个人信息保护合规审计重磅解读(二)——个人信息保护合规审计的开展

文接上期“引用上一期的链接”,在明确了个人信息保护合规审计的背景后,本次为大家带来个人信息保护合规审计的开展。

1. 规划审计流程和了解审计权限

个人信息保护合规审计的审计规划:

1) 明确审计目标与审计对象:与管理层进行沟通明确审计目标,明确审计工作重点。根据审计目标选定合适的审计对象(业务场景、应用形态、处理环节等),初步摸排合规情况。

2) 制定审计计划组建团队:初步调研审计对象,制定审计计划,组建相关部门团队开展审计工作。

3) 执行审计工作:综合采用访谈、文件审阅、系统调用等多种手段梳理个人信息处理活动,识别相关法律法规规定,依据法律法规规定进行评价。

4) 编制与出具审计报告:撰写审计报告,与利益相关方沟通确认审计报告内容,出具审计报告,对审计报告进行解读。

5) 制定整改计划并实施:就审计工作发现的问题确定处置方案,制定整改计划并实施。

个人信息保护合规审计的审计权限:

o 要求提供或者协助查阅相关文件或资料

o 进入个人信息处理活动相关场所

o 观察场所内发生的个人信息处理活动

o 调查相关业务活动及所依赖的信息系统

o 检查、测试个人信息处理活动相关设备设施

o 调取、查阅个人信息处理活动相关数据或信息

o 访谈与个人信息处理活动有关的人员

o 就相关问题进行调查、质询和取证

o 其他开展合规审计工作所必需的权限

综合运用多种手段,全面、准确了解个人信息处理活动开展情况,确保审计结论客观、公正。

2. 理解个人信息概念

原文参考:

《个人信息保护法》

第四条 个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。

第五条 处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。

个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。

参考《GB/T 35273—2020 信息安全技术 个人信息安全规范》附录A个人信息举例

个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,如姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信

通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。判定某项信息是否属于个人信息,应考虑以下两条路径:一是识别,即从信息到个人,由信息本身的特殊性识别出特定自然人,个人信息应有助于识别出特定个人。二是关联,即从个人到信息,如已知特定自然人,由该特定自然人在其活动中产生的信息(如个人位置信息、个人通话记录、个人浏览记录等)即为个人信息。符合上述两种情形之一的信息,均应判定为个人信息。

表A.1给出了个人信息举例。

参考《GB/T 35273—2020 信息安全技术 个人信息安全规范》附录B个人敏感信息举例

个人敏感信息是指一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。通常情况下,14岁以下(含)儿童的个人信息和涉及自然人

隐私的信息属于个人敏感信息。可从以下角度判定是否属于个人敏感信息:泄露:个人信息一旦泄露,将导致个人信息主体及收集,使用个人信息的组织和机构丧失对个人信息的控制能力,造成个人信息扩散范围和用途的不可控。某些个人信息在泄漏后,被以违背个人信息主体意愿的方式直接使用或与其他信息进行关联分析,可能对个人信息主体权益带来重大风险,应判定为个人敏感信息。例如,个人信息主体的身份证复印件被他人用于手机号卡实名登记、银行账户开户办卡等。

非法提供:某些个人信息仅因在个人信息主体授权同意范围外扩散,即可对个人信息主体权益带来

重大风险,应判定为个人敏感信息。例如,性取向、存款信息、传染病史等。滥用:某些个人信息在被超出授权合理界限时使用(如变更处理目的,扩大处理范围等),可能对个人信息主体权益带来重大风险,应判定为个人敏感信息。例如,在未取得个人信息主体授权时,将健康信息用于保险公司营销和确定个体保费高低。

表B.1给出了个人敏感信息举例。

表B.1个人敏感信息举例

理解个人信息全生命周期:

绘制个人信息流转图:

个人信息的全生命周期包括:采集、传输、使用、存储、对外提供、删除/销毁。

3. 明确审计要点

个人信息保护合规审计的审计要点可以分为五点:

