2024年7月12日,为明确开展个人信息保护合规审计时应满足的审计原则、总体要求等,规范个人信息处理者开展个人信息保护合规审计的行为,国家标准《数据安全技术 个人信息保护合规审计要求》经编制现已形成征求意见稿。
本标准规定了依据《个人信息保护法》开展个人信息保护合规审计的审计原则、审计总体要求。适用于个人信息处理者内部机构或委托专业机构开展的个人信息保护合规审计工作。个人信息处理者按照履行个人信息保护职责的部门要求委托专业机构对其个人信息处理活动进行合规审计时可作为参考。主要内容包括:
(1)本标准给出了个人信息保护合规审计的审计原则、审计总体要求,针对个人信息处理者以及开展个人信息保护合规审计的审计人员提出了总体要求。
(2)本标准具体落地《个人信息保护法》第五十四条规定的“个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。”为更好得提供落地性指导,本标准附录给出了个人信息保护合规审计流程、个人信息保护合规审计证据、个人信息保护合规审计内容和审计方法、个人信息保护合规审计底稿模板、个人信息保护合规审计报告模板等参考。
(3)本标准附录C个人信息保护合规审计内容和审计方法主要根据中央网信办2023年8月发布的《个人信息保护合规审计管理办法(征求意见稿)》确定审计内容,在此基础上,补充了对收集个人信息最小必要要求的审计内容,和依据《未成年人网络保护条例》补充了针对未成年人个人信息保护的审计内容。针对个人信息出境的内容,则根据《促进和规范数据跨境流动规定》进行了修改。
以下针对征求意见稿全文由生成式 AI 做出的核心解答,仅作为参考,请以原文为准,在文末下载附件。
《个人信息保护合规审计要求》国家标准草案由全国网络安全标准化技术委员会提出并归口。涵盖个人信息保护合规审计的原则、实施要求、流程、技术方法、风险识别、处置、监测、预防等各个方面,为个人信息处理者开展个人信息保护合规审计工作提供参考,也可为相关机构提供参考。
从个人信息处理者的角度来看,主要介绍了个人信息保护合规审计的要求和实施流程:
- 审计原则:个人信息处理者应遵循合法性、独立性、客观性、全面性、公正性和保密性原则进行个人信息保护合规审计。
- 审计实施要求:个人信息处理者应定期开展个人信息保护合规审计,确保审计工作的独立性和有效性,并制定相关管理制度和审计方案。
- 审计证据管理:应提供真实、完整、有效的审计证据,并确保所有记录和日志的原始性和真实性。
- 专业机构权限:在必要时,个人信息处理者应委托专业机构进行合规审计,并确保专业机构能够行使必要的权限。
- 审计人员要求:审计人员应具备专业能力、独立性、客观性、公正性和保密性,并准确记录审计发现和安全问题。
- 审计流程:审计流程包括审计准备、实施、报告、问题整改和归档管理五个阶段。
- 审计依据和方法:审计应依据相关的法律、行政法规进行,采用现场和非现场相结合的方式,并推荐使用电子化审计方式。
- 审计报告:审计完成后,应撰写审计报告,详细记录审计概况、依据、结论、发现、意见和建议。
- 问题整改:应对审计中发现的问题进行整改,并在必要时进行跟踪审计。
- 归档管理:妥善保管审计底稿、报告等档案资料。
- 合规审计内容:详细列出了个人信息处理活动的合法性基础条件、必要性、规则、告知义务等方面的审计内容和方法。
- 特殊情况下的个人信息处理:对于因合并、重组、分立、解散、被宣告破产等原因需要转移个人信息的情况,以及向其他个人信息处理者提供信息等特殊情况,提供了具体的审计内容和要求。
- 自动化决策处理个人信息:对于利用自动化决策处理个人信息的情况,提出了详细的审计内容和要求,包括算法的评估、审查、保护措施等。
- 敏感个人信息处理:对于处理敏感个人信息的情况,提出了更为严格的审计要求,包括取得个人同意、保护影响评估等。
- 向境外提供个人信息:对于向境外提供个人信息的情况,提出了详细的审计内容和要求,包括安全评估、合同签订、认证等。
个人信息处理者应根据这些要求,建立和维护一个有效的个人信息保护合规审计体系,以确保其个人信息处理活动符合法律法规的要求。
Q 个人信息保护合规审计应遵循哪些原则?
