作者丨解佳璞
机构丨上海数示信诚科技有限公司
* 本文为威科先行首发文章,未经授权请勿转载
9月初,《个人信息保护合规审计要求》完成意见稿的征集。本简评将对其核心内容附件C审计内容和审计方法做尝试性的梳理,希望给企业在《要求》正式实施前,做好力所能及的准备工作提供参考。
附件C审计内容一共为37章, 细项约160项,从各章节的项目数量来看,最多的前九名分别如下。读者也可据此大致推断出审计工作重点关注的方面:
第9章:利用自动化决策处理个人信息
第27章:内部管理制度和操作规程
第14章:向境外提供个人信息
第13章:处理敏感个人信息
第37章:个人信息保护社会责任报告
第23章:个人信息删除权保障情况
第1章:个人信息处理活动的合法性基础条件
第2章:个人信息处理的必要性
第6章:委托处理个人信息
本系列简评做进一步说明,帮助企业理解并形成可操作的应对建议。
第9章 利用自动化决策处理个人信息
核心内容:
审计内容 | 审计证据 | 审计方法 |
告知自动化决策处理个人信息的种类及影响 | 自动化决策情况说明 | 验证开展了哪些自动化决策活动 |
隐私政策 | 验证是否告知自动化决策,是否完整告知涉及的场景 | |
告知方式、告知文案 | 是否清晰告知个人信息的种类、可能带来的影响 | |
是否对算法模型进行事前安全评估,并按国家相关规定进行备案; 当场景和功能发生变化时,是否对算法模型重新评估 | 算法模型安全评估报告 | 针对有舆论属性或社会动员能力的推荐算法,是否事前进行安全评估,并进行备案,当场景和功能变化时,是否对算法重新评估 |
算法模型备案记录 | ||
是否事前对算法进行科技伦理审查 | 科技伦理审查制度 | 查验是否事前进行科技伦理审查,包括但不限于是否使用诱导用户沉迷、诱导用户过度消费的算法模型 |
科技伦理审查报告 | ||
是否事前进行个人信息保护影响评估 | 自动化决策情况说明 | 验证开展了哪些自动化决策活动 |
个人信息保护管理制度 | 是否明确开展自动化决策前进行个保影响评估 | |
个人信息保护影响评估报告 | 是否完整覆盖进行自动化决策的所有场景 | |
向用户提供保障机制,可通过便捷方式拒绝自动化作出对个人权益有重大影响的决策,或要求个人信息处理者就该类决策予以说明 | 自动化决策情况说明 | 验证开展了哪些自动化决策活动 |
个人信息保护影响评估报告 | 是否明确作出对个人权益有重大影响的决定的场景 | |
响应用户拒绝自动化决策或要求说明的机制 | 核验机制是否便捷,收到用户请求后,是否能够停止自动化决策,或予以说明(针对决策逻辑、价值权重等个人信息处理情况) | |
响应用户拒绝自动化决策或要求说明的记录 | 抽查响应记录,验证机制有效性 | |
向用户提供功能,用于删除或者修改自动化决策产生的个人特征的标签 | 删除或修改用户标签的功能和机制的证明 | 查验是否向个人提供删除或修改其个人特征的标签的机制 |
是否采取必要措施对算法和参数模型进行保护 | 系统配置、保护方案 | 查验系统配置文件和保护方案 |
技术方案等安全技术能力 | 查验是否采取密码技术、访问控制等措施对训练和测试数据、算法代码和模型等设置了保护 | |
是否对个人信息处理、标签管理、模型训练等自动化决策过程中的人工操作进行记录,防范人为操纵自动化决策结果 | 用户访问权限 | 查验系统配置文件,查验是否对训练和测试数据、算法代码和模型等设置了访问权限,是否能够避免非授权人员访问 |
通过模拟非授权访问等方式,验证访问控制有效性 | ||
算法日志 | 查验算法变更日志,是否对个人信息处理、标签管理、模型训练等过程进行记录 | |
向个人进行信息推送、商业营销时,是否同时提供不针对个人特征的选项,或者提供便捷的拒绝自动化决策服务的方式 | 自动化决策情况说明 | 验证开展的自动化决策活动,哪些涉及信息推送、商业营销 |
信息推送和商业营销机制 | 是否提供了不针对个人特征的选项 | |
信息推送和商业营销机制的退出机制,个人关闭自动化决策的选项界面 | 查验个人关闭自动化决策的选项界面是否便捷,验证关闭选项后,退出机制能否保障停止对个人的自动化决策服务 | |
退出后抽查结果 | 抽查个人收到的信息推送和商业营销是否带有个人特征 | |
采取有效措施,防止自动化决策根据消费者的偏好、交易习惯等对个人在交易条件上实行不合理的差别待遇 | 自动化决策情况说明 | 查阅情况说明,验证开展的自动化决策活动是否涉及决策交易条件,包括交易价格、交易机会等 |
自动化决策机制说明 | 查验机制说明,是否根据消费者偏好、交易习惯等对进行自动化决策交易条件 | |
个人信息保护影响评估报告 | 查阅评估报告,是否针对个人在交易条件上不合理的差别待遇进行评估,并根据结果采取有效措施,避免出现不合理差别待遇 |
梳理建议:
该章共计10项审计内容,大约细分为26项审计证据,其中:
情况说明类:5项,统揽之均为对自动化决策的场景进行梳理分类,以明确哪些涉及个人信息的自动化决策、哪些涉及对个人权益产生重大影响、哪些涉及信息推送、商业营销、哪些导致交易条件的差别化待遇等。企业须具备基本的个人信息处理场景梳理能力,快速收集不同业务活动中涉及自动化决策的场景及类型。
制度机制类:5项,为管理类文本,在一段时间内相对固定,一旦制定后无需频繁更改运维。主要涉及个人信息保护管理制度、科技伦理审查制度、个人信息自动化决策机制(包括响应用户拒绝和说明、信息推送或商业营销等机制), 企业可以考虑先制定后优化的思路,切忌一步到位,全而不用。