1) 个人信息合规管理:制度流程、组织机构、分类分级、安全事件应急响应、投诉处理、个人信息影响评估、合规审计。

2) 个人信息处理环节:个人信息收集、个人信息存储、个人信息传输、个人信息使用和加工、个人信息共享、个人信息公开、个人信息删除。

3) 个人信息安全技术:加密措施、去标识化、权限控制、日志记录、身份鉴别、异常检测、安全审计。

4) 个人信息保护合规义务:基本原则、告知同意、保护义务、主体权力、个人信息处理、敏感个人信息保护、大型网络平台

5) 信息调研:信息处理者情况、业务情况、信息系统情况、信息处理活动情况、安全防护措施

4. 组建审计团队和梳理审计内容

组建审计团队,确立职责分工:

安言咨询作为专业机构牵头,管理层全面参与审计工作,正式启动前通过项目启动会等方式介绍各参与部门的职责与分工。

业务部门:了解业务性质

产品部门:熟悉产品功能、表单信息收集情况

研发部门:技术架构、自动化手段字段获取情况

安全部门:安全措施、安全制度

法务与合规部门:合规措施、协议文本、内控措施

能力要求:按照人员能力和经验不同,个人信息保护合规审计人员可分为高级、 中级、 初级三个级别。个人信息处理者自行开展合规审计的,其审计人员也应具备个人信息保护合规审计人员能力,满足以下要求。

O 处理超过1000万人个人信息的个人信息处理者开展个人信息保护合规审计,应至少具备10名个人信息保护合规审计人员,其中具备高级个人信息保护合规审计人员能力的人员不少于1人、具备中级个人信息保护合规审计人员能力的人员不少于3人;

O 处理超过100万、不超过1000万人个人信息的个人信息处理者开展个人信息保护合规审计,应至少具备5名个人信息保护合规审计人员,其中具备中级以上个人信息保护合规审计人员能力的人员不少于2人。

全面梳理个人信息处理活动相关的事实:

个人信息处理者的基本情况:

o 特殊主体(CIIO、超大平台等)

o 处理个人信息规模

o 业务的性质(特殊资质)

个人信息的类型:

o 一般个人信息与敏感个人信息

o 特殊个人信息(人脸识别信息、儿童个人信息、医疗健康信息)

o 特殊主体的个人信息(未成年人、弱势群体等)

个人信息处理活动环节:

o 收集、存储、对外传输、境外传输、删除、自动化决策、公开等

个人信息保护合规机制:

o 个人信息保护负责人制度、个保影响评估制度、个人信息主体权利响应制度、应急响应机制等(是否具备、是否符合要求、落实情况、控制有效性)

个人信息保护安全措施:

o 界面去标识化展示、敏感操作审批、访问权限控制、日志记录等

5. 审计人员能力要求

审计人员按照能力维度从专业知识域法规理解、合规审计专业能力、沟通与协调和报告与文档四个方面来划分,分为初级合规审计人员、中级合规审计人员和高级合规审计人员。

初级合规审计人员:

O 专业知识与法规理解

-了解核心法律、法规、标准及本标准,熟悉基本概念和要求

-能在指导下识别常见业务场景合规风险点

O 合规审计专业能力

-工作经验:从事个人信息保护工作≥2年

-工作内容:在指导下协助完成数据收集、文件审查等审计任务;识别高风险环节和合规问题;记录基础信息、协助整理审计证据

O 沟通与协调

-具备基本沟通能力,能与团队有效协作,完成分配任务

O 报告与文档

-协助整理审计底稿,记录基础数据信息

-在指导下完成部分审计报告内容撰写,确保信息准确

中级合规审计人员:

O 专业知识与法规理解

-熟练掌握核心法律、法规、标准及本标准,能准确判断常见业务场景合规性,进行合规差距分析

-能在指导下识别常见业务场景合规风险点

O 合规审计专业能力

-工作经验:从事个人信息保护工作≥3年

-工作内容:独立执行审计任务,按方案完成工作;近3年作为主要成员完成≥5个超千万人信息处理项目,或作为负责人完成≥5个百万-千万人信息处理项目;初步分析问题并提出整改建议;具备一定项目管理能力

