個(gè)人信息保護(hù)合規(guī)審計(jì)重磅解讀（二）——個(gè)人信息保護(hù)合規(guī)審計(jì)的開展

文接上期“引用上一期的鏈接”，在明確了個(gè)人信息保護(hù)合規(guī)審計(jì)的背景后，本次為大家?guī)韨€(gè)人信息保護(hù)合規(guī)審計(jì)的開展。

1. 規(guī)劃審計(jì)流程和了解審計(jì)權(quán)限

個(gè)人信息保護(hù)合規(guī)審計(jì)的審計(jì)規(guī)劃：

1) 明確審計(jì)目標(biāo)與審計(jì)對象：與管理層進(jìn)行溝通明確審計(jì)目標(biāo)，明確審計(jì)工作重點(diǎn)。根據(jù)審計(jì)目標(biāo)選定合適的審計(jì)對象（業(yè)務(wù)場景、應(yīng)用形態(tài)、處理環(huán)節(jié)等），初步摸排合規(guī)情況。

2) 制定審計(jì)計(jì)劃組建團(tuán)隊(duì)：初步調(diào)研審計(jì)對象，制定審計(jì)計(jì)劃，組建相關(guān)部門團(tuán)隊(duì)開展審計(jì)工作。

3) 執(zhí)行審計(jì)工作：綜合采用訪談、文件審閱、系統(tǒng)調(diào)用等多種手段梳理個(gè)人信息處理活動(dòng)，識別相關(guān)法律法規(guī)規(guī)定，依據(jù)法律法規(guī)規(guī)定進(jìn)行評價(jià)。

4) 編制與出具審計(jì)報(bào)告：撰寫審計(jì)報(bào)告，與利益相關(guān)方溝通確認(rèn)審計(jì)報(bào)告內(nèi)容，出具審計(jì)報(bào)告，對審計(jì)報(bào)告進(jìn)行解讀。

5) 制定整改計(jì)劃并實(shí)施：就審計(jì)工作發(fā)現(xiàn)的問題確定處置方案，制定整改計(jì)劃并實(shí)施。

個(gè)人信息保護(hù)合規(guī)審計(jì)的審計(jì)權(quán)限：

? 要求提供或者協(xié)助查閱相關(guān)文件或資料

? 進(jìn)入個(gè)人信息處理活動(dòng)相關(guān)場所

? 觀察場所內(nèi)發(fā)生的個(gè)人信息處理活動(dòng)

? 調(diào)查相關(guān)業(yè)務(wù)活動(dòng)及所依賴的信息系統(tǒng)

? 檢查、測試個(gè)人信息處理活動(dòng)相關(guān)設(shè)備設(shè)施

? 調(diào)取、查閱個(gè)人信息處理活動(dòng)相關(guān)數(shù)據(jù)或信息

? 訪談與個(gè)人信息處理活動(dòng)有關(guān)的人員

? 就相關(guān)問題進(jìn)行調(diào)查、質(zhì)詢和取證

? 其他開展合規(guī)審計(jì)工作所必需的權(quán)限

綜合運(yùn)用多種手段，***、準(zhǔn)確了解個(gè)人信息處理活動(dòng)開展情況，確保審計(jì)結(jié)論客觀、公正。

2. 理解個(gè)人信息概念

原文參考：

《個(gè)人信息保護(hù)法》

第四條 個(gè)人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息。

第五條 處理個(gè)人信息應(yīng)當(dāng)遵循合法、正當(dāng)、必要和誠信原則，不得通過誤導(dǎo)、**、脅迫等方式處理個(gè)人信息。

個(gè)人信息的處理包括個(gè)人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等。

參考《GB/T 35273—2020 信息安全技術(shù) 個(gè)人信息安全規(guī)范》附錄 A 個(gè)人信息舉例

個(gè)人信息是指以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然人活動(dòng)情況的各種信息,如姓名、出生日期、身份證件號碼、個(gè)人生物識別信息、住址、通信

通訊聯(lián)系方式、通信記錄和內(nèi)容、賬號密碼、財(cái)產(chǎn)信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息等。判定某項(xiàng)信息是否屬于個(gè)人信息,應(yīng)考慮以下兩條路徑:一是識別,即從信息到個(gè)人,由信息本身的特殊性識別出特定自然人,個(gè)人信息應(yīng)有助于識別出特定個(gè)人。二是關(guān)聯(lián),即從個(gè)人到信息,如已知特定自然人,由該特定自然人在其活動(dòng)中產(chǎn)生的信息(如個(gè)人位置信息、個(gè)人通話記錄、個(gè)人瀏覽記錄等)即為個(gè)人信息。符合上述兩種情形之一的信息,均應(yīng)判定為個(gè)人信息。

