|
|
|
|
|
|
来源:www.aryasec.cn 发布日期:2025.08.27 点击量:
《个人信息保护合规审计管理办法》——附件《个人信息保护合规审计指引》
《个人信息保护合规审计办法》中明确了个人信息保护合规审计的内容,个人信息处理者、专业机构应当依据法律法规要求及《个人信息保护合规审计指引》进行个人信息保护合规审计,个人信息保护合规审计的审查重点如下图所示:
附件《个人信息保护合规审计指引》——典型条款解析
附件《个人信息保护合规审计指引》原文参考:
十、对个人信息处理者基于个人同意公开个人信息进行合规审计的,应当重点审查下列事项:
(一)个人信息处理者公开其处理的个人信息前是否取得个人单独同意,该授权是否真实、有效,是否存在违背个人意愿将个人信息予以公开的情况;
(二)个人信息处理者公开个人信息前,是否进行个人信息保护影响评估。
《个人信息保护法》对应解读:
第二十五条 个人信息处理者不得公开其处理的个人信息,取得个人单独同意的除外。
第五十五条 有下列情形之一的,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录:
(一)处理敏感个人信息;
(二)利用个人信息进行自动化决策;
(三)委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;
(四)向境外提供个人信息;
(五)其他对个人权益有重大影响的个人信息处理活动。
附件《个人信息保护合规审计指引》原文参考:
十一、个人信息处理者在公共场所安装图像收集、个人身份识别设备的,应当重点对其安装图像收集、个人信息身份识别设备的合法性及所收集个人信息的用途进行审查。审查内容包括但不限于:
(一)是否为维护公共安全所必需,是否为商业目的处理所收集的个人信息;
(二)是否设置了显著的提示标识;
(三)个人信息处理者所收集的个人图像、身份识别信息用于维护公共安全以外用途的,是否取得个人单独同意。
《个人信息保护法》对应解读:
第二十六条 在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。
附件《个人信息保护合规审计指引》原文参考:
十二、对个人信息处理者处理已公开的个人信息进行合规审计的,应当重点审查个人信息处理者是否存在下列违法违规行为:
(一)向已公开个人信息中的电子邮箱、手机号等发送与其公开目的无关的商业信息;
(二)利用已公开的个人信息从事网络暴力、传播网络谣言和虚假信息等活动;
(三)处理个人明确拒绝处理的已公开个人信息;
(四)对个人权益有重大影响,未取得个人同意;
(五)收集、留存或处理已公开个人信息的规模、时间或使用目的超出合理范围。
《个人信息保护法》对应解读:
第二十七条 个人信息处理者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;个人明确拒绝的除外。个人信息处理者处理已公开的个人信息,对个人权益有重大影响的,应当依照本法规定取得个人同意。
《数据安全技术 个人信息保护合规审计要求》征求意见稿于2024年6月完成
《网络安全标准实践指南——个人信息保护合规审计要求》发布于2025年5月
标准定位:
u 支撑《个人信息保护法》《网络数据安全管理条例》关于个人信息保护合规审计要求的落地实施。
u 支撑《个人信息保护合规审计管理办法》
u 充分借鉴国内外数据保护审计、企业内部审计、个人信息保护工作等现状。
u 明确开展个人信息保护合规审计时应满足的审计原则、审计内容、方法等。
u 规范个人信息处理者开展个人信息保护合规审计的行为。
标准范围:
u 本文件提出了个人信息保护合规审计原则,规定了个人信息保护合规审计的实施要求、内容和方法。
u 本文件适用于个人信息处理者开展个人信息保护合规审计工作,也可为相关机构对个人信息处理活动进行个人信息保护合规审计提供参考。
标准的内容框架如下图所示:
审计实施流程解析:
个人信息保护合规审计的流程包含:审计计划、审计准备、审计实施、审计报告、问题整改、归档管理,这六个阶段。
如需了解详情,欢迎联系我们,联系方式如下:
电话:021-62101209-811/13248385337
相关新闻:
