个保合规审计来了系列02：如何审计个人信息处理的合法性基础？

自2021年《个人信息保护法》第54条和第64条中明确了合规审计要求，个人信息保护合规审计就引起了广泛关注。

2023年8月国家网信办发布的《个人信息保护合规审计管理办法（征求意见稿）》；

2024年7月12日，全国网络安全标准化技术委员会发布了国家标准《数据安全技术 个人信息保护合规审计要求》征求意见稿；

2024年7月25日，中国网络空间安全协会发布由中央网信办数据与技术保障中心负责起草的团体标准《个人信息保护合规审计技术能力及工具要求》征求意见稿；

由此，个人信息保护合规审计的制度箭在弦上，蓄势待发！企业开展个保合规审计的重要性越发凸显。

以下是个人信息处理合法性基础的审计内容和审计方法

1.1  是否做到知情同意？

a)审计内容：处理个人信息是否取得个人同意，该同意是否在个人信息主体充分知情的前提下自愿、明确作出。

b)审计证据：隐私政策、征得个人同意机制说明、取得个人同意的实例记录。

c)审计方法：

1)查验个人信息处理活动是否属于基于个人同意处理个人信息；

2)查阅各渠道隐私政策说明是否充分；

3)查验征得个人同意机制能否保证在处理个人信息前取得个人同意；

4)查验征得个人同意机制中，个人是否自愿、明确的做出同意行为，不存在默认同意、强制同意、欺骗诱导等；

5)抽查取得个人同意的实例记录，核验是否满足上述要求。

1.2 是否取得重新同意？

a)审计内容：基于个人同意处理个人信息，个人信息的处理目的、处理方式和处理的个人信息种类发生变更的，是否重新取得个人同意；

b)审计证据：个人信息处理管理机制、个人信息处理审批记录、隐私政策、重新征得个人同意机制说明、重新取得个人同意的实例记录。

c)审计方法：

1)查验是否具备管理个人信息处理目的、处理方式和处理个人信息种类的机制；

2)查验个人信息处理目的、处理方式和处理个人信息种类发生变更时的审批记录；

3)查验个人信息处理目的、处理方式和处理个人信息种类变更后，相应渠道隐私政策是否同步修改；

4)查验是否具备重新征得个人同意机制，能够在个人信息的处理目的、处理方式、处理的个人信息种类发生变更时重新征得个人同意；

5)抽查重新征得个人同意的实例记录，核验征得个人同意机制能否保证重新取得个人同意。

1.3 是否提供便捷的撤回同意的方式

a)审计内容：基于个人同意处理个人信息，是否为个人提供便捷的撤回同意的方式；

b)审计证据：个人信息处理管理机制、撤回同意的机制说明、撤回同意的记录

c)审计方法：

1)查验个人信息安全检测报告是否涵盖撤回同意部分内容，检测结果是否通过。

2)查验隐私政策是否说明了个人撤回同意的具体事项；

3)查验个人信息主体撤回同意的方式和记录，是否存在撤回同意的入口隐藏过深、明显小号字体、需线下操作、提供额外信息等不便捷形式。

1.4  是否对同意的操作进行记录

a)审计内容：基于个人同意处理个人信息，是否对个人同意的操作进行记录；

b)审计证据：个人同意操作记录

c)审计方法：

1)查验基于个人同意处理个人信息的，是否有个人同意操作记录，包括首次处理个人信息的个人同意记录、处理规则变更后重新取得的同意记录、撤回同意记录。

1.5 是否存在“opt-out(选择退出)”情形？

a)审计内容：基于个人同意处理个人信息，是否存在以个人不同意处理其个人信息或者撤回同意为由，拒绝提供产品或者服务的情况；处理个人信息属于提供产品或者服务所必需的除外；

b)审计证据：个人信息处理管理机制、提供撤回同意的方式和记录，撤回同意后的个人信息处理机制。

c)审计方法：

1)查验个人信息安全检测报告是否涵盖撤回同意部分内容，检测结果是否通过。

2)查验个人信息主体撤回同意的方式和记录。

3)抽查不提供非必要个人信息或撤回同意非必要个人信息，是否能够使用产品或服务。

1.6  是否存在不需要同意的法定情形？

a)审计内容：处理个人信息未取得个人同意，是否属于法律、行政法规规定不需取得个人同意的情形。

b)审计证据：个人信息保护管理制度、隐私政策。

c)审计方法：

1)查阅个人信息保护管理制度，是否明确规定处理个人信息不需要取得个人同意的情形，规定的情形是否符合法律、行政法规要求；

2)查阅各渠道隐私政策，是否明确说明处理个人信息不需要取得个人同意的情形，说明的情形是否符合法律、行政法规要求；

3)抽查个人信息处理活动是否存在未征得个人同意的情况，存在未征得个人同意的，是否属于法律、行政法规规定不需要取得个人同意的情形。

来源：国家标准《数据安全技术 个人信息保护合规审计要求》征求意见稿