个人信息保护合规审计参考要点.pdfVIP

个人信息保护合规审计参考要点 第一条 本要点依据 《中华人民共和国个人信息保护法》 等法律、行政法规和国家标准的强制性要求制定，为开展个 人信息保护合规审计提供参考。 第二条 个人信息保护合规审计应当首先审查个人信息 处理活动的合法性基础条件，重点审查下列事项： （一）处理个人信息是否取得个人同意，该同意是否在 个人信息主体充分知情的前提下自愿、明确作出； （二）基于个人同意处理个人信息，个人信息的处理目 的、处理方式和处理的个人信息种类发生变更的，是否重新 取得个人同意； （三）基于个人同意处理个人信息，是否为个人提供便 捷的撤回同意的方式； （四）基于个人同意处理个人信息，是否对个人同意的 操作进行记录； （五）基于个人同意处理个人信息，是否存在以个人不 同意处理其个人信息或者撤回同意为由，拒绝提供产品或者 服务的情况；处理个人信息属于提供产品或者服务所必需的 除外； （六）处理个人信息未取得个人同意，是否属于法律、 行政法规规定不需取得个人同意的情形。 第三条 对个人信息处理规则进行审计时，应当重点审 查下列事项： - 1 - （一）是否真实、准确、完整地告知个人信息处理者的 名称或者姓名和联系方式； （二）是否以清单形式列明所收集的个人信息及其处理 目的、方式、范围； （三）是否明确个人信息存储期限或者存储期限的确定 方法、到期后的处理方式，以及确保存储期限为实现处理目 的所必要的最短时间； （四）是否明确个人查阅、复制、加工、转移、更正、 补充、删除、公开、限制处理个人信息以及注销账号、撤回 同意的途径和方法； （五）向第三方提供个人信息的，是否明确向个人告知 接收方的名称或者姓名、联系方式、处理目的、处理方式和 个人信息的种类，是否取得个人的单独同意； （六）法律、行政法规规定的其他事项。 第四条 个人信息处理者处理个人信息应当履行告知义 务，审计时应当重点审查下列事项： （一）个人信息处理者在处理个人信息前，是否以显著 方式、清晰易懂的语言真实、准确、完整地向个人告知个人 信息处理规则； （二）告知文本的大小、字体和颜色是否便于个人完整 阅读告知事项； （三）线下告知是否通过标注、说明等多种方式向个人 履行告知义务； - 2 - （四）在线告知是否提供文本信息或者通过适当方式向 个人履行告知义务； （五）个人信息处理规则发生变更的，是否将变更内容 及时告知个人。 第五条 个人信息处理者存在与他人共同处理个人信息 情形的，应当重点审查下列事项： （一）是否约定各自的权利义务； （二）各方采取的个人信息保护措施； （三）个人信息权益保护机制； （四）个人信息安全事件报告机制； （五）侵害个人信息权益造成损害的，各方应当承担的 责任； （六）其他法律、行政法规规定需要约定的权利和义务。 第六条 个人信息处理者存在委托处理个人信息情形的， 应当重点审查下列事项： （一）个人信息处理者在委托处理个人信息前，是否开 展个人信息保护影响评估； （二）个人信息处理者与受托人签订的合同，是否约定 了委托处理的目的、期限、方式及个人信息的种类、受托人 应当采取的技术措施和管理措施、双方的权利义务等； （三）个人信息处理者是否采取定期检查等方式，对受 托人的个人信息处理活动进行监督，以确保委托处理个人信 息的活动符合法律规定； - 3 - （四）受托人是否严格按照委托合同的约定处理个人信 息，是否存在超出约定的处理目的、处理方式处理个人信息 的情况； （五）当委托合同不生效、无效、被撤销或者终止时， 受托人是否将个人信息返还个人信息处理者或者予以删除； （六）受托人是否存在转委托他人处理个人信息的情况， 是否得到个人信息处理者的同意。 第七条 个人信息处理者存