评估报告类:5项,分别涉及个人信息保护影响评估、算法模型安全评估、算法科技伦理审查。个人信息处理者应对个人信息保护影响评估较熟知,须关注评估的是否完整包含自动化决策的所有场景,考虑如何提高效率,减少重复评估等。算法安全评估及科技伦理审查应在需要时,按照《信息安全技术机器学习算法安全评估规范》或《科技伦理审查办法(试行)》的要求进行。
记录证明类:5项,分别为模型备案记录、用户响应记录、用户个人标签的删除/修改记录、算法变更日志以及自动化决策退出机制的验证记录。除了模型备案和算法变更为后台管理的记录,其余3类记录可以在与用户交互的应用程序中自动收集,以便于审计。
界面呈现类:3项,包含隐私政策、告知文案、用户退出自动化决策的界面等。企业在设计个人信息处理活动时,应该将隐私及用户权利响应等考虑在内,此类证据并非审计新增要求。
技术保障类:3项,包含系统配置、数据保护技术、加密技术、访问权限等。该类技术常见于数据安全和防护的应用中,企业须确保在个人信息自动化决策过程中充分利用这些技术措施,为审计工作提供证据。
第27章 内部管理制度和操作规程
核心内容:
审计内容 | 审计证据 | 审计方法 |
个人信息保护的方针、目标、原则是否符合法律、行政法规规定 | 个人信息保护管理制度和操作规程 | 查阅管理制度和操作规程 |
查验是否明确个人信息保护工作的方针、目标、原则 | ||
负责人访谈结果 | 访谈个保有关负责人,是否了解有关规定要求,对个人信息保护工作的方针、目标、原则等做出清晰解释 | |
个人信息保护组织架构、人员配备、行为规范、管理责任与应当履行的责任相适应 | 个人信息保护管理制度 | 查阅相关文档,是否明确组织架构、人员配备、行为规范、管理责任 |
机构设立或人员任命文件 | 查阅文件,查验负责机构的设置、组织负责人、机构负责人、工作人员岗位设置 | |
流程审批记录 | 查阅流程文档,是否为对外共享、数据出境、影响评估等重要事项设置管控卡点,进行审核和记录 | |
日志记录 | 核查个人信息的访问控制措施,查看业务系统、数据库、审计平台等日志记录和告警信息,查看违规记录和处置记录 | |
是否根据个人信息的种类、来源、敏感程度、用途等,对个人信息进行分类,并采取有针对性的管理或者安全技术措施 | 数据分类分级、数据资产制度文件 | 查阅相关制度文件,是否明确实施数据分类分级的依据和方法 访谈有关人员,能否对个人信息的来源、用途以及数据定级进行清晰的说明。 |
数据分级分类目录、数据资产清单 | 查阅相关清单,是否对个人信息资产进行全面的梳理和记录 | |
数据防护策略等文件 | 查阅技术文档或方案,是否针对不同等级的数据设置合理的防护措施 | |
数据库、数据资产管理系统等记录 | 查阅是否采用人工或自动化的方式,核查数据库表字段,以验证数据资产清单的准确性 | |
是否建立个人信息安全事件应急响应机制 | 个人信息管理制度、个人信息安全事件应急预案、操作流程 | 查阅有关文档,查验是否建立对个人信息安全事件的定义和定级,是否建立安全事件的发现、处置和报告的流程 |
事件处置记录 | 查阅记录和日志,内容是否包含发现事件的时间、原因、涉及个人信息的类型和数量,发生事件的系统和设备、有关责任方、采取的阻断或补救措施,对个人信息主体造成的影响等 | |
互联网或威胁情报 | 通过互联网或威胁情报,搜集近一年内可能发生的信息泄露事件,访谈有关人员,了解事件的真实性和处置情况 | |
是否建立个人信息保护影响评估、合规审计制度 | 个人信息管理制度 | 查阅个人信息管理制度 |
个人信息保护影响评估报告 | 审阅评估报告,是否包括发起影响评估的原因、评估结果和审批流程 | |
合规审计报告 | 查阅合规审计的规定,审阅合规审计的结果和问题整改情况 | |
是否建立畅通的个人信息保护投诉举报受理流程 | 个人信息管理制度 | 查阅管理制度相关处理个人信息投诉、举报的规定,受理的部门、处理流程、响应时间和完成处理的时限; |
个人信息保护投诉举报受理记录 | 查阅投诉、举报的处理记录,验证投诉、举报渠道的有效性 | |
是否制定实施个人信息保护安全教育和培训计划 | 个人信息管理制度 | 查阅管理制度相关安全教育和培训的规定,培训周期和参与培训的人员 |
个人信息保护安全教育和培训计划和记录 | 查阅培训材料和记录,确认培训实施与计划的一致性 | |
是否建立个人信息保护负责人及相关人员履职评价制度 | 个人信息管理制度 | 查阅管理制度中规定负责人及相关人职责和考核评价的要求 |
人员履职和考核的评价记录等 | 访谈考评负责人员,了解评价方法和内容 | |
是否建立针对个人信息处理相关人员的违规处置或者违规行为责任制度 | 个人信息管理制度 | 查阅管理制度中的违规行为的定义和处罚办法 |
违规行为处置记录 | 审阅违规行为处置记录,访谈有关负责人 |
梳理建议:
该章共计9项审计内容,大致细分为24项审计证据,其中:
制度流程类:共10项,主要涉及个人信息保护管理制度和操作流程、信息安全事件应急预案、数据资产及分类分级制度、数据防护策略文件。除了数据资产及分类分级制度需个人信息处理者根据自身实际情况订制外,其余的流程类文件均可以作为个人信息保护管理制度的子集,在制定管理制度时统一制定。
记录清单类:共9项,基本涉及每个审计内容。需要关注的是,数据分类分级目录和数据资产清单不同于其他事件、活动、行为的记录,是需要企业持续维护及更新,并通过系统化或与人工结合的方式,尽量保持与数据库表的一致性。