表A.1給出了個(gè)人信息舉例。

參考《GB/T 35273—2020 信息安全技術(shù) 個(gè)人信息安全規(guī)范》附錄 B 個(gè)人敏感信息舉例

個(gè)人敏感信息是指一旦泄露、非法提供或?yàn)E用可能危害人身和財(cái)產(chǎn)安全,極易導(dǎo)致個(gè)人名譽(yù)、身心健康受到損害或歧視性待遇等的個(gè)人信息。通常情況下,14歲以下(含)兒童的個(gè)人信息和涉及自然人

隱私的信息屬于個(gè)人敏感信息?？蓮囊韵陆嵌扰卸ㄊ欠駥儆趥€(gè)人敏感信息:泄露:個(gè)人信息一旦泄露,將導(dǎo)致個(gè)人信息主體及收集,使用個(gè)人信息的組織和機(jī)構(gòu)喪失對個(gè)人信息的控制能力,造成個(gè)人信息擴(kuò)散范圍和用途的不可控。某些個(gè)人信息在泄漏后,被以違背個(gè)人信息主體意愿的方式直接使用或與其他信息進(jìn)行關(guān)聯(lián)分析,可能對個(gè)人信息主體權(quán)益帶來重大風(fēng)險(xiǎn),應(yīng)判定為個(gè)人敏感信息。例如,個(gè)人信息主體的身份證復(fù)印件被他人用于手機(jī)號卡實(shí)名登記、銀行賬戶開戶辦卡等。

非法提供:某些個(gè)人信息*因在個(gè)人信息主體授權(quán)同意范圍外擴(kuò)散,即可對個(gè)人信息主體權(quán)益帶來

重大風(fēng)險(xiǎn),應(yīng)判定為個(gè)人敏感信息。例如,性取向、存款信息、傳染病史等。濫用:某些個(gè)人信息在被超出授權(quán)合理界限時(shí)使用(如變更處理目的,擴(kuò)大處理范圍等),可能對個(gè)人信息主體權(quán)益帶來重大風(fēng)險(xiǎn),應(yīng)判定為個(gè)人敏感信息。例如,在未取得個(gè)人信息主體授權(quán)時(shí),將健康信息用于保險(xiǎn)公司營銷和確定個(gè)體保費(fèi)高低。

表B.1給出了個(gè)人敏感信息舉例。

表B.1 個(gè)人敏感信息舉例

理解個(gè)人信息全生命周期：

繪制個(gè)人信息流轉(zhuǎn)圖：

個(gè)人信息的全生命周期包括：采集、傳輸、使用、存儲、對外提供、刪除/銷毀。

3. 明確審計(jì)要點(diǎn)

個(gè)人信息保護(hù)合規(guī)審計(jì)的審計(jì)要點(diǎn)可以分為五點(diǎn)：

1） 個(gè)人信息合規(guī)管理：制度流程、組織機(jī)構(gòu)、分類分級、安全事件應(yīng)急響應(yīng)、投訴處理、個(gè)人信息影響評估、合規(guī)審計(jì)。

2） 個(gè)人信息處理環(huán)節(jié)：個(gè)人信息收集、個(gè)人信息存儲、個(gè)人信息傳輸、個(gè)人信息使用和加工、個(gè)人信息共享、個(gè)人信息公開、個(gè)人信息刪除。

3） 個(gè)人信息安全技術(shù)：加密措施、去標(biāo)識化、權(quán)限控制、日志記錄、身份鑒別、異常檢測、安全審計(jì)。

4） 個(gè)人信息保護(hù)合規(guī)義務(wù)：基本原則、告知同意、保護(hù)義務(wù)、主體權(quán)力、個(gè)人信息處理、敏感個(gè)人信息保護(hù)、大型網(wǎng)絡(luò)平臺

5） 信息調(diào)研：信息處理者情況、業(yè)務(wù)情況、信息系統(tǒng)情況、信息處理活動(dòng)情況、安全防護(hù)措施

4. 組建審計(jì)團(tuán)隊(duì)和梳理審計(jì)內(nèi)容

組建審計(jì)團(tuán)隊(duì)，確立職責(zé)分工：

安言咨詢作為專業(yè)機(jī)構(gòu)牽頭，管理層***參與審計(jì)工作，正式啟動(dòng)前通過項(xiàng)目啟動(dòng)會等方式介紹各參與部門的職責(zé)與分工。

