返回列表
重磅新规!律师深度解读个人信息保护合规审计避坑要点
2025-02-18

2025年5月1日起,《个人信息保护合规审计管理办法》(以下简称《办法》)将正式施行,这是继《网络数据安全管理条例》后又一关键性法规,标志着我国个人信息保护监管迈入“强审计时代”。

北源律师事务所数据合规团队从合规实务角度出发,结合条文核心要点与过往个人信息保护合规审计项目的实务经验,梳理出以下关键内容与应对策略,助力企业提前规避风险!

注意

本文末附本团队梳理的合规审计适用的法律法规依据、审计工作流程示例、审计报告示例以及本新规的合规审查清单等实务干货,供从业人员参考。

一、What:该办法属于什么级别的法律文件,是否具有强制执行力?

该办法属于专项部门规章,其聚焦个人信息保护合规审计,明确开展过程的审计主体、程序、内容及责任等相关内容,为个人信息保护合规审计开展和落地提供明确的规范性要求和指引,具有强制执行力。

个人信息处理者自行开展或者按照履行个人信息保护职责的部门要求委托专业机构开展个人信息保护合规审计,应当参照该办法及其附件《个人信息保护合规审计指引》。

律师提示

该办法的出台目的为落地法律《中华人民共和国个人信息保护法》第五十四条、第六十四条以及行政法规《网络数据安全管理条例》第二十七条规定了关于个人信息处理者开展合规审计的相关要求。

如违反该办法,将依照《中华人民共和国个人信息保护法》、《网络数据安全管理条例》等法律法规的规定处理;构成犯罪的,依法追究刑事责任。具体的罚则,可参照《中华人民共和国个人信息保护法》第六十六条和第六十七条、《网络数据安全管理条例》第五十五条的罚则。因此,如拒不履行个人信息保护合规审计义务,企业将可能面临如下违规风险:

● 行政处罚:违反《办法》将直接适用《个人信息保护法》或者《网络数据安全管理条例》,最高可处5000万元或上年度营业额5%罚款。

● 刑事责任:若因构成犯罪的,企业相关责任人可能面临刑事责任。

● 声誉损失:审计报告需提交监管部门,违规行为可能被公示,引发用户信任危机和企业形象品牌危机。

二、Who:哪些企业需遵守该办法?

从强制审计对象以及重点监管对象而言,以下几大类企业需根据该办法采取合规措施,包括开展合规审计和设置相应的职能岗位或部门:

分类

企业

要求

强制审计对象

主动开展审计

(办法第四条)

处理超过1000万人个人信息的个人信息处理者。

每两年至少一次合规审计(自行开展或委托专业机构开展)

被动开展审计

(办法第五条)

(一)发现个人信息处理活动存在严重影响个人权益或者严重缺乏安全措施等较大风险的;

(二)个人信息处理活动可能侵害众多个人的权益的;

(三)发生个人信息安全事件,导致100万人以上个人信息或者10万人以上敏感个人信息泄露、篡改、丢失、毁损的。

根据监管部门要求,委托专业机构审计

重点监管对象

(办法第十二条)

处理100万人以上的个人信息的个人信息处理者。

指定个人信息保护负责人,负责个人信息处理者的个人信息保护合规审计工作

提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者。

成立主要由外部成员组成的独立机构对个人信息保护合规审计情况进行监督

 

律师提示

(1)该办法分设了主动开展和特殊情况按监管部门要求强制开展合规审计的情形,体现了监管部门主导监管和要求行业自律并重治理思路。这意味着企业自律开展合规审计将与网信等相关监管部门指导下开展行业监督检查行动并结合监督结果强制开展审计相辅相成,协同推进个人信息合规审计的落地。

(2)以100万个人信息量作为要求个人信息保护负责人设置的门槛,该办法补充了原来《个人信息保护法》第五十二条尚未明晰的内容,进一步明确了什么级别的企业应当设置个人信息保护负责人岗位。中大型企业设置个人信息保护负责人一岗已成定局。(第五十二条规定“处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督”)。

(3)该办法要求重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者要求成立主要由外部成员组成的独立机构对个人信息保护合规审计情况进行监督,呼应《个人信息保护法》第五十八条,明确该独立机构的监督职能落地的抓手——“个人信息保护合规审计”。

三、How:企业应如何应对该办法的相关规定及要求?