报告情报类:共3项,分别为个保影响评估报告、合规审计报告和信息泄露事件互联网情报。由于审计报告是企业开展个保审计自然的结果,因此需要将重点放在发现的问题和整改措施上。值得关注的是基于互联网或威胁情报,对过去的安全事件进行回溯式访谈,确定其是否真实发生以及企业当时采取的处置动作。这将对企业事件响应流程的有效性及执行水平提出极高的要求。
其他:共2项,组织及机构人员设置文件、负责人访谈结果。此两类证据旨在要求企业有完整的组织架构、明确的负责人员及职责范围,且负责人有意识推进制度落地,确保个人信息保护合规框架及流程得以完整执行。
第14章 向境外提供个人信息
核心内容:
审计内容 | 审计证据 | 审计方法 |
关键信息基础设施运营者,是否经过国家网信部门组织的安全评估 | 数据出境安全评估报告、评估结果通知书 | 确定处理的个人信息规模 |
查看评估报告,是否经过国家网信部门组织的安全评估 | ||
评估期限是否符合规定、评估记录保存时限是否符合要求 | ||
评估发现的问题是否有整改记录 | ||
平台系统记录 | 查验平台系统的个人信息提供记录,是否存在未经国家网信部门组织的安全评估或超出安全评估范围的情况 | |
非关键信息基础设施运营者,自当年1月1日起累计向境外提供100万人以上个人信息或者1万人以上敏感个人信息是否经过国家网信部门组织的安全评估 | 数据出境安全评估报告 | 处理的个人信息规模;评估报告,是否经过国家网信部门组织的安全评估;三是评估期限是否在规定范围内、评估记录保存时限是否符合要求;四是发现的问题是否有整改记录 |
平台系统记录 | 查验平台系统的个人信息提供记录,是否存在未经国家网信部门组织的安全评估或超出安全评估范围的情况 | |
是否按照国家相关规定申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证 | 安全评估通过证明 | 查验是否有安全评估通过材料或证明,评估证明材料期限是否在规定范围内、评估记录保存时限是否符合要求 |
个人信息出境标准合同,或个人信息保护认证 | 查看是否订立了个人信息出境标准合同,或通过个人信息保护认证 | |
是否存在向外国司法或者执法机构提供存储于中华人民共和国境内的个人信息的情形,若有,是否经过中华人民共和国主管机关批准 | 访谈记录和主管机关批准书面文件 | 询问是否存在向境外提供个人信息情形,如存在,审查是否有书面批准文件 |
平台系统记录 | 查验平台系统的个人信息提供记录,是否存在上述情形 | |
中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的,是否按照其规定执行 | 访谈记录,和缔结或参加的国际条约、协定 | 查看与出境相关的国家条约、协定等规定,询问实际执行过程中是否符合其要求 |
平台系统记录 | 查验平台系统,是否存在未按照相关规定执行的情形 | |
是否按照国家网信部门的规定,经专业机构进行个人信息保护认证或者按照国家网信部门制定的标准合同与境外接收方签订合同 | 个人信息保护认证报告 | 查看认证报告 |
与境外接收方签订的合同 | 查看与境外接收方签订的合同,是否按照标准合同签订 | |
是否了解境外接收方所在国家或者地区的隐私政策和网络安全环境对出境个人信息的影响 | 访谈记录 | 询问访谈对象境外接收方所在国家或者地区的隐私政策、网络安全环境对出境的影响 |
是否存在违规向被列入限制或者禁止个人信息提供清单的组织和个人提供个人信息 | 向境外提供个人信息记录 | 查验记录是否存在此类违规情形 |
访谈记录 | 询问被审计人员是否存在此类违规情形 |
梳理建议:
该章共计8项审计内容,大致细分为15项审计证据,其中:
评估报告类:共4项,分别涉及数据出境安全评估报告、安全评估结果/通过证明、个人信息保护认证报告。个人信息出境是数据出境的其中一类,因此满足一定条件(如关键基础设施运营者、非关基但当年累计出境个人信息超过一定量后)必须通过数据出境安全评估。此项工作为前两年数据合规工作的重点,相信大部分符合条件的企业已经完成或正在进行安全评估的过程中,因此较容易理解此项要求。但是关于另外一条出境合规路径:个人信息保护认证,由于目前缺乏明确的认证主体、认证流程及实际成熟的案例,企业可以选择签订标准合同的方式替代完成该合规义务。
记录证明类:共9项,主要为访谈记录、平台向境外提供个人信息的记录。可以理解,此类记录为验证出境情形与安全评估/标准合同/保护认证/主管机构/国际条约等认可的范围一致,为常见的审计手段。
其他:共2项,分别为标准合同文件或认证证书,为支撑性文档。
第13章 处理敏感个人信息
核心内容:
审计内容 | 审计证据 | 审计方法 |
处理敏感个人信息,以同意作为合法性基础的,是否事前取得个人的单独同意 | 个人信息保护管理制度 | 制度是否明确处理敏感个人信息,以同意作为合法性基础的,事前需要取得个人单独同意 |
处理敏感个人信息情况说明 | 查看情况说明,验证存在哪些处理敏感个人信息的情况; | |
隐私政策或用户协议 | 存在处理生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等敏感个人信息的,查验征得个人同意的机制,以及个人信息处理者与个人之间签署的告知同意书、来往邮件等 | |
