個人信息保護合規(guī)審計重磅解讀（二）——個人信息保護合規(guī)審計的開展

文接上期“引用上一期的鏈接”，在明確了個人信息保護合規(guī)審計的背景后，本次為大家?guī)韨€人信息保護合規(guī)審計的開展。

1. 規(guī)劃審計流程和了解審計權(quán)限

個人信息保護合規(guī)審計的審計規(guī)劃：

1) 明確審計目標與審計對象：與管理層進行溝通明確審計目標，明確審計工作重點。根據(jù)審計目標選定合適的審計對象（業(yè)務(wù)場景、應(yīng)用形態(tài)、處理環(huán)節(jié)等），初步摸排合規(guī)情況。

2) 制定審計計劃組建團隊：初步調(diào)研審計對象，制定審計計劃，組建相關(guān)部門團隊開展審計工作。

3) 執(zhí)行審計工作：綜合采用訪談、文件審閱、系統(tǒng)調(diào)用等多種手段梳理個人信息處理活動，識別相關(guān)法律法規(guī)規(guī)定，依據(jù)法律法規(guī)規(guī)定進行評價。

4) 編制與出具審計報告：撰寫審計報告，與利益相關(guān)方溝通確認審計報告內(nèi)容，出具審計報告，對審計報告進行解讀。

5) 制定整改計劃并實施：就審計工作發(fā)現(xiàn)的問題確定處置方案，制定整改計劃并實施。

個人信息保護合規(guī)審計的審計權(quán)限：

? 要求提供或者協(xié)助查閱相關(guān)文件或資料

? 進入個人信息處理活動相關(guān)場所

? 觀察場所內(nèi)發(fā)生的個人信息處理活動

? 調(diào)查相關(guān)業(yè)務(wù)活動及所依賴的信息系統(tǒng)

? 檢查、測試個人信息處理活動相關(guān)設(shè)備設(shè)施

? 調(diào)取、查閱個人信息處理活動相關(guān)數(shù)據(jù)或信息

? 訪談與個人信息處理活動有關(guān)的人員

? 就相關(guān)問題進行調(diào)查、質(zhì)詢和取證

? 其他開展合規(guī)審計工作所必需的權(quán)限

綜合運用多種手段，***、準確了解個人信息處理活動開展情況，確保審計結(jié)論客觀、公正。

2. 理解個人信息概念

原文參考：

《個人信息保護法》

第四條 個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息。

第五條 處理個人信息應(yīng)當遵循合法、正當、必要和誠信原則，不得通過誤導、**、脅迫等方式處理個人信息。

個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等。

參考《GB/T 35273—2020 信息安全技術(shù) 個人信息安全規(guī)范》附錄 A 個人信息舉例

個人信息是指以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然人活動情況的各種信息,如姓名、出生日期、身份證件號碼、個人生物識別信息、住址、通信

通訊聯(lián)系方式、通信記錄和內(nèi)容、賬號密碼、財產(chǎn)信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息等。判定某項信息是否屬于個人信息,應(yīng)考慮以下兩條路徑:一是識別,即從信息到個人,由信息本身的特殊性識別出特定自然人,個人信息應(yīng)有助于識別出特定個人。二是關(guān)聯(lián),即從個人到信息,如已知特定自然人,由該特定自然人在其活動中產(chǎn)生的信息(如個人位置信息、個人通話記錄、個人瀏覽記錄等)即為個人信息。符合上述兩種情形之一的信息,均應(yīng)判定為個人信息。

表A.1給出了個人信息舉例。

參考《GB/T 35273—2020 信息安全技術(shù) 個人信息安全規(guī)范》附錄 B 個人敏感信息舉例

個人敏感信息是指一旦泄露、非法提供或濫用可能危害人身和財產(chǎn)安全,極易導致個人名譽、身心健康受到損害或歧視性待遇等的個人信息。通常情況下,14歲以下(含)兒童的個人信息和涉及自然人