(一)自查自纠工作先行:应当尽快梳理个人信息处理的基本情况和合规现状,确认企业是否落入适用个人信息合规审计的范畴。如落入该新规的管辖范围,应及早开展合规工作。

(二)制定或完善合规策略:参考该办法及其附件指引,建立个人信息合规义务清单、合规管理手册、合规监督检查清单。该办法的指引明确列举了应当重点审计的内容,就是企业遵守个人信息保护的相关法律、行政法规的重点义务清单,为企业采取合规措施落地法律规要求,提供非常关键的指引。

(三)组织保障:依据或参考该办法设置或调整个人信息保护负责人或相应部门的岗位职责。处理超过100万人以上信息的企业,应当设置个人信息保护负责人一岗并明确该岗位的职责,其职责应覆盖个人信息保护合规审计执行工作和附件指引第二十二条的关于个人信息重大决策的提议和建议、不合规事宜的制止和纠正等内容;此外,重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应着手筹备物色和聘任外部成员组成的外部独立监督机构。

(四)资源与技术投入:结合该办法的内容,投入必要的个人信息加密、去标识化、权限控制等技术工具、平台工具等资源支撑,以及寻求专业支持,包括聘任具备个人信息保护相关的工作经历和专业知识的负责人、聘请已通过认证的第三方机构开展审计、合规咨询服务。

(五)跟踪监管及行业的动态:关注网信等有关部门后续细则、国家标准及案例指引,以及行业头部的合规动态,及时调整企业内部的合规策略。

律师提示

(1)距离该办法5月1日生效日期尚余2个多月。落在该办法适用范畴的企业,宜立即启动合规适配性调整工作,例如不晚于其生效日期设置或晚上个人信息保护负责人岗位及其职责、启动个人信息合规审计外部专业机构的物色和筹备、制定或调整个人信息合规审计工作预算及工作计划等。

(2)该办法的附件《个人信息保护合规审计指引》值得企业个人信息保护从业人员高度重视。《个人信息保护合规审计指引》实际汇总了个人信息处理者个人信息处理活动应当遵守《个人信息保护法》《网络数据安全管理条例》等相关法律、行政法规的情况的义务清单。根据国家互联网信息办公室发布的《个人信息保护合规审计管理办法》及答记者问,其为企业自行或委托第三方开展合规审计必需参考的内容。建议企业参考该指引,结合企业实际情况,制定可适用的合规义务清单或合规检查清单,同步开展自查自纠和合规优化工作。

四、个人信息保护合规审计实务经验分享

结合北源数据合规团队及其技术合作伙伴深圳市网安计算机安全检测技术有限公司组成的“法律+技术”专业服务团队为金融行业、物流行业、互联网行业、生物技术及医疗行业等多家企业提供过个人信息保护审计服务经验,提供以下实操参考:

(一)注意合规审计场景的全面性,避免遗漏或混淆个人信息处理场景,导致合规监督检查“死角”。其需审计人员准确掌握个人信息处理者、业务和信息系统(含前端及系统平台甚至服务器)、具体个人信息处理活动、对应的安全措施、所涉人员及第三方等信息,方可避免遗漏或对于个人信息处理活动性质的误判。

(二)注意审计依据的准确、完整和可适用性,应当结合企业审计对象(含业务场景和个人信息处理行为)梳理可适用的法规依据,避免审计依据及要求错漏情形。

(三)注重审计的开展过程的专业性和独立性,包括严谨审计流程和专业且独立的审计人员。对应的审计人员既需了解并掌握个人信息保护的相关法律要求,同时具备快速了解企业产品或业务以及数据安全技术工具及措施等专业背景知识。

(四)注重审计结论及支撑证据的客观性和可追溯性,要求审计过程结论客观、公正且有可追溯的证据支撑。该要求不仅在审计讨论的问题梳理、报告编写、事后证据文件的梳理均有要求。

律师提示

合规审计开展的合法性、全面性、公正性和客观性的要求重点在于审计成员或审计团队的选择。

专业的审计人员一般应当具备产品+法律+科技的专业背景及视角,可结合具体业务场景的理解、对于个人信息处理活动性质、处理个人信息的信息系统及技术保护措施等准确理解和专业判断,高效准确选择可适用的审计底稿,以此确保审计的全面、准确和符合企业实际情况。

北源及其技术合作伙伴依据过往的合作经验在文末提供了合规审计的法律依据、审计过程及审计报告参考稿。

如需定制合规方案,请联系我们!

