背景及概述
回想一下,你下载、注册和使用的社交软件、网购平台、金融、教育、医疗等绝大多数APP功能时,提交过多少个人信息?又通过了多少隐私授权?而在大量真实的个人信息被收集后,被存放在哪里?又在被什么人以何种方式使用?多年来,这些问题对于广大普通用户而言几乎成为一个公开的“秘密”——会不会遇到真正的危机,全凭运气高低...一方面,平台收集个人信息难以被用户明确感知;另一方面,对所收集个人信息的使用也处于“黑盒子”状态,这两个特点造成的结果是个人(包括消费者组织)难以对个人信息处理者进行有效监督,即传统的主动检举揭发的模式难以充分发挥作用。比如2018年脸书及剑桥分析公司数据泄露事件,是由于媒体调查爆料,而不是用户的主动举报才得以曝光。由于个人信息的规模和复杂性使得其安全治理变得非常困难,平台出于商业目的等,可能将数据交由第三方进行研究或分析,导致数据被滥用或不当使用,出现“大数据杀熟”或“算法歧视”,或者为了吸引用户粘性,制造“信息茧房”,束缚用户可接触的信息范围。
适用情形和具体要求
对于触发“不定期强制审计”的情况,参照上图所示流程,《办法》规定一般在90个工作日内完成,个人信息处理者应在专业机构开展合规审计时予以协助配合,包括提供或者协助查阅相关文件或资料、协助进入个人信息处理活动相关场所,调查、测试相关业务活动及所依赖的信息系统与相关设备设施,调取、查阅个人信息处理活动相关数据或信息,访谈与个人信息处理活动有关的人员,配合专业机构的调查、质询和取证等开展合规审计工作必需的权限。
合规审计要点
②参考《个保法》第三章内容,对个人信息出境活动所选择的合规路径、基于司法要求或条约协定的个人信息出境、为保障境外接收方处理个人信息的活动达到《个保法》规定标准所采取的措施等要求提出了审计要点。
③参考《个保法》第四章内容,对个人信息权利申请受理以及个人信息主体所享有的查阅、复制、转移、更正、补充、删除、要求对个人信息处理规则解释说明等权利保障要求提出了审计要点。
④《个保法》第五章内容,对个人信息处理者主体责任、管理措施、技术措施、人员培训、个保负责人、个人信息保护影响评估、个人信息安全应急等要求提出了审计要点。
⑤《个保法》第58条内容,对个人信息保护独立监督机构、互联网平台规则、平台内的产品或者服务提供者监督、个人信息保护社会责任报告等方面提出了审计要点。
工具设计思路
个保合规审计的核心内容包括个人信息权益保障和个人信息处理者基本义务两方面(具体内容参见下表)。
|
|
处理个人信息合法性基础,个人信息处理规则,处理告知,敏感信息处理,共同处理、委托、提供等情况下个人权益保障,公开与收集,删除权和可携带权,跨境提供及境外接收要求,未成年人保障和个人信息权益保障,自动化决策。 |
|
|
主体责任,管理制度,对应技术措施,制定信息处理负责人建立教育培训机制,影响范围评估,应急预案、应急响应、处置机制,社会责任报告。 |
总结及展望
现代社会个人信息的合理使用毋庸置疑给我们带来非常多的好处,比如:汽车需要越来越多的个人数据以使其变得更聪明,自动驾驶汽车变得越“聪明”,对于汽车用户来说就越便利;电商企业收集与利用个人信息为消费者推荐一般商品时,个性化推荐总体上为个人提供更符合个性化偏好的产品也具有一定的合理性;搜索引擎和社交平类企业实际上为用户提供了免费服务,应当允许网络平台对于个人信息的合理商业化使用;电子病历记录患者的就诊过程,名医的电子病历更是代表着高效和准确的行医经验,也是科学研究和临床教学的需要。个人信息保护合规审计一定要考虑到行业特性和场景化特点,采用自动化工具提升审计效能,促进个人信息合理利用,督促个人信息处理者规范个人信息处理活动,提升个人信息处理者个人信息保护水平,切实保障个人合法权益。
(本文作者:北京安华金和科技有限公司 谭峻楠)
往期推荐
安华金和荣获国家专精特新“小巨人”称号
原文始发于微信公众号(安华金和):个人信息保护合规审计及工具设计
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论