隱私的信息屬于個人敏感信息。可從以下角度判定是否屬于個人敏感信息:泄露:個人信息一旦泄露,將導致個人信息主體及收集,使用個人信息的組織和機構(gòu)喪失對個人信息的控制能力,造成個人信息擴散范圍和用途的不可控。某些個人信息在泄漏后,被以違背個人信息主體意愿的方式直接使用或與其他信息進行關(guān)聯(lián)分析,可能對個人信息主體權(quán)益帶來重大風險,應(yīng)判定為個人敏感信息。例如,個人信息主體的身份證復印件被他人用于手機號卡實名登記、銀行賬戶開戶辦卡等。

非法提供:某些個人信息*因在個人信息主體授權(quán)同意范圍外擴散,即可對個人信息主體權(quán)益帶來

重大風險,應(yīng)判定為個人敏感信息。例如,性取向、存款信息、傳染病史等。濫用:某些個人信息在被超出授權(quán)合理界限時使用(如變更處理目的,擴大處理范圍等),可能對個人信息主體權(quán)益帶來重大風險,應(yīng)判定為個人敏感信息。例如,在未取得個人信息主體授權(quán)時,將健康信息用于保險公司營銷和確定個體保費高低。

表B.1給出了個人敏感信息舉例。

表B.1 個人敏感信息舉例

理解個人信息全生命周期：

繪制個人信息流轉(zhuǎn)圖：

個人信息的全生命周期包括：采集、傳輸、使用、存儲、對外提供、刪除/銷毀。

3. 明確審計要點

個人信息保護合規(guī)審計的審計要點可以分為五點：

1） 個人信息合規(guī)管理：制度流程、組織機構(gòu)、分類分級、安全事件應(yīng)急響應(yīng)、投訴處理、個人信息影響評估、合規(guī)審計。

2） 個人信息處理環(huán)節(jié)：個人信息收集、個人信息存儲、個人信息傳輸、個人信息使用和加工、個人信息共享、個人信息公開、個人信息刪除。

3） 個人信息安全技術(shù)：加密措施、去標識化、權(quán)限控制、日志記錄、身份鑒別、異常檢測、安全審計。

4） 個人信息保護合規(guī)義務(wù)：基本原則、告知同意、保護義務(wù)、主體權(quán)力、個人信息處理、敏感個人信息保護、大型網(wǎng)絡(luò)平臺

5） 信息調(diào)研：信息處理者情況、業(yè)務(wù)情況、信息系統(tǒng)情況、信息處理活動情況、安全防護措施

4. 組建審計團隊和梳理審計內(nèi)容

組建審計團隊，確立職責分工：

安言咨詢作為專業(yè)機構(gòu)牽頭，管理層***參與審計工作，正式啟動前通過項目啟動會等方式介紹各參與部門的職責與分工。

業(yè)務(wù)部門：了解業(yè)務(wù)性質(zhì)

產(chǎn)品部門：熟悉產(chǎn)品功能、表單信息收集情況

研發(fā)部門：技術(shù)架構(gòu)、自動化手段字段獲取情況

**門：安全措施、安全制度

法務(wù)與合規(guī)部門：合規(guī)措施、協(xié)議文本、內(nèi)控措施

能力要求：按照人員能力和經(jīng)驗不同， 個人信息保護合規(guī)審計人員可分為高級、 中級、 初級三個級別。 個人信息處理者自行開展合規(guī)審計的， 其審計人員也應(yīng)具備個人信息保護合規(guī)審計人員能力， 滿足以下要求。

? 處理超過 1000 萬人個人信息的個人信息處理者開展個人信息保護合規(guī)審計， 應(yīng)至少具備 10 名個人信息保護合規(guī)審計人員，其中具備高級個人信息保護合規(guī)審計人員能力的人員不少于1人、 具備中級個人信息保護合規(guī)審計人員能力的人員不少于 3人；

? 處理超過 100 萬、 不超過 1000 萬人個人信息的個人信息處理者開展個人信息保護合規(guī)審計， 應(yīng)至少具備 5 名個人信息保護合規(guī)審計人員， 其中具備中級以上個人信息保護合規(guī)審計人員能力的人員不少于 2 人。