关注我们,获取更多合规干货与政策解读!

 

附件 1  个人信息合规审计法律法规

附件 2  个人信息合规审计维度

附件 3  个人信息保护合规审计工作安排表

附件 4  个人信息合规审计报告截图

 

附件 5  

《个人信息保护合规审计管理办法》主要内容结构

 

 

附件 6  

《个人信息保护合规审计管理办法》附件之《个人信息保护合规审计指引》核心审计重点

维度

合规审计重点共计(112项+)

合法性基础审查:4项
1. 是否取得充分知情、自愿明确的个人同意;
2. 变更处理目的/方式/种类时是否重新取得同意;
3. 是否取得单独或书面同意;
4. 未取得同意时是否符合法定例外情形。

处理规则审查:5项

1. 是否真实、准确、完整告知处理者信息;
2. 是否以清单形式列明收集信息及处理方式;
3. 处理方式是否对个人权益影响最小;
4. 是否明确保存期限及到期处理方式;
5. 是否明确个人行权途径。

告知义务审查:6项

1. 是否以显著方式清晰告知处理规则;
2. 告知文本是否便于阅读;
3. 线下告知是否多途径履行;
4. 在线告知是否提供文本或适当方式;
5. 规则变更是否及时告知;
6. 是否符合免告知例外情形。

共同处理审查:4项

1. 是否约定权利义务;
2. 是否建立权益保护机制;
3. 是否建立安全事件报告机制;
4. 是否约定其他法定权利义务。

委托处理审查:3项

1. 是否开展影响评估;
2. 合同是否约定目的、期限、方式等;
3. 是否监督受托方处理活动。

转移个人信息审查:1项

因合并、重组、分立等原因转移个人信息时,是否告知接收方信息。

对外提供个人信息审查:3项

1. 是否取得单独同意;
2. 是否履行必要的告知义务,包括告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类;
3. 是否事前进行影响评估。

自动化决策审查:7项

1. 决策透明性及结果公平性;
2. 是否告知决策影响;
3. 是否进行影响评估;
4. 是否提供拒绝机制及说明等权利保障;
5. 是否提供非个性化选项;
6. 是否防止不合理差别待遇;

7.其他可能影响自动化决策的透明度和结果公平、公正的事项。

公开信息审查:2项

1. 是否取得单独同意且无强迫;
2. 是否进行影响评估。

公共场所设备审查:3项

1. 是否出于公共安全必需,是否处于商业目的;
2. 是否设置显著标识;
3. 非公共用途是否取得单独同意。

十一

已公开信息处理审查:5项

1.是否避免发送无关商业信息;

2. 网络暴力或虚假谣言等侵害网络信息内容安全行为;

3. 违规处理个人明确拒绝的已公开的个人信息;

4. 对个人权益有重大影响,未取得个人同意

超范围处理等违法违规行为。

十二

敏感个人信息审查:7项

1. 是否取得单独同意(含未成年人监护人同意);
2. 处理目的/方式是否合法必要;
3. 是否进行影响评估;
4. 是否履行额外的处理敏感个人信息的必要性以及对个人权益的影响的告知义务

6. 是否遵守书面同意规则

7. 是否遵守法定限制。

十三

未成年人信息审查:3项

1. 是否制定专门规则;
2. 是否履行告知义务;
3. 是否强制同意非必要信息。

十四

跨境提供审查:5项

1. 关键设施运营者是否通过安全评估;
2. 其他处理者【关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供100万人以上个人信息(不含敏感个人信息)或者1万人以上敏感个人信息】是否国家网信部门组织的安全评估;
3. 其他处理者【关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息)或者不满1万人敏感个人信息的】是否认证或经主管机关备案;
4. 向外国司法或者执法机构提供存储于中华人民共和国境内个人信息情形的,是否经过主管机关批准;

5. 避免向受限方提供。

十五

删除权保障审查:6项

是否在目的达成、停止提供产品或注销账号、期限届满、撤回同意等情形下删除或停止处理。

十六

个人信息主体行权保障审查:3项

1. 是否建立便捷行权机制;
2. 是否及时响应申请;
3. 拒绝请求时是否说明理由。

十七

个人信息处理规则解释审查:2项
1. 是否提供便捷解释途径;
2. 是否在合理时间内通俗解释。

十八

内部制度及操作规程审查:11项

方针、架构、分类、应急机制、影响评估制度、投诉流程、权限管理、培训计划等是否符合规定。

1.个人信息保护工作的方针、目标、原则是否符合法律、行政法规规定;