个人信息保护合规审计应遵循以下原则:
- a)合法性原则:审计人员应了解并遵守所有适用的法律法规要求,在审计过程中始终遵守审计过程规范;审计活动的流程及人员应遵从相关法律法规;
- b)独立性原则:审计人员应独立于审计活动,与被审计方无利益冲突。对于内部机构自行开展的审计,实施审计的人员应独立于具体被审计的个人信息处理活动;
- c)客观性原则:审计人员收集和记录的审计证据应保证其可信性,应采取科学、透明的方式获得审计证据,应保证审计证据的真实、完整、有效;
- d)全面性原则:审计人员针对审计对象,应进行全面、系统的审计,进行综合、全面、系统的审查,确保证据充分;
- e)公正性原则:审计发现、审计结论和审计报告应真实和准确地反映审计活动;审计人员应报告在审计过程中遇到的重大障碍,以及审计组和被审计方之间没有解决的分歧。沟通必须真实、准确、客观、及时、清楚和完整;
- f)保密性原则:审计人员应遵守保密协议,审慎使用并保护在审计过程获得的信息和数据。
相关原文:[P3][P9][P8][P10]
Q 在个人信息保护合规审计过程中,如何确保审计工作的独立性和有效性?
为了确保个人信息保护合规审计工作的独立性和有效性,可以采取以下措施:
确保审计人员独立性:
- 内部机构审计人员应回避自身负责的业务内容,避免参与被审计对象的日常业务运营和个人信息安全保护工作,确保工作不受被审计对象约束。
- 外部专业机构审计人员应与被审计对象及其工作人员不存在可能影响公正、独立审计结论的利害关系,如亲属关系、利益往来、法律纠纷等。
- 审计人员不应参加可能影响独立履行审计职责的活动,不接受任何可能影响独立性判断的财物。
- 若审计人员产生影响独立性的行为,应立即向审计组提交书面说明,审计组应采取暂时回避或终止其审计工作的措施。
确保审计证据有效性:
- 收集的审计证据应与个人信息合规判断具有相关性,获取方式合法,记录内容真实。
- 审计人员应根据审计对象选择合适的审计方式以获取所需审计证据。
编制和评审审计方案:
- 在开展个人信息保护合规审计项目前,结合审计对象和方式,识别合规要求变更,及时更新补充审计合规要求,编制审计方案。
- 编制项目审计方案时,应借鉴相关法律、行政法规、国家标准和行业规范,考虑个人信息处理关键流程、组织架构、战略目标、保护规划、业务形态、业务流程、技术等相关因素。
保持客观性和公正性:
- 审计人员应保证收集和使用审计证据的可信性、真实性、有效性、完整性,采用合法、科学、透明的方式获取。
- 应依据充分、客观、完整的审计证据出具结论,避免歪曲事实、隐瞒发现、做出误导性或含糊陈述。
- 不参加影响客观判断的活动,不接受影响客观判断的财物。
- 主动、及时向审计组报告审计证据,避免影响整体客观评价。
- 实事求是,做出不带偏见、符合实际的中立判断;遇重大障碍或意见分歧时,及时向审计组提交真实、准确、完整的书面报告。
相关原文:[P8][P16][P11][P10][P3]
Q 个人信息保护合规审计中,审计人员需要具备哪些专业能力和独立性要求?
个人信息保护合规审计中,审计人员需要满足以下专业能力和独立性要求:
专业能力要求:
了解并熟练掌握相关法律、行政法规、监管要求:
- 审计人员应能够准确判断被审计对象个人信息保护措施的合法性、有效性。
熟悉审计流程和方法:
- 应熟悉个人信息保护合规审计流程、审计方法、审计要点及个人信息保护技术措施。
- 能够严格按照审计流程完成审计工作。
具备相关专业能力资质认证:
- 宜具备个人信息保护相关领域专业能力的资质认证。
及时报告影响独立性的行为:
- 如果审计人员产生影响审计独立性行为的,应立即向审计组提交书面说明,审计组应暂时回避或终止其审计工作。
独立性要求:
回避自身负责的业务内容:
- 内部机构审计人员应回避自身负责的业务内容,不应直接参与被审计对象的日常业务运营和个人信息安全保护工作,且其工作不受被审计对象的约束。
避免利害关系:
- 外部专业机构审计人员同被审计对象及其工作人员不得存在亲属关系、利益往来、法律纠纷等可能影响其做出公正、独立审计结论的利害关系。
不参加影响独立性的活动:
- 不应参加可能影响其独立履行审计职责的活动,不应接受任何可能影响其独立性判断的财物。
客观性要求:
- 应保证收集和使用审计证据的可信性、真实性、有效性、完整性,采用合法、科学、透明的方式获取审计证据。
- 依据充分、客观、完整的审计证据出具审计结论,不歪曲事实、不隐瞒审计发现,不做出有误导性或含糊的陈述。
- 不参加可能影响其做出客观判断的活动,不接受任何可能影响其做出客观判断的财物。
- 主动、及时向审计组书面报告所获得的审计证据,避免影响到审计工作整体的客观评价。
公正性要求:
- 实事求是,做出不带偏见的、符合实际的中立判断。
- 在审计过程中遇到重大障碍或审计人员之间产生意见分歧时,应及时向审计组提交真实、准确、完整的书面报告。
- 通过满足上述专业能力和独立性要求,审计人员能够有效地进行个人信息保护合规审计,确保审计结果的客观性和公正性。
相关原文:[P3][P8][P9][P10][P16]
Q 当未成年人或其监护人提出个人信息转移的请求时,应如何处理?相关的管理制度和记录在哪里可以找到?