***梳理個人信息處理活動相關(guān)的事實：

個人信息處理者的基本情況：

? 特殊主體（CIIO、超大平臺等）

? 處理個人信息規(guī)模

? 業(yè)務(wù)的性質(zhì)（特殊資質(zhì)）

個人信息的類型：

? 一般個人信息與敏感個人信息

? 特殊個人信息（人臉識別信息、兒童個人信息、醫(yī)療健康信息）

? 特殊主體的個人信息（未成年人、弱勢群體等）

個人信息處理活動環(huán)節(jié)：

? 收集、存儲、對外傳輸、境外傳輸、刪除、自動化決策、公開等

個人信息保護合規(guī)機制：

? 個人信息保護負責人制度、個保影響評估制度、個人信息主體權(quán)利響應(yīng)制度、應(yīng)急響應(yīng)機制等（是否具備、是否符合要求、落實情況、控制有效性）

個人信息保護安全措施：

? 界面去標識化展示、敏感操作審批、訪問權(quán)限控制、日志記錄等

5. 審計人員能力要求

審計人員按照能力維度從專業(yè)知識域法規(guī)理解、合規(guī)審計專業(yè)能力、溝通與協(xié)調(diào)和報告與文檔四個方面來劃分，分為初級合規(guī)審計人員、中級合規(guī)審計人員和高級合規(guī)審計人員。

初級合規(guī)審計人員：

? 專業(yè)知識與法規(guī)理解

- 了解**法律、法規(guī)、標準及本標準，熟悉基本概念和要求

- 能在指導下識別常見業(yè)務(wù)場景合規(guī)風險點

? 合規(guī)審計專業(yè)能力

- 工作經(jīng)驗：從事個人信息保護工作≥2 年

- 工作內(nèi)容：在指導下協(xié)助完成數(shù)據(jù)收集、文件審查等審計任務(wù)；識別高風險環(huán)節(jié)和合規(guī)問題；記錄基礎(chǔ)信息、協(xié)助整理審計證據(jù)

? 溝通與協(xié)調(diào)

- 具備基本溝通能力，能與團隊有效協(xié)作，完成分配任務(wù)

? 報告與文檔

- 協(xié)助整理審計底稿，記錄基礎(chǔ)數(shù)據(jù)信息

- 在指導下完成部分審計報告內(nèi)容撰寫，確保信息準確

中級合規(guī)審計人員：

? 專業(yè)知識與法規(guī)理解

- 熟練掌握**法律、法規(guī)、標準及本標準，能準確判斷常見業(yè)務(wù)場景合規(guī)性，進行合規(guī)差距分析

- 能在指導下識別常見業(yè)務(wù)場景合規(guī)風險點

? 合規(guī)審計專業(yè)能力

- 工作經(jīng)驗：從事個人信息保護工作≥3 年

- 工作內(nèi)容：**執(zhí)行審計任務(wù)，按方案完成工作；近 3 年作為主要成員完成≥5 個超千萬人信息處理項目，或作為負責人完成≥5 個百萬-千萬人信息處理項目；初步分析問題并提出整改建議；具備一定項目管理能力

? 溝通與協(xié)調(diào)

- 具備良好溝通能力，能與審計對象業(yè)務(wù)部門、技術(shù)團隊有效溝通訪談獲取證據(jù)；協(xié)助高級人員協(xié)調(diào)溝通

? 報告與文檔

- 能撰寫審計底稿和初步審計報告，清晰記錄過程和發(fā)現(xiàn)

- 具備一定文檔管理能力，確保資料規(guī)范完整

高級合規(guī)審計人員：

? 專業(yè)知識與法規(guī)理解

- ***掌握**法律、法規(guī)、標準及本標準，能準確判斷常見業(yè)務(wù)場景合規(guī)性，進行合規(guī)差距分析

- 能準確解讀復雜法律條款，結(jié)合具體業(yè)務(wù)場景**分析判斷合規(guī)性

? 合規(guī)審計專業(yè)能力

- 工作經(jīng)驗：從事個人信息保護工作≥4 年

- 工作內(nèi)容：**設(shè)計優(yōu)化審計流程、制定***方案；近 3 年作為負責人完成≥5 個超千萬人信息處理項目；深入分析復雜業(yè)務(wù)場景，提出前瞻性、可操作性建議；熟練掌握審計方法，精細識別風險

? 溝通與協(xié)調(diào)