产品或服务上单独同意的弹窗 | 使用App收集敏感个人信息的,查验个人信息处理者是否通过单独弹窗、单独告知等方式,征得单独同意 | |
个人单独同意记录 | 抽查所处理的敏感个人信息,是否存在对应的个人单独同意记录 | |
处理不满十四周岁未成年人的个人信息,是否事前取得未成年人的父母或者其他监护人的同意 | 个人信息保护管理制度 | 查看制度,是否明确基于个人同意处理不满十四周岁未成年人的个人信息,事前需要取得未成年人的父母或者其他监护人的同意 |
处理敏感个人信息情况说明 | 查看情况说明,验证是否存在处理不满十四周岁未成年人的个人信息的情况 | |
隐私政策、告知同意书、来往邮件 | 存在处理不满十四周岁未成年人个人信息的,查验征得个人同意的机制,以及个人信息处理者与未成年人的父母或其他监护人之间签署的告知同意书、来往邮件等 | |
产品或服务上可以进行同意的按钮、选项的截图, | 使用App收集未满十四周岁未成年人个人信息的,查验个人信息处理者是否通过弹窗告知等方式,征得未成年人的父母或其他监护人的同意 | |
不满十四周岁未成年人父母或其他监护人同意的记录,个人单独同意记录 | 抽查处理不满十四周岁未成年人的个人信息,对应的事前取得未成年人父母或者其他监护人的同意记录 | |
处理敏感个人信息的目的、方式是否合法、正当、必要 | 个人信息保护影响评估报告 | 查看评估报告,是否完整覆盖处理敏感个人信息情况,是否对处理敏感个人信息的目的、方式是否合法、正当、必要进行评估 |
敏感个人信息处理记录 | 查看情况说明,存在哪些处理情况,验证其处理目的、方式是否合法、正当、必要。 | |
敏感个人信息处理是否与提供商品或者服务、履行法定职责或者法定义务等特定的目的密切相关,是否以非必要不处理为原则 | 个人信息保护影响评估报告 | 查看评估报告中的处理敏感个人信息部分内容 |
敏感个人信息处理记录 | 对记录进行分析,查验敏感个人信息处理是否与提供商品或者服务、履行法定职责或者法定义务等特定的目的密切相关,是否以非必要不处理为原则 | |
是否在事前进行个人信息保护影响评估,并向个人告知处理敏感个人信息的必要性以及对个人权益的影响 | 个人信息保护影响评估报告 | 查看报告中对敏感个人信息的评估,查验是否建立了事前评估和告知机制 |
隐私政策或其它个人信息处理规则 | 查看隐私政策或用户协议,是否告知处理敏感个人信息的必要性以及对个人权益的影响 | |
告知机制、告知文案、告知记录 | 查看告知文案和相关告知记录,是否告知处理敏感个人信息的必要性以及对个人权益的影响 | |
法律、行政法规规定应当取得书面同意的,是否取得书面同意 | 书面同意记录 | 获取相关书面记录,查验个人信息处理者是否取得书面同意 |
是否按照法律、行政法规对处理敏感个人信息规定取得相关行政许可或者遵守其限制性规定 | 相关行政许可记录 | 查看相关法律法规,是否作出对被审计对象涉及的敏感个人信息规定了行政许可或限制性规定,涉及行政许可的,查看相关行政许可记录,如涉及限制性规定的,查看对限制性规定进行的回应 |
对限制性规定进行的回应 | ||
是否对处理敏感个人信息的过程进行了记录,以保障处理敏感个人信息流程合法合规 | 敏感个人信息处理记录 | 查看处理敏感个人信息的过程记录,查验处理敏感个人信息的流程是否合法合规。记录宜包含个人信息处理者的名称和联系信息、个人信息主体的分类、个人信息的类别、处理的目的、处理的合法性基础、留存期限以及到期后的清理措施等;如涉及委托处理个人信息,宜包括受托人的名称和联系方式;如涉及共同处理个人信息,宜包括共同处理者、个人信息处理者指定机构/代表和个人信息保护负责人的名称/姓名和联系信息;如涉及向其他个人信息处理者提供个人信息,宜包括个人信息接收方的名称和联系方式,包括境外的接收方;如涉及向境外提供个人信息,宜包含向境外提供个人信息的机制以及采取的安全措施 |
梳理建议:
该章共计8项审计内容,大约细分为22项审计证据,其中:
制度机制类:4项,为管理类文本,在一段时间内相对固定,一旦制定后无需频繁更新维护。主要涉及个人信息保护管理制度、隐私政策或用户协议中的个人信息处理规则、敏感个人信息处理的告知机制, 企业可以考虑先制定后优化的思路,不贪求一步到位,全而无用。
情况说明类:2项,均为处理敏感个人信息的情况说明,以明确哪些场景涉及敏感个人信息的处理、哪些涉及不满十四周四的未成年人。与其他对处理个人信息的活动梳理类似,该两项要求企业须具备全面准确的个人敏感信息处理活动的梳理能力,完整说明个人信息的类别,处理活动细节及关联的信息主体类型等。
评估报告类:3项,均为个人信息保护影响评估报告。与其他章节类似,个人信息处理者应对个人信息保护影响评估较熟知,须关注评估是否完整包含敏感个人信息处理的所有场景,如何提高评估触发的效率,减少重复、不必要评估对业务的干扰等。
记录证明类:11项,占据了本章审计证据的一半。分别为同意类记录、个人信息处理记录、告知类记录、行政许可记录及限制性规定的响应记录。同意类和告知类是一个硬币的两面,同意伴随着告知的活动出现。个人信息处理者应该在个人信息收集点中自动收集告知及同意记录,以便于审计。敏感个人信息的处理记录作为个人信息处理记录的一类,在个保法有明确的要求,与欧盟通用数据保护法案中的ROPA要求类似,应包含个人信息从收集、存储、使用、传输到存档/删除各个步骤的细节,上述审计方法还对几类记录列举了具体要求,包含:委托处理、共同处理、向其他处理者提供个人信息、向境外提供信息等情况。
