分享一下《个人信息保护合规审计管理办法》的附件《个人信息保护合规审计指引》及《个人信息保护合规审计要求》6 个人信息保护合规审计要的摘录。
(1)在《个保法》要求之外,额外/细化的审计要求;
有些审计项没有提及是因为和《个保法》要求基本一致或者基本很好提供证明材料。
1、基于同意处理个人信息时,方需要落实单独同意/书面同意要求。
1、是否以清单等便于查看的形式列明所收集的个人信息及其处理方式和种类(注:《网数条例》要求,将双清单固化)。
2、是否明确个人信息保存期限,或明确保存期限的确定方法,以及到期后的处理方式(注:《网数条例》要求)。
1、线下告知是否通过标注、说明等多种方式向个人履行告知义务。
1、是否事前告知个人自动化决策处理个人信息的种类及可能带来的影响。
2、是否采取了有效措施,防止自动化决策根据消费者的偏好、交易习惯等对个人在交易条件上实行不合理的差别待遇。
1、是否向已公开个人信息中的电子邮箱、手机号等发送与其公开目的无关的商业信息。
2、是否利用已公开的个人信息从事网络暴力、传播网络谣言和虚假信息等活动。
4、是否收集、留存或处理已公开个人信息的规模、时间或使用目的超出合理范围。
1、是否向被列入限制或者禁止个人信息提供清单的组织和个人提供个人信息。
1、是否根据个人信息的种类、来源、敏感程度、用途等,对个人信息进行分类。
5、是否建立个人信息保护负责人及相关人员履职评价制度。
1、是否采取相应安全技术措施实现个人信息的保密性、完整性、可用性。
2、是否采取加密、去标识化等安全技术措施,确保在不借助额外信息的情况下,消除或者降低个人信息的可识别性。
3、采取的安全技术措施能否合理确定有关人员查阅、复制、传输个人信息等的操作权限,减少个人信息在处理过程中未经授权的访问和滥用风险。
1、是否具有明确清晰的职责,是否被赋予充分的权限协调个人信息处理者内部相关部门与人员。
2、在个人信息处理重大事项决策前是否有权提出相关意见和建议。
3、是否有权对个人信息处理者内部个人信息处理的不合规操作进行制止和采取必要的纠正措施。
4、是否公开个人信息保护负责人的联系方式,并将个人信息保护负责人的姓名、联系方式等报送保护部门。
1、是否对相关人员进行应急预案培训,定期对应急预案进行演练。
2、是否按照应急预案、操作规程及时查明个人信息安全事件的影响、范围和可能造成的危害,分析、确定事件发生的原因,提出防止危害扩大的措施方案。
3、是否建立通报渠道,在安全事件发生后按照相关规定及时通知保护部门和个人。
7、促进个人信息保护社会共治的科普宣传、公益活动情况。
2、查验是否具备管理个人信息处理目的、处理方式和处理个人信息种类的机制。
3、查验个人信息处理目的、处理方式和处理个人信息种类发生变更时的审批记录。
4、查验个人信息处理目的、处理方式和处理个人信息种类变更后,个人信息处理规则是否同步修改。
5、抽查重新征得个人同意的实例记录,核验征得个人同意机制能否保证重新取得个人同意。
7、查阅个人信息保护管理制度,是否明确规定处理个人信息不需要取得个人同意的情形,通过查阅相关法律、行政法规、部门规章具体条款、审查内部决策文件等方式核查制度规定的情形是否符合法律、行政法规的要求。
1、验证收集和处理个人信息的方式、种类是否与告知的个人信息收集清单一致。
2、查验处理的个人信息种类、数量和频率是否为实现处理目的所需的最少种类、最少数量和最低频率。
3、查验当个人信息主体撤回同意某项产品或服务处理非必要个人信息后,是否能够继续使用该项产品或服务、短期内重新进入该业务场景是否被再次征求同意。
4、抽查个人信息主体请求相关操作的页面或流程是否可以正常使用。
5、抽查个人信息主体请求相关操作的页面或流程是否可以正常使用,抽查个人信息主体请求相关操作的处理记录,验证是否响应个人请求。
1、查验线下服务合同、纸质版用户手册、说明书等协议,是否通过加注下划线、加粗、高亮等标注和说明方式向个人告知个人信息处理规则及其中的重点内容。
2、查阅个人信息处理规则等说明文件中关于“告知同意的例外”相关内容。
1、协议约定内容是否影响个人向其中任何一个个人信息处理者要求行使个人信息主体权利。
