超实用！个人信息处理活动的合规审计“避坑”要点（附脑图）

《办法》旨在为个人信息处理者开展个人信息保护合规审计提供系统性、针对性、可操作性的规范，提升个人信息处理活动合法合规水平，保护个人信息权益。

速看！个人信息保护合规审计新规，5月1日起正式实施，《办法》旨在为个人信息处理者开展个人信息保护合规审计提供系统性、针对性、可操作性的规范，提升个人信息处理活动合法合规水平，保护个人信息权益。个人信息保护合规审计的指引，旨在帮助个人信息处理者确保其处理个人信息的活动符合《中华人民共和国个人信息保护法》和《网络数据安全管理条例》等相关法律法规。

个人信息处理活动的合法性基础

1. 基于个人同意的处理

个人同意的获取：处理个人信息时，必须取得个人同意，且该同意应在充分知情的前提下自愿、明确作出。
变更同意：若处理目的、方式或种类变更，需重新取得个人同意。
单独同意：某些情况下需取得个人单独同意或书面同意。
无需同意的情形：处理个人信息未取得同意时，需符合法律规定的无需同意的情形。

2. 法律规定的无需同意情形：处理个人信息未取得同意时，需符合法律、行政法规规定的无需取得个人同意的情形。

个人信息处理规则的合规审计

个人信息处理规则的告知：个人信息处理者应真实、准确、完整地告知个人信息处理者的名称、联系方式等信息。应以清单等形式列明所收集的个人信息及其处理方式和种类。
个人信息的保存期限：应明确个人信息的保存期限或确定方法，并在到期后进行处理。保存期限应为实现处理目的所必要的最短时间。

个人信息处理者履行告知义务

告知方式：个人信息处理者应在处理前以显著方式、清晰易懂的语言告知个人信息处理规则。告知文本的大小、字体和颜色应便于个人完整阅读。
变更告知：个人信息处理规则变更时，应及时告知个人。若处理个人信息不需要告知，需符合法律规定的保密或无需告知的情形。

共同处理个人信息

权利义务约定：个人信息处理者与其他处理者共同处理个人信息时，应约定各自的权利和义务。需建立个人信息权益保护机制和安全事件报告机制。

委托处理个人信息

影响评估：委托处理前，个人信息处理者应开展个人信息保护影响评估。与受托人签订的合同应明确处理目的、期限、方式、个人信息的种类、保护措施及双方权利义务。
监督检查：个人信息处理者应采取定期检查等方式监督受托人的处理活动。

个人信息转移

告知接收方信息：个人信息处理者在需要转移个人信息时，应向个人告知接收方的名称和联系方式。

提供个人信息

取得同意：提供个人信息前，需取得个人的单独同意。应向个人告知接收方的相关信息和处理目的。
影响评估：在提供个人信息前，应进行个人信息保护影响评估。

自动化决策处理个人信息

透明度和公平性：自动化决策的透明度及结果是否公平、公正。应事前告知个人自动化决策的种类及可能带来的影响。
用户保障机制：应提供便捷方式让用户拒绝自动化决策。防止根据消费者偏好、交易习惯等实行不合理差别待遇。

公开个人信息

取得同意：公开个人信息前，需取得个人单独同意。公开前应进行个人信息保护影响评估。

图像收集和身份识别设备

合法性审查：安装图像收集、身份识别设备是否为维护公共安全所必需。是否设置显著提示标识。
个人同意：用于非公共安全用途时，需取得个人单独同意。

已公开个人信息处理

合法性审查：不得向已公开个人信息发送无关商业信息。不得利用已公开个人信息从事网络暴力等活动。

敏感个人信息处理

单独同意：处理敏感个人信息前，需取得个人单独同意。处理不满十四周岁未成年人信息前，需取得监护人同意。
合法性审查：处理目的、方式、范围应合法、正当、必要。需向个人告知处理的必要性及影响。

不满十四周岁未成年人个人信息处理

规则制定：需制定专门的个人信息处理规则。
告知义务：需向未成年人及其监护人告知处理目的、方式等信息。

向境外提供个人信息

安全评估：关键信息基础设施需经过国家网信部门的安全评估。其他数据处理者需符合国家网信部门的规定。
批准和备案：向外国司法或执法机构提供个人信息需经主管机关批准。需向省级网信部门备案或符合其他规定。