隐私政策类:2项,包含隐私政策、用户协议、告知文案等。主要审计角度强调为获取单独同意的事前告知情况、告知处理敏感信息的必要性及对个人权益的影响、对未成年人的个人信息处理的特殊告知/同意安排。 个人信息处理者在审计应对中,应重点关注单独同意的订制化隐私政策,区分数据主体(如未成年人)的告知政策、以及隐私政策与实际处理活动的一致性。
第37章:个人信息保护社会责任报告
核心内容:
审计内容 | 审计证据 | 审计方法 |
每年发布个人信息保护社会责任报告 | 个人信息保护社会责任报告编制和发布机制 | 查验报告的编制和发布机制 |
个人信息保护社会责任报告 | 查验报告是否按照相应机制编制并正式发布;查验是否能够通过公开渠道获取责任报告 | |
个人信息保护组织架构和内部管理情况披露 | 个人信息保护社会责任报告 | 查验报告是否披露个人信息保护组织架构和内部管理情况,包括但不限于个人信息保护组织架构、个人信息保护制度规范情况等 |
个人信息保护能力建设情况披露 | 个人信息保护社会责任报告 | 查验报告是否披露个人信息保护能力建设情况,包括但不限于管理制度、技术方案、行业合作等 |
个人信息保护措施和成效披露 | 个人信息保护社会责任报告 | 查验报告是否披露个人信息保护措施和成效,包括但不限于个人信息培训、个人信息保护技术实践与突破、个人信息保护效果等 |
个人行使权利的申请受理情况披露 | 个人信息保护社会责任报告 | 查验报告是否披露个人行使权利的申请受理情况,包括但不限于公布个人行使权利的申请渠道、受理处置规程、受理处置效果、受理情况统计等 |
独立监督机构履职情况披露 | 个人信息保护社会责任报告 | 查验报告是否披露独立监督机构履职情况,包括但不限于是否建立独立监督机构、是否具有完整的个人信息保护监督流程、是否就个人信息保护监督做出反馈 |
重大个人信息安全事件处理情况披露 | 个人信息保护社会责任报告 | 查验报告是否披露重大个人信息安全事件的处理机制,是否披露重大个人信息安全事件的处理情况 |
梳理建议:
该章共计7项审计内容,大致细分为8项审计证据,其中:
机制类:共1项,为个人信息保护社会责任报告编制和发布机制。由于个人信息保护法中要求:提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当履行下列义务:(四)定期发布个人信息保护社会责任报告,接受社会监督。因此非该类型的个人信息处理者,可自行判断是否需要制定并发布该报告。
报告类:共7项,均为个人信息保护社会责任报告。需要关注的是,重要安全事件、个人主体权利的行使响应、互联网平台的独立监督机制、个人信息保护组织框架、保护措施的实施及成效等均为社会责任报告重点关注的内容。
第23章 个人信息删除权保障情况
核心内容:
审计内容 | 审计证据 | 审计方法 |
个人信息处理目的已实现、无法实现或者为实现处理目的不再必要,是否删除或匿名化处理个人信息 | 个人信息删除或匿名化处理的管理制度 | 查验是否建立删除或匿名化机制 |
个人信息删除或匿名化机制 | 查看机制的相关规则,是否有覆盖个人信息处理目的已实现、无法实现或者为实现处理目的不再必要的内容;询问是否存在个人信息处理目的已实现、无法实现或者为实现处理目的不再必要的情形 | |
个人信息删除或匿名化处理的记录、系统日志 | 查看相关记录或系统日志,查验个人信息处理目的已实现、无法实现或者为实现处理目的不再必要,是否删除或匿名化处理个人信息 | |
停止提供产品或者服务,或者个人注销账号,是否删除或匿名化处理个人信息 | 个人信息删除或匿名化处理的管理制度 | 查验是否建立删除或匿名化机制 |
个人信息删除或匿名化机制 | 查看机制中关于删除或匿名化处理的规则,是否有覆盖停止提供产品或者服务或者个人注销账号的情形 | |
个人信息删除或匿名化处理的记录、系统日志 | 查看记录或系统日志,验证停止提供产品或者服务,或者个人注销账号,是否删除或匿名化处理个人信息 | |
达到与个人约定的存储期限,是否删除或匿名化处理个人信息 | 个人信息删除或匿名化处理的管理制度 | 查看是否有管理制度 |
个人信息删除或匿名化机制 | 查看关于个人信息删除或匿名化处理机制的相关规则,是否有覆盖达到与个人约定的存储期限的情形 | |
个人信息删除或匿名化处理的记录、系统日志 | 查看删除或匿名化记录或系统日志,查验达到与个人约定的存储期限,是否删除或匿名化处理个人信息 | |
个人撤回同意,是否删除或匿名化处理个人信息 | 个人信息删除或匿名化处理的管理制度 | 查看是否有管理制度 |
个人信息删除或匿名化机制 | 查看内部规范中关于个人信息删除或匿名化处理机制的相关规则,是否有覆盖个人撤回同意的情形 | |
个人信息删除或匿名化处理的记录、系统日志 | 查看删除或匿名化记录或系统日志,查验个人撤回同意后,是否删除或匿名化处理个人信息 | |
因使用自动化采集技术等,无法避免采集到非必要个人信息或者未经同意的个人信息,是否删除或匿名化处理个人信息 | 个人信息删除或匿名化处理的管理制度 | 查看是否有管理制度 |
个人信息删除或匿名化机制 | 查看是否有个人信息删除或匿名化处理个人信息 | |
个人信息删除或匿名化处理的记录、系统日志 | 查验记录和日志,验证机制 | |
个人信息处理者违反法律、行政法规或者违反约定处理个人信息,是否删除或匿名化处理个人信息 | 个人信息删除或匿名化处理的管理制度 | 查看删除或匿名化处理机制的相关规则,是否覆盖个人信息处理者违反法律、行政法规或者违反约定处理个人信息的情形 |