2、查阅合同协议、管理制度是否包含共同处理活动个人信息权益保护机制、安全事件报告机制。
1、验证个人信息保护影响评估及合同文本是否存在错漏或不一致的情况,并核实原因。
2、查阅个人信息保护管理制度,验证是否明确采取定期查验等方式,对受托人的个人信息处理活动进行监督。
1、审查算法设计文档,是否明确了算法输出结果的公正性和一致性要求。
2、查阅个人信息处理规则,验证是否告知自动化决策处理说明,涉及的场景是否完整告知,是否清晰告知个人自动化决策处理个人信息的种类及可能带来的影响。
3、抽查响应用户拒绝自动化决策或进行解释说明的记录,验证机制是否有效。
4、查阅个人信息保护影响评估报告,是否针对自动化决策可能导致个人在交易条件上遭遇不合理的差别待遇进行评估,并根据评估结果采取有效措施,避免出现交易条件上的不合理差别待遇。
1、抽查是否存在与公开目的不符的营销、推广等活动,如向已公开个人信息中的电子邮箱、手机号等发送与其公开目的无关的信息,对个人主体造成直接或间接的打扰行为。
2、查阅个人信息管理制度,审查处理已公开个人信息的规定,确保收集处理信息具备合理的业务需求,禁止用于网络暴力活动、传播网络谣言和虚假信息等活动。
3、查验个人信息保护管理制度,是否明确不应处理个人明确拒绝处理的已公开个人信息。
1、明确存在处理不满十四周岁未成年人个人信息的,查验征得个人同意的机制,以及个人信息处理者与未成年人的父母或其他监护人之间签署的告知同意书、来往邮件等。
2、是否采取不易绕过的方式向未成年人或其监护人告知未成年人个人信息的处理目的、处理方式、处理必要性及处理
3、查验未成年人个人信息处理规则和平台系统,收集个人信息的类型、频率、数量、精度等是否存在强制要求未成年人或者其监护人同意非必要的个人信息处理的行为。
4、查验未成年人或其监护人不同意处理未成年人非必要个人信息时,是否拒绝向未成年人提供产品或服务。
1、查看个人信息删除或匿名化记录或系统日志,查验个人信息处理目的已实现、无法实现或者为实现处理目的不再必要、注销账户、保持期限届满,是否删除或匿名化处理个人信息。
2、查看个人信息删除或匿名化记录或系统日志,查验个人撤回同意时,是否不再继续处理个人信息并删除或匿名化处理个人信息。
3、查验法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,个人信息处理者是否停止除存储和采取必要的安全措施之外的处理。
1、查阅管理程序文档,是否为个人信息对外共享、数据出境、影响评估等重要事项设置管控卡点,进行审核和记录。
2、核查个人信息的访问控制措施,查看业务系统、数据库、审计平台等日志记录和告警信息,查看违规记录和处置记录。
3、查阅数据防护策略等技术文档或方案,是否针对不同等级的数据设置合理的防护措施。
4、查阅个人信息处理者是否采用人工或自动化的方式,核查数据库表字段,以验证数据资产清单内容的准确性。
5、查验有关人员在业务系统、数据库的查阅、复制、传输个人信息的授权审批记录,判断是否存在超出最小必要范围的授权。
6、核查存储个人信息的数据库,抽查验证数据字段内容是否按照要求进行保护,抽查数据表包括的个人信息种类,分析标识或关联标识个人的可能性。
7、抽查管理人员、技术人员、操作人员、全员,了解是否参加培训、测试,测试其是否熟悉单位在个人信息保护方面的规范、要求,是否具备个人信息保护意识与技能。
1、查验大型互联网平台规则的个人信息保护条款,是否合理界定了平台、平台内产品或者服务提供者的个人信息保护权利和义务,是否对平台内经营者处理个人信息行为进行规范,平台内经营者的个人信息保护义务是否明确。
2、查验个人信息保护社会责任报告是否披露独立监督机构履职情况,包括但不限于是否建立独立监督机构、是否具有完整的个人信息保护监督流程、是否就个人信息保护监督做出反馈。
原文始发于微信公众号(数据何规):个保合规审计要点(实体篇)
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/4237019.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论