个人信息删除权保障

删除条件：处理目的已实现或无法实现时，应删除个人信息。保存期限届满时应删除个人信息。
技术难以实现：若删除技术上难以实现，应停止除存储和必要安全措施外的处理。

保障个人权利

权利行使机制：需建立便捷的申请受理和处理机制。
及时响应：应及时响应个人行使权利的申请，并告知处理意见或执行结果。

解释说明个人信息处理规则

提供解释途径：需提供便捷的方式接受、处理个人关于个人信息处理规则的解释要求。
合理时间解释：应在合理时间内使用通俗易懂的语言作出解释说明。

内部管理制度和操作规程

制定内部管理制度：需制定内部管理制度和操作规程，明确组织架构、岗位职责等。
审查内容：是否符合法律、行政法规规定；是否建立个人信息安全事件应急响应机制；是否建立畅通的投诉举报受理流程。

安全技术措施

技术措施有效性：需采取相应安全技术措施确保个人信息的保密性、完整性和可用性。
加密和去标识化：需采取加密、去标识化等措施降低个人信息的可识别性。

教育培训计划

培训计划：需按计划对管理人员、技术人员、操作人员开展安全教育和培训。
考核：需对相关人员的个人信息保护意识和技能进行考核。

个人信息保护负责人履职情况

负责人资格：个人信息保护负责人应具有相关的工作经历和专业知识。
职责和权限：个人信息保护负责人应有明确的职责和充分的权限。

个人信息保护影响评估

评估开展情况：需在具有重大影响的个人信息处理活动前进行评估。
评估内容：需对处理目的、方式的合法性、对个人权益的影响及安全风险进行评估。

个人信息安全事件应急预案

应急预案评价：需对应急预案的全面性、有效性、可执行性作出评价。
风险评估：需对面临的个人信息安全风险进行系统评估和预测。

个人信息安全事件应急响应处置

及时查明事件：需及时查明事件的影响、范围和可能造成的危害。
通报渠道：需建立通报渠道，及时通知保护部门和个人。

平台规则合规审计

平台规则合规性：平台规则不得与法律、行政法规相抵触。
执行情况：需通过抽样等方式验证平台规则的执行情况。

个人信息保护社会责任报告

报告披露内容：需披露个人信息保护组织架构和内部管理情况、个人信息保护能力建设情况、个人信息保护措施和成效、个人行使权利的申请受理情况、独立监督机构履职情况、重大个人信息安全事件处理情况、促进个人信息保护社会共治的科普宣传、公益活动情况等。

热点关注问题

问1：在个人信息处理者与其他个人信息处理者共同处理个人信息时，除了约定各自的权利义务外，还需要关注哪些具体的合规要求？

答：在个人信息处理者与其他个人信息处理者共同处理个人信息时，除了约定各自的权利义务外，还需关注以下合规要求：

个人信息权益保护机制：共同处理个人信息的各方应建立有效的个人信息权益保护机制，确保个人信息的安全和隐私不被侵犯。
个人信息安全事件报告机制：各方应建立安全事件报告机制，明确在发生安全事件时的报告流程和责任分工，确保及时响应和处理。
法律、行政法规规定的其他权利和义务：各方应遵守法律、行政法规规定的其他权利和义务，确保处理活动符合相关法律法规的要求。

问2：在个人信息处理者委托处理个人信息时，如何确保受托人遵守个人信息保护的相关规定？

答：在个人信息处理者委托处理个人信息时，确保受托人遵守个人信息保护的相关规定可以通过以下措施：

开展个人信息保护影响评估：在委托处理前，个人信息处理者应进行个人信息保护影响评估，确保委托处理不会增加个人信息泄露或滥用的风险。
明确合同条款：个人信息处理者与受托人签订的合同中应明确处理目的、期限、方式、个人信息的种类、保护措施以及双方的权利义务。合同中应包括对受托人处理活动的监督和违约责任的条款。
定期监督检查：个人信息处理者应采取定期检查、审计等方式，监督受托人的个人信息处理活动，确保其遵守合同约定和相关法律法规。
终止合作机制：合同中应设定在受托人违反规定时的终止合作机制，确保个人信息处理者能够及时采取措施保护个人信息。

问3：在处理已公开的个人信息时，个人信息处理者需要避免哪些违法违规行为？

答：在处理已公开的个人信息时，个人信息处理者需要避免以下违法违规行为：