当未成年人或其监护人提出个人信息转移的请求时,应首先查验相关管理制度,确认是否提供了明确的转移途径。这些管理制度通常可以在个人信息处理者的官方文件中找到。同时,需要检查是否存在未成年人或其监护人行使个人信息转移权的记录。相关的管理制度和记录可以通过以下方式找到:
- 查阅个人信息处理者的相关管理制度文件,了解是否有关于未成年人或其监护人行使个人信息转移权的明确规定;
- 在实际操作中,可以通过拨打客服电话、联系在线客服或个人信息保护负责人/机构,了解具体的转移流程和要求;
- 查看个人信息处理者的系统界面,通常会有指引或说明提供个人信息转移的途径和方法。
相关原文:[P36][P38][P37][P55][P39]
Q 在发生未成年人个人信息安全事件时,应如何启动应急预案并采取补救措施?相关的制度和响应记录包括哪些内容?
a)审计内容:是否立即启动个人信息安全事件应急预案,采取补救措施;
b)审计证据:应急管理制度、应急响应记录;
c)审计方法:
- 1) 查看个人信息处理者的个人信息安全事件应急管理制度,是否包括个人信息安全事件的应急预案,是否明确应急响应原则和策略,是否明确应急管理组织及职责分工,是否明确应急相关人员的协调内容和联系方式;
- 2) 查阅个人信息安全事件应急响应处置记录,个人信息处理者采取了哪些措施将事件可能造成的损失和危害降到最低。
相关原文:[P49][P37][P38][P50]
Q 对于未成年人的个人信息删除权保障,存在哪些情形下需要删除或匿名化处理个人信息?相关的管理制度和记录应如何查验?
根据征求意见稿,需要删除或匿名化处理未成年人个人信息的情形主要包括:
- 未成年人或其监护人行使复制、更正、补充、删除未成年人个人信息的权利时,应受理并处理其申请。
- 未成年人或其监护人撤回统一处理未成年人非必要个人信息时,不得拒绝提供基本功能服务。
查验相关的管理制度和记录可以通过以下方式进行:
- 查验是否通过客服电话、在线客服、个人信息保护负责人/机构联系方式、包含申请处理机制的管理制度等建立个人行使权利的申请受理机制。
- 查阅未成年人个人信息处理规则是否声明未成年人或其监护人查阅未成年人个人信息种类、数量等的方法和途径;通过拨打客服电话、向在线客服申请、联系个人信息保护负责人/机构、查看系统界面等方式,查验是否向个人提供便捷的查阅个人信息的方法。
- 查阅公司留存的未成年人或其监护人行使权利的记录,是否存在限制其行使权利的情况。
- 核查未成年人个人信息的访问控制措施,查看业务系统、数据库、审计平台等日志记录和告警信息,查看违规记录和处置记录。
相关原文:[P36][P37][P55][P16][P39]
Q 处理已公开个人信息时,是否确保了对已公开的个人信息的处理与其公开目的相符,并未向电子邮箱、手机号等发送与其公开目的无关的信息?
处理已公开个人信息时,确实应当确保对这些信息的处理与其原本的公开目的保持一致,并且不得向电子邮箱、手机号等发送与其公开目的无关的信息。这一要求是为了保护个人隐私,防止个人信息被滥用。根据文档中的内容,审计时应当查验以下几点:
- 个人信息处理者是否在处理已公开的个人信息前征得了个人信息主体的同意;
- 是否有机制来判断个人是否明确拒绝其已公开的信息被处理;
- 查阅处理已公开个人信息的情况说明,核查处理记录及流程,确保没有处理个人已拒绝处理的已公开个人信息;
- 抽查处理的已公开个人信息,确认是否存在个人明确拒绝处理的情况。
通过这些审计方法,可以确保个人信息处理者在处理已公开个人信息时,遵守了相关的法律法规,保护了个人权益不受未预期处理的影响。
相关原文:[P55][P38][P31][P16][P26][P40]
Q 当委托合同不生效、无效、被撤销或者终止时,受托人应如何处理个人信息,以确保信息安全?
当委托合同不生效、无效、被撤销或者终止时,受托人应当按照以下方式处理个人信息,以确保信息安全:
- 将个人信息返还给个人信息处理者。
- 或在无法返还的情况下,予以删除。
可参考的审计证据包括沟通记录、往来邮件和系统日志等。
相关原文:[P23][P24][P17][P16][P55]
为确保标准质量,全国网安标委秘书处面向社会广泛征求意见,请将意见于2024年09月11日前反馈给网安标委秘书处。
联系人:王姣 13661025214 wangjiao@cesi.cn
下载附件:
1. 数据安全技术 个人信息保护合规审计要求-标准文本
2. 数据安全技术 个人信息保护合规审计要求-意见汇总处理表
3. 数据安全技术 个人信息保护合规审计要求-编制说明
》公开征求意见-228x171.jpg)
-228x171.jpg)
一条评论