个人信息删除或匿名化机制 | 查验个人信息处理者近1年内是否存在违反法律、行政法规或者违反约定处理个人信息的情形。若存在,是否已删除或匿名化处理个人信息 | |
个人信息删除或匿名化处理的记录、系统日志 | 查看个人信息删除或匿名化记录或系统日志,验证该机制 | |
法律、行政法规规定的保存期限未到,或者删除个人信息从技术上难以实现的,个人信息处理者除存储和必要的安全措施之外,是否停止其他处理活动 | 个人信息删除或匿名化处理的管理制度、个人信息删除或匿名化机制 | 查看内部规范是否有覆盖法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的情形 |
访谈记录 | 访谈相关人员是否存在法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的情形 | |
个人信息删除或匿名化处理的记录、系统日志、已采取的安全措施 | 查看处理记录、系统日志和采取的安全措施,验证上述情形下,个人信息处理者是否停止除存储和采取必要的安全措施之外的处理 |
梳理建议:
该章共计7项审计内容,大致细分为22项审计证据,其中:
管理制度类:共7项,均为个人信息删除或匿名化处理的管理制度。该制度通常作为个人信息保护管理制度的一部分,由企业数据合规或信息安全部门制定。该审计证据强调个人信息删除或匿名化的管理制度应该包含以下场景:个人信息处理不再必要时、个人信息主体和处理者不再是服务和被服务关系时、个人信息存储超出约定期限时、未超出存储期限内但处理目的不存在时、违反法律法规约定采集时、同意被撤回时、自动化技术采集到非必要个人信息时等。总的来看,审计的是处理的必要性,是否超过存储期限、是否违法、违规、违约。
记录证明类:共8项,主要为个人信息删除或匿名化处理的记录、系统日志、访谈记录等。从审计角度,难点在于将上述不同场景的无需处理个人信息的情况和系统日志、处理记录映射起来,这就要求企业将处理活动的梳理与后续的删除/匿名化处理动作衔接起来,形成完整的证据链。
机制说明类:共7项,均为个人信息删除或匿名化机制。所谓机制,其实为需要采取删除或匿名化处理的规则,当满足处理不再必要时、超过存储期限时、未超期限但处理目的不在时、违法违规违约收集时等,需要采取删除/匿名化,使得识别自然人变得不再可能。
第1章 个人信息处理活动的合法性基础条件
核心内容:
审计内容 | 审计证据 | 审计方法 |
处理个人信息是否取得个人同意,该同意是否在个人信息主体充分知情的前提下自愿、明确作出 | 征得个人同意机制说明 | 查验个人信息处理活动是否属于基于个人同意处理个人信息; 查验征得个人同意机制能否保证在处理个人信息前取得个人同意; 查验征得个人同意机制中,个人是否自愿、明确的做出同意行为,不存在默认同意、强制同意、欺骗诱导等 |
隐私政策 | 查阅各渠道隐私政策说明是否充分 | |
取得个人同意的实例记录 | 抽查取得个人同意的实例记录 | |
基于个人同意处理个人信息,个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,是否重新取得个人同意 | 个人信息处理管理机制 | 查验管理个人信息处理目的、处理方式和处理个人信息种类的机制 |
重新征得个人同意机制说明 | 查验重新征得个人同意机制,能够在个人信息的处理目的、处理方式、处理的个人信息种类发生变更时重新征得个人同意 | |
个人信息处理审批记录 | 查验个人信息处理目的、处理方式和处理个人信息种类发生变更时的审批记录 | |
隐私政策 | 查验个人信息处理目的、处理方式和处理个人信息种类变更后,相应渠道隐私政策是否同步修改 | |
重新取得个人同意的实例记录 | 抽查重新征得个人同意的实例记录,核验征得个人同意机制能否保证重新取得个人同意 | |
基于个人同意处理个人信息,是否为个人提供便捷的撤回同意的方式 | 个人信息处理管理机制 | 查验机制是否涵盖撤回同意部分内容 |
隐私政策 | 查验隐私政策是否说明了个人撤回同意的具体事项 | |
撤回同意的记录 | 查验个人撤回同意的方式和记录,是否存在撤回同意的入口隐藏过深、明显小号字体、需线下操作、提供额外信息等不便捷形式 | |
基于个人同意处理个人信息,是否对个人同意的操作进行记录 | 个人同意操作记录 | 查验是否有个人同意操作记录,包括首次处理个人信息的个人同意记录、处理规则变更后重新取得的同意记录、撤回同意记录 |
基于个人同意处理个人信息,是否存在以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务的情况;处理个人信息基于其他合法性基础的除外 | 个人信息处理管理机制 | 查验机制是否涵盖撤回同意部分内容 |
提供撤回同意的方式和记录 | 查验个人信息主体撤回同意的方式和记录 | |
撤回同意后的个人信息处理机制 | 抽查不提供非必要个人信息或撤回同意非必要个人信息,是否能够使用产品或服务 | |
处理个人信息未取得个人同意,是否属于法律、行政法规规定不需取得个人同意的情形 | 个人信息保护管理制度 | 查阅管理制度,是否明确规定处理个人信息不需要取得个人同意的情形,规定的情形是否符合法律、行政法规要求 |
隐私政策 | 查阅各渠道隐私政策,是否明确说明处理个人信息不需要取得个人同意的情形 | |