- 具備出色跨部門溝通能力，能與審計對象高層、各團隊有效溝通，推動審計落地；能**機構(gòu)協(xié)調(diào)解決審計異議

? 報告與文檔

-（基于高級職責延伸）能主導編制***、專業(yè)的審計報告，涵蓋復雜問題分析及系統(tǒng)性建議（注：原文未單獨列舉，結(jié)合高級定位補充）

6. 明確審計目標和審計對象

明確審計目標和審計對象需結(jié)合業(yè)務(wù)實際，強調(diào)風險導向，有序覆蓋審計要點。

了解審計的背景，明確審計目標，可以參考以下內(nèi)容作為審計目標的出發(fā)點：

? 過往發(fā)生過類似的投訴、處罰與輿情事件

? 主要的業(yè)務(wù)與產(chǎn)品

? 近期完成個保合規(guī)工作，驗證合規(guī)措施有效性

? 通過個保審計推動個保合規(guī)工作開展

? 通過個保審計項目***梳理業(yè)務(wù)與個人信息處理現(xiàn)狀（打破部門信息墻）

? 提升合規(guī)意識，加強部門合作

審計對象的選取維度可以從業(yè)務(wù)場景、主體類型、處理環(huán)節(jié)、信息類型、應(yīng)用形態(tài)、制度等方面出發(fā)。

? 業(yè)務(wù)場景：網(wǎng)絡(luò)支付、本地生活、網(wǎng)絡(luò)購物等

? 主體類型：消費者（C端）、員工、供應(yīng)商、注冊用戶、會員用戶等

? 處理環(huán)節(jié)：收集、使用、加工、存儲、對外提供、刪除、自動化決策

? 信息類型：個人信息、敏感個人信息、人臉信息等

? 應(yīng)用形態(tài)：網(wǎng)頁、APP、小程序、SDK、柜臺、電話、客服

? 制度：個人信息保護影響評估制度、個人信息主體權(quán)利響應(yīng)制度等

? 其它

風險因素也是值得考量的的要點之一：

? 個人信息處理活動的特點

? 法律、行政法規(guī)的規(guī)定（法律責任、責任類型）

? 執(zhí)法情況（頻次、力度、對業(yè)務(wù)的潛在影響）

? 同行整體水平

? 新聞輿情

? 過往風險事件

? 對個人信息主體權(quán)益的影響程度

7. 審計依據(jù)

原文參考：

《個人信息保護合規(guī)審計管理辦法》

第二條:在中華人民共和國境內(nèi)開展個人信息保護合規(guī)審計，適用本辦法。

本辦法所稱個人信息保護合規(guī)審計，是指對個人信息處理者的個人信息處理活動是否遵守法律、行政法規(guī)的情況進行審查和評價的監(jiān)督活動。

因此，個人信息保護合規(guī)審計的依據(jù)是國家法律、行政法規(guī)、部門規(guī)章、規(guī)范性文件、國家標準等，如《個人信息保護法網(wǎng)絡(luò)安全法》《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》等有關(guān)法律法規(guī)中關(guān)于個人信息保護的有關(guān)規(guī)定。

8. 風險與后果

企業(yè)不開展個人信息保護合規(guī)審計相較以往將面臨更大的風險。

具體來說，審計的范圍要求是覆蓋企業(yè)全場景，因此隱藏的風險項較多，發(fā)生安全事件的概率加大；另外，如果不開展自檢，一旦觸發(fā)監(jiān)管審計，這對于企業(yè)來講是一場“生死賽跑”。

行業(yè)典例

p 隱私政策不合規(guī)

38% 企業(yè)因隱私政策不合規(guī)被通報(2025 年Q1數(shù)據(jù))主要問題包括模糊的授權(quán)條款和缺乏明確的用戶權(quán)利說明。

p 過度收集信息

某銀行 APP 因過度收集用戶信息被罰比較高249 萬元，涉及收集非必要生物識別信息和未明示使用目的等問題。

p 標準化工具缺失

審計實施缺乏標準化工具與流程，導致審計質(zhì)量參差不齊，60% 企業(yè)表示缺乏有效的審計方法指導。

p 整改跟蹤困難

45%建?審計問題閉環(huán)機制，導致同類問題反復出現(xiàn)。