2.个人信息保护组织架构、人员配备、行为规范、管理责任是否与应当履行的个人信息保护责任相适应;

3.是否根据个人信息的种类、来源、敏感程度、用途等,对个人信息进行分类;

4.是否建立个人信息安全事件应急响应机制;

5.是否建立个人信息保护影响评估制度、合规审计制度;

6.是否建立畅通的个人信息保护投诉举报受理流程;

7.是否合理制定个人信息处理操作权限;

8.是否制定实施个人信息保护安全教育和培训计划;

9.是否建立个人信息保护负责人及相关人员履职评价制度;

10.是否建立个人信息违法处理责任制度;

11.法律、行政法规规定的其他事项。

十九

技术措施审查:3项

是否采取加密、去标识化等措施保障保密性、完整性、可用性。

二十

教育培训审查:2项

培训计划内容、对象、频率是否满足保护需求,是否进行考核。

二十一

负责人履职审查:5项

负责人资质、职责权限、纠正措施、联系方式公开等是否符合要求。

二十二

影响评估审查:4项

是否在重大处理前评估合法性、必要性、对权益的影响和安全风险及保护措施有效性。

二十三

应急预案审查:3项

预案是否全面、有效、可执行,是否定期演练。

二十四

应急响应审查:3项

是否及时查明事件原因、通报保护部门、降低危害风险。

二十五

平台规则审查((重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者):3项

1. 条款的合法性,是否与法律抵触;
2. 条款的有效性,是否合理界定权利义务;
3. 条款的执行,是否有效执行。

二十六

社会责任报告审查(重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者):8项

是否披露组织架构、能力建设、措施成效、行权受理、重大事件处理等法定内容。

 

作者:梁艳芬律师、许瑞凤律师

声明:本文仅代表作者观点,不构成法律意见。具体问题请咨询专业人士。

返回列表
重磅新规!律师深度解读个人信息保护合规审计避坑要点
2025-02-18

2025年5月1日起,《个人信息保护合规审计管理办法》(以下简称《办法》)将正式施行,这是继《网络数据安全管理条例》后又一关键性法规,标志着我国个人信息保护监管迈入“强审计时代”。

北源律师事务所数据合规团队从合规实务角度出发,结合条文核心要点与过往个人信息保护合规审计项目的实务经验,梳理出以下关键内容与应对策略,助力企业提前规避风险!

注意

本文末附本团队梳理的合规审计适用的法律法规依据、审计工作流程示例、审计报告示例以及本新规的合规审查清单等实务干货,供从业人员参考。

一、What:该办法属于什么级别的法律文件,是否具有强制执行力?

该办法属于专项部门规章,其聚焦个人信息保护合规审计,明确开展过程的审计主体、程序、内容及责任等相关内容,为个人信息保护合规审计开展和落地提供明确的规范性要求和指引,具有强制执行力。

个人信息处理者自行开展或者按照履行个人信息保护职责的部门要求委托专业机构开展个人信息保护合规审计,应当参照该办法及其附件《个人信息保护合规审计指引》。

律师提示

该办法的出台目的为落地法律《中华人民共和国个人信息保护法》第五十四条、第六十四条以及行政法规《网络数据安全管理条例》第二十七条规定了关于个人信息处理者开展合规审计的相关要求。

如违反该办法,将依照《中华人民共和国个人信息保护法》、《网络数据安全管理条例》等法律法规的规定处理;构成犯罪的,依法追究刑事责任。具体的罚则,可参照《中华人民共和国个人信息保护法》第六十六条和第六十七条、《网络数据安全管理条例》第五十五条的罚则。因此,如拒不履行个人信息保护合规审计义务,企业将可能面临如下违规风险:

● 行政处罚:违反《办法》将直接适用《个人信息保护法》或者《网络数据安全管理条例》,最高可处5000万元或上年度营业额5%罚款。

● 刑事责任:若因构成犯罪的,企业相关责任人可能面临刑事责任。

● 声誉损失:审计报告需提交监管部门,违规行为可能被公示,引发用户信任危机和企业形象品牌危机。

二、Who:哪些企业需遵守该办法?

