处理目的的最小范围。
《审计要求》附录C.2详细列举了个人信息处理必要性合规审计的审计内容、审计证据及其方法,进一步补充了《审计办法》中必要性合规审计的规定,对个人信息处理必要性的合规审查提供了具体的操作指引。
《审计要求》规定的审计内容主要为处理个人信息的目的、采取的信息处理方式、信息收集的范围以及信息处理的同意和撤回。个人信息处理者应参照《审计要求》所列举的审计证据和审计方法,查验自身个人信息处理活动的必要性,主要包括以下要点:
第一,个人信息处理者应查验处理个人信息的目的是否明确且合理。包括评估隐私政策中声明的数据处理目的,以及相关业务活动中实际处理个人信息的具体情况。例如,通过抽查个人信息存储记录与上传记录,可以验证存储或收集的数据种类是否仅限于实现声明的业务目的所必需的信息。
第二,个人信息处理者应对处理个人信息流程进行全面查验,确认个人信息的收集、使用、存储等是否采取了对个人权益影响最小的方式,可以通过查验业务逻辑、数据流图等个人信息处理的相关流程说明来审查信息处理活动。
第三,个人信息处理者还需关注个人信息主体的自主权,即是否取得信息主体的明确同意、处理非必要信息时是否进行了充分、明确的通知,并在信息主体拒绝同意的情况下,是否能够继续提供基本的业务功能等。
《未成年人网络保护条例》第37条规定了个人信息处理者应当自行或者委托专业机构每年对其处理未成年人个人信息遵守法律、行政法规的情况进行合规审计。《审计要求》对此进一步细化规定了具体合规审计流程,附录C.16至C.22列举了未成年人个人信息合规审计内容及方法,主要包括以下要点:
第一,个人信息处理者应确保已制定专门针对未成年人的个人信息处理规则并发布,核验自身有关未成年人个人信息处理规则执行情况,是否具体涵盖了未成年人信息的收集、存储、使用、转移及删除等方面的具体措施。
第二,核验告知同意机制的有效性和执行情况,包括检查告知文案的透明度和可理解性以及同意的记录是否齐全。
第三,提供网络直播服务的个人信息处理者,应建立严格的网络直播发布者身份核验机制,特别是确认发布者是否为未成年人,注重身份核验机制的具体实施效果,确保不符合条件的未成年人不被允许发布直播内容。
第四,确保未成年人及其监护人能便捷地行使查阅、复制、更正、删除等权利,权利的行使是否受到不合理的限制或条件,以及相关申请是否得到及时处理。
第五,个人信息处理者应制定未成年人个人信息安全事件应急响应处置预案及采取补救措施,留存个人信息安全事件应急响应处置制度、个人信息安全事件应急响应处置记录等。
此外,个人信息处理者还应注重未成年人的私密信息保护,制定未成年私密信息保护制度及未成年人私密信息审查机制。
个人信息处理活动中过程记录与文档留存是合规审计工作的证据基础。如前所述,《审计要求》附录B、C明确了审计证据类型及对应的证据材料,包括个人信息保护管理和政策相关文档、人员相关文档、沟通机制及记录、技术及安全措施记录等证据类型。包括以下要点:
第一,个人信息处理者应根据审计内容明确审计的具体范围,了解哪些类型的文档必须留存,以及如何保证作为审计证据的文档的有效性。
第二,收集审计证据中明确列举的证据材料,包括但不限于隐私政策、用户协议、操作记录、安全措施文档,以及历史审计报告等,并且按照材料的类型和日期进行归类留存。
第三,个人信息处理者还应当对留存的文档进行完整性和真实性审查,查验当前的记录是否符合实际操作、有无时间断层等。个人信息处理者可参考《审计要求》中涉及的审计证据材料,核查自身个人信息处理活动记录留存的全面性。
《审计要求》中涉及的审计证据材料梳理详见下表。
浙公网安备 33010502006954号 