業(yè)務(wù)部門：了解業(yè)務(wù)性質(zhì)

產(chǎn)品部門：熟悉產(chǎn)品功能、表單信息收集情況

研發(fā)部門：技術(shù)架構(gòu)、自動(dòng)化手段字段獲取情況

**門：安全措施、安全制度

法務(wù)與合規(guī)部門：合規(guī)措施、協(xié)議文本、內(nèi)控措施

能力要求：按照人員能力和經(jīng)驗(yàn)不同， 個(gè)人信息保護(hù)合規(guī)審計(jì)人員可分為高級、 中級、 初級三個(gè)級別。 個(gè)人信息處理者自行開展合規(guī)審計(jì)的， 其審計(jì)人員也應(yīng)具備個(gè)人信息保護(hù)合規(guī)審計(jì)人員能力， 滿足以下要求。

? 處理超過 1000 萬人個(gè)人信息的個(gè)人信息處理者開展個(gè)人信息保護(hù)合規(guī)審計(jì)， 應(yīng)至少具備 10 名個(gè)人信息保護(hù)合規(guī)審計(jì)人員，其中具備高級個(gè)人信息保護(hù)合規(guī)審計(jì)人員能力的人員不少于1人、 具備中級個(gè)人信息保護(hù)合規(guī)審計(jì)人員能力的人員不少于 3人；

? 處理超過 100 萬、 不超過 1000 萬人個(gè)人信息的個(gè)人信息處理者開展個(gè)人信息保護(hù)合規(guī)審計(jì)， 應(yīng)至少具備 5 名個(gè)人信息保護(hù)合規(guī)審計(jì)人員， 其中具備中級以上個(gè)人信息保護(hù)合規(guī)審計(jì)人員能力的人員不少于 2 人。

***梳理個(gè)人信息處理活動(dòng)相關(guān)的事實(shí)：

個(gè)人信息處理者的基本情況：

? 特殊主體（CIIO、超大平臺等）

? 處理個(gè)人信息規(guī)模

? 業(yè)務(wù)的性質(zhì)（特殊資質(zhì)）

個(gè)人信息的類型：

? 一般個(gè)人信息與敏感個(gè)人信息

? 特殊個(gè)人信息（人臉識別信息、兒童個(gè)人信息、醫(yī)療健康信息）

? 特殊主體的個(gè)人信息（未成年人、弱勢群體等）

個(gè)人信息處理活動(dòng)環(huán)節(jié)：

? 收集、存儲、對外傳輸、境外傳輸、刪除、自動(dòng)化決策、公開等

個(gè)人信息保護(hù)合規(guī)機(jī)制：

? 個(gè)人信息保護(hù)負(fù)責(zé)人制度、個(gè)保影響評估制度、個(gè)人信息主體權(quán)利響應(yīng)制度、應(yīng)急響應(yīng)機(jī)制等（是否具備、是否符合要求、落實(shí)情況、控制有效性）

個(gè)人信息保護(hù)安全措施：

? 界面去標(biāo)識化展示、敏感操作審批、訪問權(quán)限控制、日志記錄等

5. 審計(jì)人員能力要求

審計(jì)人員按照能力維度從專業(yè)知識域法規(guī)理解、合規(guī)審計(jì)專業(yè)能力、溝通與協(xié)調(diào)和報(bào)告與文檔四個(gè)方面來劃分，分為初級合規(guī)審計(jì)人員、中級合規(guī)審計(jì)人員和高級合規(guī)審計(jì)人員。

初級合規(guī)審計(jì)人員：

? 專業(yè)知識與法規(guī)理解

- 了解**法律、法規(guī)、標(biāo)準(zhǔn)及本標(biāo)準(zhǔn)，熟悉基本概念和要求

- 能在指導(dǎo)下識別常見業(yè)務(wù)場景合規(guī)風(fēng)險(xiǎn)點(diǎn)

? 合規(guī)審計(jì)專業(yè)能力

- 工作經(jīng)驗(yàn)：從事個(gè)人信息保護(hù)工作≥2 年

- 工作內(nèi)容：在指導(dǎo)下協(xié)助完成數(shù)據(jù)收集、文件審查等審計(jì)任務(wù)；識別高風(fēng)險(xiǎn)環(huán)節(jié)和合規(guī)問題；記錄基礎(chǔ)信息、協(xié)助整理審計(jì)證據(jù)