从强制审计对象以及重点监管对象而言,以下几大类企业需根据该办法采取合规措施,包括开展合规审计和设置相应的职能岗位或部门:

分类

企业

要求

强制审计对象

主动开展审计

(办法第四条)

处理超过1000万人个人信息的个人信息处理者。

每两年至少一次合规审计(自行开展或委托专业机构开展)

被动开展审计

(办法第五条)

(一)发现个人信息处理活动存在严重影响个人权益或者严重缺乏安全措施等较大风险的;

(二)个人信息处理活动可能侵害众多个人的权益的;

(三)发生个人信息安全事件,导致100万人以上个人信息或者10万人以上敏感个人信息泄露、篡改、丢失、毁损的。

根据监管部门要求,委托专业机构审计

重点监管对象

(办法第十二条)

处理100万人以上的个人信息的个人信息处理者。

指定个人信息保护负责人,负责个人信息处理者的个人信息保护合规审计工作

提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者。

成立主要由外部成员组成的独立机构对个人信息保护合规审计情况进行监督

 

律师提示

(1)该办法分设了主动开展和特殊情况按监管部门要求强制开展合规审计的情形,体现了监管部门主导监管和要求行业自律并重治理思路。这意味着企业自律开展合规审计将与网信等相关监管部门指导下开展行业监督检查行动并结合监督结果强制开展审计相辅相成,协同推进个人信息合规审计的落地。

(2)以100万个人信息量作为要求个人信息保护负责人设置的门槛,该办法补充了原来《个人信息保护法》第五十二条尚未明晰的内容,进一步明确了什么级别的企业应当设置个人信息保护负责人岗位。中大型企业设置个人信息保护负责人一岗已成定局。(第五十二条规定“处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督”)。

(3)该办法要求重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者要求成立主要由外部成员组成的独立机构对个人信息保护合规审计情况进行监督,呼应《个人信息保护法》第五十八条,明确该独立机构的监督职能落地的抓手——“个人信息保护合规审计”。

三、How:企业应如何应对该办法的相关规定及要求?

(一)自查自纠工作先行:应当尽快梳理个人信息处理的基本情况和合规现状,确认企业是否落入适用个人信息合规审计的范畴。如落入该新规的管辖范围,应及早开展合规工作。

(二)制定或完善合规策略:参考该办法及其附件指引,建立个人信息合规义务清单、合规管理手册、合规监督检查清单。该办法的指引明确列举了应当重点审计的内容,就是企业遵守个人信息保护的相关法律、行政法规的重点义务清单,为企业采取合规措施落地法律规要求,提供非常关键的指引。

(三)组织保障:依据或参考该办法设置或调整个人信息保护负责人或相应部门的岗位职责。处理超过100万人以上信息的企业,应当设置个人信息保护负责人一岗并明确该岗位的职责,其职责应覆盖个人信息保护合规审计执行工作和附件指引第二十二条的关于个人信息重大决策的提议和建议、不合规事宜的制止和纠正等内容;此外,重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应着手筹备物色和聘任外部成员组成的外部独立监督机构。

(四)资源与技术投入:结合该办法的内容,投入必要的个人信息加密、去标识化、权限控制等技术工具、平台工具等资源支撑,以及寻求专业支持,包括聘任具备个人信息保护相关的工作经历和专业知识的负责人、聘请已通过认证的第三方机构开展审计、合规咨询服务。

(五)跟踪监管及行业的动态:关注网信等有关部门后续细则、国家标准及案例指引,以及行业头部的合规动态,及时调整企业内部的合规策略。

律师提示

(1)距离该办法5月1日生效日期尚余2个多月。落在该办法适用范畴的企业,宜立即启动合规适配性调整工作,例如不晚于其生效日期设置或晚上个人信息保护负责人岗位及其职责、启动个人信息合规审计外部专业机构的物色和筹备、制定或调整个人信息合规审计工作预算及工作计划等。

