全球数据跨境流动合作倡议
2024-11-22
世界互联网大会|美创数据库保险箱(DBSafe)发布!
2024-11-21
世界互联网大会|美创数据认知与分类分级系统(AICogniSort)重磅发布!
2024-11-21
美创案例|盐城公积金管理中心数据安全创新实践
2024-11-15
5=1!美创科技在中国数据安全软件市场主要厂商份额位列第五
2024-11-01
存储域
数据库加密 诺亚防勒索访问域
数据库防水坝 数据库防火墙 数据库安全审计 动态脱敏流动域
静态脱敏 数据水印 API安全 医疗防统方运维服务
数据库运维服务 中间件运维服务 国产信创改造服务 驻场运维服务 供数服务安全咨询服务
数据出境安全治理服务 数据安全能力评估认证服务 数据安全风险评估服务 数据安全治理咨询服务 数据分类分级咨询服务 个人信息风险评估服务 数据安全检查服务根据《审计要求》的相关规定,个人信息保护合规审计通常包括审计准备、审计实施、审计报告、问题整改、归档管理等阶段。附录A给出了个人信息保护合规审计参考流程,旨在引导个人信息处理者科学合理地开展个人信息保护合规审计工作,有助于企业健全信息保护管理制度、完善信息保护安全技术措施、强化信息安全监督管控的审计目标,助力企业开展持续、全面和深入的信息保护合规审计工作。以下针对《审计要求》较之《审计办法》中新增的部分内容,进行重点提示。
《个人信息保护法》规定个人信息处理者处理个人信息应当遵循合法、正当、必要和诚信原则,具有明确、合理的目的,采取对个人权益影响最小的方式。收集个人信息时应限于实现处理目的的最小范围。
《审计要求》附录C.2详细列举了个人信息处理必要性合规审计的审计内容、审计证据及其方法,进一步补充了《审计办法》中必要性合规审计的规定,对个人信息处理必要性的合规审查提供了具体的操作指引。
《审计要求》规定的审计内容主要为处理个人信息的目的、采取的信息处理方式、信息收集的范围以及信息处理的同意和撤回。个人信息处理者应参照《审计要求》所列举的审计证据和审计方法,查验自身个人信息处理活动的必要性,主要包括以下要点:
第一,个人信息处理者应查验处理个人信息的目的是否明确且合理。包括评估隐私政策中声明的数据处理目的,以及相关业务活动中实际处理个人信息的具体情况。例如,通过抽查个人信息存储记录与上传记录,可以验证存储或收集的数据种类是否仅限于实现声明的业务目的所必需的信息。
第二,个人信息处理者应对处理个人信息流程进行全面查验,确认个人信息的收集、使用、存储等是否采取了对个人权益影响最小的方式,可以通过查验业务逻辑、数据流图等个人信息处理的相关流程说明来审查信息处理活动。
第三,个人信息处理者还需关注个人信息主体的自主权,即是否取得信息主体的明确同意、处理非必要信息时是否进行了充分、明确的通知,并在信息主体拒绝同意的情况下,是否能够继续提供基本的业务功能等。
《未成年人网络保护条例》第37条规定了个人信息处理者应当自行或者委托专业机构每年对其处理未成年人个人信息遵守法律、行政法规的情况进行合规审计。《审计要求》对此进一步细化规定了具体合规审计流程,附录C.16至C.22列举了未成年人个人信息合规审计内容及方法,主要包括以下要点:
第一,个人信息处理者应确保已制定专门针对未成年人的个人信息处理规则并发布,核验自身有关未成年人个人信息处理规则执行情况,是否具体涵盖了未成年人信息的收集、存储、使用、转移及删除等方面的具体措施。
第二,核验告知同意机制的有效性和执行情况,包括检查告知文案的透明度和可理解性以及同意的记录是否齐全。
第三,提供网络直播服务的个人信息处理者,应建立严格的网络直播发布者身份核验机制,特别是确认发布者是否为未成年人,注重身份核验机制的具体实施效果,确保不符合条件的未成年人不被允许发布直播内容。
第四,确保未成年人及其监护人能便捷地行使查阅、复制、更正、删除等权利,权利的行使是否受到不合理的限制或条件,以及相关申请是否得到及时处理。
第五,个人信息处理者应制定未成年人个人信息安全事件应急响应处置预案及采取补救措施,留存个人信息安全事件应急响应处置制度、个人信息安全事件应急响应处置记录等。
此外,个人信息处理者还应注重未成年人的私密信息保护,制定未成年私密信息保护制度及未成年人私密信息审查机制。
个人信息处理活动中过程记录与文档留存是合规审计工作的证据基础。如前所述,《审计要求》附录B、C明确了审计证据类型及对应的证据材料,包括个人信息保护管理和政策相关文档、人员相关文档、沟通机制及记录、技术及安全措施记录等证据类型。包括以下要点:
第一,个人信息处理者应根据审计内容明确审计的具体范围,了解哪些类型的文档必须留存,以及如何保证作为审计证据的文档的有效性。
第二,收集审计证据中明确列举的证据材料,包括但不限于隐私政策、用户协议、操作记录、安全措施文档,以及历史审计报告等,并且按照材料的类型和日期进行归类留存。
第三,个人信息处理者还应当对留存的文档进行完整性和真实性审查,查验当前的记录是否符合实际操作、有无时间断层等。个人信息处理者可参考《审计要求》中涉及的审计证据材料,核查自身个人信息处理活动记录留存的全面性。
《审计要求》中涉及的审计证据材料梳理详见下表。
综上,为了切实推进和落实个人信息保护合规审计工作,企业应当提前做好应对策略,厘清自身的业务流程和应用场景,梳理个人信息保护制度体系是否已经建设完成,逐一对照、细化审计事项,向审计人员提供与个人信息保护制度相匹配、能够证明处理个人信息活动合法合规,具有相关性、有效性、真实性、完整性的审计证据。
朱芸阳,现任北京清律律师事务所主任。清华大学法学博士,哈佛大学东亚法律研究中心访问学者。兼任中国法学会网络与信息法学研究会理事、中国法学会商法学研究会理事、中国法学会证券法学研究会理事、中国商业法研究会理事等。曾担任中央民族大学法学院副教授、硕士生导师。
来源:数据安全共同体计划