O 沟通与协调

-具备良好沟通能力,能与审计对象业务部门、技术团队有效沟通访谈获取证据;协助高级人员协调沟通

O 报告与文档

-能撰写审计底稿和初步审计报告,清晰记录过程和发现

-具备一定文档管理能力,确保资料规范完整

高级合规审计人员:

O 专业知识与法规理解

-全面掌握核心法律、法规、标准及本标准,能准确判断常见业务场景合规性,进行合规差距分析

-能准确解读复杂法律条款,结合具体业务场景独立分析判断合规性

O 合规审计专业能力

-工作经验:从事个人信息保护工作≥4年

-工作内容:独立设计优化审计流程、制定全面方案;近3年作为负责人完成≥5个超千万人信息处理项目;深入分析复杂业务场景,提出前瞻性、可操作性建议;熟练掌握审计方法,精准识别风险

O 沟通与协调

-具备出色跨部门沟通能力,能与审计对象高层、各团队有效沟通,推动审计落地;能代表机构协调解决审计异议

O 报告与文档

-(基于高级职责延伸)能主导编制全面、专业的审计报告,涵盖复杂问题分析及系统性建议(注:原文未单独列举,结合高级定位补充)

6. 明确审计目标和审计对象

明确审计目标和审计对象需结合业务实际,强调风险导向,有序覆盖审计要点。

了解审计的背景,明确审计目标,可以参考以下内容作为审计目标的出发点:

O 过往发生过类似的投诉、处罚与舆情事件

O 主要的业务与产品

O 近期完成个保合规工作,验证合规措施有效性

O 通过个保审计推动个保合规工作开展

O 通过个保审计项目全面梳理业务与个人信息处理现状(打破部门信息墙)

O 提升合规意识,加强部门合作

审计对象的选取维度可以从业务场景、主体类型、处理环节、信息类型、应用形态、制度等方面出发。

O 业务场景:网络支付、本地生活、网络购物等

O 主体类型:消费者(C端)、员工、供应商、注册用户、会员用户等

O 处理环节:收集、使用、加工、存储、对外提供、删除、自动化决策

O 信息类型:个人信息、敏感个人信息、人脸信息等

O 应用形态:网页、APP、小程序、SDK、柜台、电话、客服

O 制度:个人信息保护影响评估制度、个人信息主体权利响应制度等

O 其它

风险因素也是值得考量的的要点之一:

O 个人信息处理活动的特点

O 法律、行政法规的规定(法律责任、责任类型)

O 执法情况(频次、力度、对业务的潜在影响)

O 同行整体水平

O 新闻舆情

O 过往风险事件

O 对个人信息主体权益的影响程度

7. 审计依据

原文参考:

《个人信息保护合规审计管理办法》

第二条:在中华人民共和国境内开展个人信息保护合规审计,适用本办法。

本办法所称个人信息保护合规审计,是指对个人信息处理者的个人信息处理活动是否遵守法律、行政法规的情况进行审查和评价的监督活动。

因此,个人信息保护合规审计的依据是国家法律、行政法规、部门规章、规范性文件、国家标准等,如《个人信息保护法网络安全法》《网络数据安全管理条例》《关键信息基础设施安全保护条例》等有关法律法规中关于个人信息保护的有关规定。

8. 风险与后果

企业不开展个人信息保护合规审计相较以往将面临更大的风险。

具体来说,审计的范围要求是覆盖企业全场景,因此隐藏的风险项较多,发生安全事件的概率加大;另外,如果不开展自检,一旦触发监管审计,这对于企业来讲是一场“生死赛跑”。

行业典例

p 隐私政策不合规

38%企业因隐私政策不合规被通报(2025年Q1数据)主要问题包括模糊的授权条款和缺乏明确的用户权利说明。

p 过度收集信息

某银行APP因过度收集用戶信息被罚最高249万元,涉及收集非必要生物识别信息和未明示使用目的等问题。

p 标准化工具缺失

审计实施缺乏标准化工具与流程,导致审计质量参差不齐,60%企业表示缺乏有效的审计方法指导。

p 整改跟踪困难

45%建立审计问题闭环机制,导致同类问题反复出现。