(2)该办法的附件《个人信息保护合规审计指引》值得企业个人信息保护从业人员高度重视。《个人信息保护合规审计指引》实际汇总了个人信息处理者个人信息处理活动应当遵守《个人信息保护法》《网络数据安全管理条例》等相关法律、行政法规的情况的义务清单。根据国家互联网信息办公室发布的《个人信息保护合规审计管理办法》及答记者问,其为企业自行或委托第三方开展合规审计必需参考的内容。建议企业参考该指引,结合企业实际情况,制定可适用的合规义务清单或合规检查清单,同步开展自查自纠和合规优化工作。

四、个人信息保护合规审计实务经验分享

结合北源数据合规团队及其技术合作伙伴深圳市网安计算机安全检测技术有限公司组成的“法律+技术”专业服务团队为金融行业、物流行业、互联网行业、生物技术及医疗行业等多家企业提供过个人信息保护审计服务经验,提供以下实操参考:

(一)注意合规审计场景的全面性,避免遗漏或混淆个人信息处理场景,导致合规监督检查“死角”。其需审计人员准确掌握个人信息处理者、业务和信息系统(含前端及系统平台甚至服务器)、具体个人信息处理活动、对应的安全措施、所涉人员及第三方等信息,方可避免遗漏或对于个人信息处理活动性质的误判。

(二)注意审计依据的准确、完整和可适用性,应当结合企业审计对象(含业务场景和个人信息处理行为)梳理可适用的法规依据,避免审计依据及要求错漏情形。

(三)注重审计的开展过程的专业性和独立性,包括严谨审计流程和专业且独立的审计人员。对应的审计人员既需了解并掌握个人信息保护的相关法律要求,同时具备快速了解企业产品或业务以及数据安全技术工具及措施等专业背景知识。

(四)注重审计结论及支撑证据的客观性和可追溯性,要求审计过程结论客观、公正且有可追溯的证据支撑。该要求不仅在审计讨论的问题梳理、报告编写、事后证据文件的梳理均有要求。

律师提示

合规审计开展的合法性、全面性、公正性和客观性的要求重点在于审计成员或审计团队的选择。

专业的审计人员一般应当具备产品+法律+科技的专业背景及视角,可结合具体业务场景的理解、对于个人信息处理活动性质、处理个人信息的信息系统及技术保护措施等准确理解和专业判断,高效准确选择可适用的审计底稿,以此确保审计的全面、准确和符合企业实际情况。

北源及其技术合作伙伴依据过往的合作经验在文末提供了合规审计的法律依据、审计过程及审计报告参考稿。

如需定制合规方案,请联系我们!

关注我们,获取更多合规干货与政策解读!

 

附件 1  个人信息合规审计法律法规

附件 2  个人信息合规审计维度

附件 3  个人信息保护合规审计工作安排表

附件 4  个人信息合规审计报告截图

 

附件 5  

《个人信息保护合规审计管理办法》主要内容结构

 

 

附件 6  

《个人信息保护合规审计管理办法》附件之《个人信息保护合规审计指引》核心审计重点

维度

合规审计重点共计(112项+)

合法性基础审查:4项
1. 是否取得充分知情、自愿明确的个人同意;
2. 变更处理目的/方式/种类时是否重新取得同意;
3. 是否取得单独或书面同意;
4. 未取得同意时是否符合法定例外情形。

处理规则审查:5项

1. 是否真实、准确、完整告知处理者信息;
2. 是否以清单形式列明收集信息及处理方式;
3. 处理方式是否对个人权益影响最小;
4. 是否明确保存期限及到期处理方式;
5. 是否明确个人行权途径。

告知义务审查:6项

1. 是否以显著方式清晰告知处理规则;
2. 告知文本是否便于阅读;
3. 线下告知是否多途径履行;
4. 在线告知是否提供文本或适当方式;
5. 规则变更是否及时告知;
6. 是否符合免告知例外情形。

共同处理审查:4项

1. 是否约定权利义务;
2. 是否建立权益保护机制;
3. 是否建立安全事件报告机制;
4. 是否约定其他法定权利义务。

委托处理审查:3项

1. 是否开展影响评估;
2. 合同是否约定目的、期限、方式等;
3. 是否监督受托方处理活动。

转移个人信息审查:1项

因合并、重组、分立等原因转移个人信息时,是否告知接收方信息。

对外提供个人信息审查:3项

1. 是否取得单独同意;
2. 是否履行必要的告知义务,包括告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类;
3. 是否事前进行影响评估。