个人信息处理同意记录 | 抽查个人信息处理活动是否存在未征得个人同意的情况,存在未征得个人同意的,是否属于法律、行政法规规定不需要取得个人同意的情形 |
梳理建议:
该章共计6项审计内容,大约细分为18项审计证据,其中:
制度机制类:7项,分别为个人同意管理机制(包括重新同意、撤回同意等)、个人信息处理管理机制、个人信息保护管理制度。 其中同意管理机制和个人信息保护管理制度较为人熟知。但个人信息处理管理机制作为审计证据的提法较新,也没有对其具体的内容做说明。但参照其对应的审计方法,其大致为“管理个人信息处理目的、处理方式和处理个人信息种类的机制”以及“撤回同意的管理机制”。因此可基本认为个人信息保护管理制度的一部分,然后针对具体的业务活动中执行管理机制的情况做出审计。
记录证明类:7 项,分别为同意类记录(包括处理同意记录、撤回同意的记录、同意操作记录、重新同意的记录)和个人信息处理变更的审批记录。变更审批记录应该在对处理活动进行审批的基础上,记录业务及风险变化及审批的过程。同意类的记录,应该重点考虑撤回同意和重新同意的业务系统前后台配合情况及记录留痕。
隐私政策类:4项,全部为隐私政策。主要审计角度强调隐私政策的全渠道覆盖程度、不需要取得个人同意的场景、个人撤回同意的安排、以及个人信息处理活动变化时,隐私政策是否能同步修改等。其中最后一项同步修改需要一定的系统工具支撑, 将处理活动与隐私政策的告知联动起来。其余主要是涉及隐私政策流程和机制的执行情况。
第2章:个人信息处理必要性
核心内容:
审计内容 | 审计证据 | 审计方法 |
处理个人信息是否具有明确、合理的目的,是否与处理目的直接相关 | 隐私政策 | 查阅隐私政策,其中处理个人信息的目的是否明确、合理,处理个人信息的种类是否与目的直接相关 |
个人信息上传记录 | 对于不长期存储的个人信息,抽查主要业务场景上传的个人信息内容是否与处理目的直接相关 | |
个人信息存储记录 | 对于长期存储的个人信息,抽查主要业务场景存储的个人信息内容是否与处理目的直接相关 | |
是否采取对个人权益影响最小的方式处理个人信息 | 个人信息处理的相关流程说明,如业务逻辑、数据流图等, | 查验个人信息处理流程 |
个人信息处理过程实例 | 核验处理每项个人信息是否采取对个人权益影响最小的方式 | |
是否仅限于实现处理目的的最小范围收集个人信息 | 隐私政策 | 查验隐私政策是否包含最小范围的描述 |
个人信息处理活动记录 | 查验处理的个人信息种类、数量和频率是否为实现处理目的所需的最少种类、最少数量和最低频率 | |
是否强制要求个人信息主体同意非必要的个人信息处理行为 | 个人信息处理的相关流程说明、隐私政策 | 查阅隐私政策和相关流程说明,核验个人信息处理行为涉及的非必要个人信息 |
个人信息处理过程实例 | 查验当个人信息主体拒绝同意处理非必要个人信息后,是否能够继续使用对应业务功能 | |
是否因个人信息主体不同意处理非必要个人信息或撤回同意,每次重新使用产品或服务时,向用户频繁询问是否同意处理非必要个人信息 | 个人信息处理的相关流程说明 | 查看说明关于非必要个人信息同意的处理机制 |
个人信息处理过程实例 | 查验当个人信息主体拒绝同意处理非必要个人信息后,短期内重新进入该业务场景是否被再次征求同意; 查验当个人信息主体撤回同意处理非必要个人信息后,短期内重新进入该业务场景是否被再次征求同意 | |
是否因个人信息主体不同意处理非必要个人信息或者撤回同意,拒绝个人信息主体使用其基本功能服务 | 个人信息处理的相关流程说明 | 查看说明关于非必要个人信息同意的处理机制 |
个人信息处理过程实例 | 查验当个人信息主体拒绝同意处理非必要个人信息后,是否能够继续使用基本功能服务; 查验当个人信息主体撤回同意处理非必要个人信息后,是否能够继续使用基本功能服务 |
梳理建议:
该章共计6项审计内容,大致细分为13项审计证据,其中:
流程类:4项,均为个人信息处理的相关流程说明,审计方法为查验处理活动的流程、涉及到的非必要个人信息处理及同意机制。关于处理活动的流程,当企业一旦建立处理活动的清单和评估流程后即可满足审计需求;需要注意的是对非必要个人信息处理的识别可能会成为审计争议的焦点,建议企业参考APP核心功能和附加功能的区别将处理活动涉及的个人信息区分为必要/非必要。
记录实例类:7 项,分别为个人信息上传、存储记录,个人信息处理过程实例。从审计方法看,上传/存储记录主要查验个人信息存储期限的长短与实现处理目的的关系,若目的已实现,是否按照最小化原则采取删除或匿名化处理等措施;个人信息处理实例的审计方式涉及拒绝/撤回非必要个人信息的同意后,获取基本服务的情况、短期被再次征求同意的情况、处理个人信息的种类、数量、频率是否实现最小化原则。该类审计要求企业将处理活动的目的、涉及的个人信息种类、是否为必要类、处理的细节如数量、频率、以及隐私及同意管理联动起来,形成完整的自我评估链,保有记录和变更情况等,对隐私管理及运营能力提出了较高的要求。
隐私政策类:2项,均为隐私政策,审计方法为查验隐私政策中告知的处理目的是否合理,是否为了满足目的而进行了个人信息的最小化收集。实质上还是对处理活动目的和涉及个人信息类型、数量、频率之间必要性、最小化原则的审计。因此将隐私政策与业务活动的清单及合规性评估联动起来将同时满足流程、隐私政策和记录类审计的要求,事半功倍。
第6章 委托处理个人信息
核心内容:
审计内容 | 审计证据 | 审计方法 |