? 溝通與協(xié)調(diào)

- 具備基本溝通能力，能與團(tuán)隊(duì)有效協(xié)作，完成分配任務(wù)

? 報(bào)告與文檔

- 協(xié)助整理審計(jì)底稿，記錄基礎(chǔ)數(shù)據(jù)信息

- 在指導(dǎo)下完成部分審計(jì)報(bào)告內(nèi)容撰寫，確保信息準(zhǔn)確

中級合規(guī)審計(jì)人員：

? 專業(yè)知識與法規(guī)理解

- 熟練掌握**法律、法規(guī)、標(biāo)準(zhǔn)及本標(biāo)準(zhǔn)，能準(zhǔn)確判斷常見業(yè)務(wù)場景合規(guī)性，進(jìn)行合規(guī)差距分析

- 能在指導(dǎo)下識別常見業(yè)務(wù)場景合規(guī)風(fēng)險(xiǎn)點(diǎn)

? 合規(guī)審計(jì)專業(yè)能力

- 工作經(jīng)驗(yàn)：從事個(gè)人信息保護(hù)工作≥3 年

- 工作內(nèi)容：**執(zhí)行審計(jì)任務(wù)，按方案完成工作；近 3 年作為主要成員完成≥5 個(gè)超千萬人信息處理項(xiàng)目，或作為負(fù)責(zé)人完成≥5 個(gè)百萬-千萬人信息處理項(xiàng)目；初步分析問題并提出整改建議；具備一定項(xiàng)目管理能力

? 溝通與協(xié)調(diào)

- 具備良好溝通能力，能與審計(jì)對象業(yè)務(wù)部門、技術(shù)團(tuán)隊(duì)有效溝通訪談獲取證據(jù)；協(xié)助高級人員協(xié)調(diào)溝通

? 報(bào)告與文檔

- 能撰寫審計(jì)底稿和初步審計(jì)報(bào)告，清晰記錄過程和發(fā)現(xiàn)

- 具備一定文檔管理能力，確保資料規(guī)范完整

高級合規(guī)審計(jì)人員：

? 專業(yè)知識與法規(guī)理解

- ***掌握**法律、法規(guī)、標(biāo)準(zhǔn)及本標(biāo)準(zhǔn)，能準(zhǔn)確判斷常見業(yè)務(wù)場景合規(guī)性，進(jìn)行合規(guī)差距分析

- 能準(zhǔn)確解讀復(fù)雜法律條款，結(jié)合具體業(yè)務(wù)場景**分析判斷合規(guī)性

? 合規(guī)審計(jì)專業(yè)能力

- 工作經(jīng)驗(yàn)：從事個(gè)人信息保護(hù)工作≥4 年

- 工作內(nèi)容：**設(shè)計(jì)優(yōu)化審計(jì)流程、制定***方案；近 3 年作為負(fù)責(zé)人完成≥5 個(gè)超千萬人信息處理項(xiàng)目；深入分析復(fù)雜業(yè)務(wù)場景，提出前瞻性、可操作性建議；熟練掌握審計(jì)方法，精細(xì)識別風(fēng)險(xiǎn)

? 溝通與協(xié)調(diào)

- 具備出色跨部門溝通能力，能與審計(jì)對象高層、各團(tuán)隊(duì)有效溝通，推動(dòng)審計(jì)落地；能**機(jī)構(gòu)協(xié)調(diào)解決審計(jì)異議

? 報(bào)告與文檔

-（基于高級職責(zé)延伸）能主導(dǎo)編制***、專業(yè)的審計(jì)報(bào)告，涵蓋復(fù)雜問題分析及系統(tǒng)性建議（注：原文未單獨(dú)列舉，結(jié)合高級定位補(bǔ)充）

6. 明確審計(jì)目標(biāo)和審計(jì)對象

明確審計(jì)目標(biāo)和審計(jì)對象需結(jié)合業(yè)務(wù)實(shí)際，強(qiáng)調(diào)風(fēng)險(xiǎn)導(dǎo)向，有序覆蓋審計(jì)要點(diǎn)。