自动化决策审查:7项

1. 决策透明性及结果公平性;
2. 是否告知决策影响;
3. 是否进行影响评估;
4. 是否提供拒绝机制及说明等权利保障;
5. 是否提供非个性化选项;
6. 是否防止不合理差别待遇;

7.其他可能影响自动化决策的透明度和结果公平、公正的事项。

公开信息审查:2项

1. 是否取得单独同意且无强迫;
2. 是否进行影响评估。

公共场所设备审查:3项

1. 是否出于公共安全必需,是否处于商业目的;
2. 是否设置显著标识;
3. 非公共用途是否取得单独同意。

十一

已公开信息处理审查:5项

1.是否避免发送无关商业信息;

2. 网络暴力或虚假谣言等侵害网络信息内容安全行为;

3. 违规处理个人明确拒绝的已公开的个人信息;

4. 对个人权益有重大影响,未取得个人同意

超范围处理等违法违规行为。

十二

敏感个人信息审查:7项

1. 是否取得单独同意(含未成年人监护人同意);
2. 处理目的/方式是否合法必要;
3. 是否进行影响评估;
4. 是否履行额外的处理敏感个人信息的必要性以及对个人权益的影响的告知义务

6. 是否遵守书面同意规则

7. 是否遵守法定限制。

十三

未成年人信息审查:3项

1. 是否制定专门规则;
2. 是否履行告知义务;
3. 是否强制同意非必要信息。

十四

跨境提供审查:5项

1. 关键设施运营者是否通过安全评估;
2. 其他处理者【关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供100万人以上个人信息(不含敏感个人信息)或者1万人以上敏感个人信息】是否国家网信部门组织的安全评估;
3. 其他处理者【关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息)或者不满1万人敏感个人信息的】是否认证或经主管机关备案;
4. 向外国司法或者执法机构提供存储于中华人民共和国境内个人信息情形的,是否经过主管机关批准;

5. 避免向受限方提供。

十五

删除权保障审查:6项

是否在目的达成、停止提供产品或注销账号、期限届满、撤回同意等情形下删除或停止处理。

十六

个人信息主体行权保障审查:3项

1. 是否建立便捷行权机制;
2. 是否及时响应申请;
3. 拒绝请求时是否说明理由。

十七

个人信息处理规则解释审查:2项
1. 是否提供便捷解释途径;
2. 是否在合理时间内通俗解释。

十八

内部制度及操作规程审查:11项

方针、架构、分类、应急机制、影响评估制度、投诉流程、权限管理、培训计划等是否符合规定。

1.个人信息保护工作的方针、目标、原则是否符合法律、行政法规规定;

2.个人信息保护组织架构、人员配备、行为规范、管理责任是否与应当履行的个人信息保护责任相适应;

3.是否根据个人信息的种类、来源、敏感程度、用途等,对个人信息进行分类;

4.是否建立个人信息安全事件应急响应机制;

5.是否建立个人信息保护影响评估制度、合规审计制度;

6.是否建立畅通的个人信息保护投诉举报受理流程;

7.是否合理制定个人信息处理操作权限;

8.是否制定实施个人信息保护安全教育和培训计划;

9.是否建立个人信息保护负责人及相关人员履职评价制度;

10.是否建立个人信息违法处理责任制度;

11.法律、行政法规规定的其他事项。

十九

技术措施审查:3项

是否采取加密、去标识化等措施保障保密性、完整性、可用性。

二十

教育培训审查:2项

培训计划内容、对象、频率是否满足保护需求,是否进行考核。

二十一

负责人履职审查:5项

负责人资质、职责权限、纠正措施、联系方式公开等是否符合要求。

二十二

影响评估审查:4项

是否在重大处理前评估合法性、必要性、对权益的影响和安全风险及保护措施有效性。

二十三

应急预案审查:3项

预案是否全面、有效、可执行,是否定期演练。

二十四

应急响应审查:3项

是否及时查明事件原因、通报保护部门、降低危害风险。

二十五

平台规则审查((重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者):3项

1. 条款的合法性,是否与法律抵触;
2. 条款的有效性,是否合理界定权利义务;
3. 条款的执行,是否有效执行。

二十六

社会责任报告审查(重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者):8项

是否披露组织架构、能力建设、措施成效、行权受理、重大事件处理等法定内容。

 

作者:梁艳芬律师、许瑞凤律师

声明:本文仅代表作者观点,不构成法律意见。具体问题请咨询专业人士。