个人信息处理者在委托处理个人信息前,是否开展个人信息保护影响评估 | 个人信息委托处理情况说明 | 查阅个人信息委托处理情况说明,有哪些委托处理个人信息情形 |
个人信息保护影响评估报告 | 查验在委托处理个人信息前是否开展了个人信息保护影响评估; 查阅开展的个人信息保护影响评估记录; | |
个人信息处理者与受托人签订的合同,是否约定了委托处理的目的、期限、方式及个人信息的种类、受托人应当采取的技术措施和管理措施、双方的权利义务等 | 个人信息委托处理情况说明 | 查阅委托处理情况说明,验证有哪些委托处理个人信息情形 |
个人信息处理者与受托人签订的合同或协议 | 查看合同或其他文档,查验个人信息处理者是否通过合同等方式,与受托人约定个人信息委托处理的目的、期限、处理方式、个人信息的种类、双方采取的技术措施和管理措施、双方的权利和义务等 | |
个人信息保护影响评估报告 | 查看个人信息保护影响评估报告和合同文本,验证个人信息保护影响评估及合同文本是否存在错漏或不一致的情况,核实原因 | |
个人信息处理者是否采取定期查验等方式,对受托人的个人信息处理活动进行监督,以确保委托处理个人信息的活动符合法律规定 | 个人信息保护管理制度 | 查阅保护管理制度,验证是否明确采取定期查验等方式,对受托人的个人信息处理活动进行监督 |
定期检查记录、监督记录 | 查阅定期检查记录或监督记录等,验证是否采取定期查验等方式,对受托人的个人信息处理活动进行监督 | |
受托人是否严格按照委托合同的约定处理个人信息,是否存在超出约定的处理目的、处理方式处理个人信息的情况 | 受委托人提供的书面说明或评估、认证、检测报告 | 查看书面说明或评估、认证、检测报告,是否包括受委托人超出约定处理目的、处理方式处理个人信息情况的评估结果 |
查看受委托人是否超出约定处理目的、处理方式处理个人信息情况的评估结果 | ||
查验受托人是否严格按照委托合同的约定处理个人信息,是否采取了约定的个人信息保护措施 | ||
当委托合同不生效、无效、被撤销或者终止时,受托人是否将个人信息返还个人信息处理者或者予以删除 | 沟通记录、往来邮件 | 查看沟通记录、往来邮件、系统日志等证明材料,查验个人信息处理者是否要求受托人将个人信息返还个人信息处理者或者予以删除 |
系统日志 | ||
受托人是否存在转委托他人处理个人信息的情况,是否得到个人信息处理者的同意 | 定期检查记录、监督记录 | 查验受托人是否存在转委托他人处理个人信息的情况,是否得到个人信息处理者的同意 |
受委托人提供的书面说明或评估、认证、检测报告 |
梳理建议:
该章共计6项审计内容,大致细分为12项审计证据,其中:
管理制度类:共1项,为个人信息保护管理制度。如前面的审计章节一样,该制度为个人信息保护的基础制度,从该项的审计方法来看,主要是查看管理制度在委托处理个人信息的场景下,是否包含定期对受托人的个人信息处理活动进行监督的内容。因此企业若缺失相关的管理要求,应及时补充。
记录证明类:共5项,主要为与受托人签订的合同、定期对受托人处理活动查验的记录、受托人对个人信息返回或删除的记录、日志、受托人转委托的情况下是否得到个人信息处理者同意的记录。需要注意的是,该类审计记录的形成虽然涉及与受托人的互动,但审计的责任在个人信息处理者即委托人的身上,而不应当以受托人不配合或未作记录等原因解释审计记录的缺失。
情况说明类:2项,均为个人信息委托处理情况说明,其审计方法为验证存在哪些个人信息委托处理的场景。只要企业做好处理活动的基础整理工作,其中涉及到委托处理的情况也就水到渠成。
评估报告类:4项,主要为受委托人提供的书面评估或检测报告,以及个人信息保护影响评估报告。从审计方法上看,主要为查验受委托人是否超出委托的处理目的,处理方式,或者转委托他人处理个人信息。审计个人信息保护影响评估报告的方法为:查验在委托处理前是否进行保护影响评估,以及委托处理合同中约定的处理细节是否与报告相一致。
以上为审计要求较高、颗粒度最细的9大章节从审计证据到审计方法的映射,以及从制度机制、处理活动说明、隐私政策、评估报告、记录日志等分类的角度,为企业做好内部审计和外部审计工作,厘清思路,提供具体实践的方法指导。
本系列将持续关注《要求》的未来发布及实施情况。
作者介绍
解佳璞
上海数示信诚科技有限公司 产品经理
future@idatatrust.com
具备丰富的数据隐私和安全技术研发经验,擅长设计和实施数据保护方案,确保数据隐私合规和信息安全。同时,对机器学习在隐私保护领域的应用有深入研究,致力于将前沿的隐私运营和数据安全技术应用到实际业务中,为企业和用户构建高效、可信的数字生态系统。
特别声明
以上所刊登的文章仅代表作者本人观点,不代表威科中国出具的任何形式之法律意见或建议。
如需转载或引用该等文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源于公众号“威科先行”及作者姓名。未经书面授权,不得转载或使用该等文章中的任何内容,含图片、影像等视听资料。如您有意就相关议题进一步交流或探讨,欢迎与我们联系。
集合法规案例查询、更新信息接收、实务问题解决,为您提供全方位实务资源支持,助力您洞悉网络安全精髓,自信决策,合规经营。
申请试用
威科先行:
网络安全合规模块
长按并识别左侧二维码
WHEN YOU HAVE TO BE RIGHT.
想了解更多关于「威科先行」的产品和信息
欢迎长按下方图片,添加「小威」为微信好友