了解審計(jì)的背景，明確審計(jì)目標(biāo)，可以參考以下內(nèi)容作為審計(jì)目標(biāo)的出發(fā)點(diǎn)：

? 過往發(fā)生過類似的投訴、處罰與輿情事件

? 主要的業(yè)務(wù)與產(chǎn)品

? 近期完成個(gè)保合規(guī)工作，驗(yàn)證合規(guī)措施有效性

? 通過個(gè)保審計(jì)推動(dòng)個(gè)保合規(guī)工作開展

? 通過個(gè)保審計(jì)項(xiàng)目***梳理業(yè)務(wù)與個(gè)人信息處理現(xiàn)狀（打破部門信息墻）

? 提升合規(guī)意識，加強(qiáng)部門合作

審計(jì)對象的選取維度可以從業(yè)務(wù)場景、主體類型、處理環(huán)節(jié)、信息類型、應(yīng)用形態(tài)、制度等方面出發(fā)。

? 業(yè)務(wù)場景：網(wǎng)絡(luò)支付、本地生活、網(wǎng)絡(luò)購物等

? 主體類型：消費(fèi)者（C端）、員工、供應(yīng)商、注冊用戶、會員用戶等

? 處理環(huán)節(jié)：收集、使用、加工、存儲、對外提供、刪除、自動(dòng)化決策

? 信息類型：個(gè)人信息、敏感個(gè)人信息、人臉信息等

? 應(yīng)用形態(tài)：網(wǎng)頁、APP、小程序、SDK、柜臺、電話、客服

? 制度：個(gè)人信息保護(hù)影響評估制度、個(gè)人信息主體權(quán)利響應(yīng)制度等

? 其它

風(fēng)險(xiǎn)因素也是值得考量的的要點(diǎn)之一：

? 個(gè)人信息處理活動(dòng)的特點(diǎn)

? 法律、行政法規(guī)的規(guī)定（法律責(zé)任、責(zé)任類型）

? 執(zhí)法情況（頻次、力度、對業(yè)務(wù)的潛在影響）

? 同行整體水平

? 新聞輿情

? 過往風(fēng)險(xiǎn)事件

? 對個(gè)人信息主體權(quán)益的影響程度

7. 審計(jì)依據(jù)

原文參考：

《個(gè)人信息保護(hù)合規(guī)審計(jì)管理辦法》

第二條:在中華人民共和國境內(nèi)開展個(gè)人信息保護(hù)合規(guī)審計(jì)，適用本辦法。

本辦法所稱個(gè)人信息保護(hù)合規(guī)審計(jì)，是指對個(gè)人信息處理者的個(gè)人信息處理活動(dòng)是否遵守法律、行政法規(guī)的情況進(jìn)行審查和評價(jià)的監(jiān)督活動(dòng)。

因此，個(gè)人信息保護(hù)合規(guī)審計(jì)的依據(jù)是國家法律、行政法規(guī)、部門規(guī)章、規(guī)范性文件、國家標(biāo)準(zhǔn)等，如《個(gè)人信息保護(hù)法網(wǎng)絡(luò)安全法》《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》等有關(guān)法律法規(guī)中關(guān)于個(gè)人信息保護(hù)的有關(guān)規(guī)定。

8. 風(fēng)險(xiǎn)與后果

企業(yè)不開展個(gè)人信息保護(hù)合規(guī)審計(jì)相較以往將面臨更大的風(fēng)險(xiǎn)。

具體來說，審計(jì)的范圍要求是覆蓋企業(yè)全場景，因此隱藏的風(fēng)險(xiǎn)項(xiàng)較多，發(fā)生安全事件的概率加大；另外，如果不開展自檢，一旦觸發(fā)監(jiān)管審計(jì)，這對于企業(yè)來講是一場“生死賽跑”。

行業(yè)典例

p 隱私政策不合規(guī)

38% 企業(yè)因隱私政策不合規(guī)被通報(bào)(2025 年Q1數(shù)據(jù))主要問題包括模糊的授權(quán)條款和缺乏明確的用戶權(quán)利說明。

p 過度收集信息

某銀行 APP 因過度收集用戶信息被罰比較高249 萬元，涉及收集非必要生物識別信息和未明示使用目的等問題。

p 標(biāo)準(zhǔn)化工具缺失

審計(jì)實(shí)施缺乏標(biāo)準(zhǔn)化工具與流程，導(dǎo)致審計(jì)質(zhì)量參差不齊，60% 企業(yè)表示缺乏有效的審計(jì)方法指導(dǎo)。

p 整改跟蹤困難

45%建?審計(jì)問題閉環(huán)機(jī)制，導(dǎo)致同類問題反復(fù)出現(xiàn)。