指南针炒股软件教程-今日股市买哪个赚得多-【东方资本】,普通人炒股开户哪个好,怎么配资加杠杆的股票,线上股票配资炒股平台有哪些

提交需求
*
*

*
*
*
立即提交
點擊”立即提交”,表明我理解并同意 《美創科技隱私條款》

logo

    產品與服務
    解決方案
    技術支持
    合作發展
    關于美創
    申請試用
      《數據安全技術 個人信息保護合規審計要求(征求意見稿)》解讀:企業如何應對個人信息保護合規審計?(下)
      發布時間:2024-07-25 閱讀次數: 2025 次
      三、個人信息保護合規審計的新增內容提示

      根據《審計要求》的相關規定,個人信息保護合規審計通常包括審計準備、審計實施、審計報告、問題整改、歸檔管理等階段。附錄A給出了個人信息保護合規審計參考流程,旨在引導個人信息處理者科學合理地開展個人信息保護合規審計工作,有助于企業健全信息保護管理制度、完善信息保護安全技術措施、強化信息安全監督管控的審計目標,助力企業開展持續、全面和深入的信息保護合規審計工作。以下針對《審計要求》較之《審計辦法》中新增的部分內容,進行重點提示。


      (一)關注個人信息處理必要性的合規審計

      《個人信息保護法》規定個人信息處理者處理個人信息應當遵循合法、正當、必要和誠信原則,具有明確、合理的目的,采取對個人權益影響最小的方式。收集個人信息時應限于實現處理目的的最小范圍。

      《審計要求》附錄C.2詳細列舉了個人信息處理必要性合規審計的審計內容、審計證據及其方法,進一步補充了《審計辦法》中必要性合規審計的規定,對個人信息處理必要性的合規審查提供了具體的操作指引。

      《審計要求》規定的審計內容主要為處理個人信息的目的、采取的信息處理方式、信息收集的范圍以及信息處理的同意和撤回。個人信息處理者應參照《審計要求》所列舉的審計證據和審計方法,查驗自身個人信息處理活動的必要性,主要包括以下要點:

      第一,個人信息處理者應查驗處理個人信息的目的是否明確且合理。包括評估隱私政策中聲明的數據處理目的,以及相關業務活動中實際處理個人信息的具體情況。例如,通過抽查個人信息存儲記錄與上傳記錄,可以驗證存儲或收集的數據種類是否僅限于實現聲明的業務目的所必需的信息。

      第二,個人信息處理者應對處理個人信息流程進行全面查驗,確認個人信息的收集、使用、存儲等是否采取了對個人權益影響最小的方式,可以通過查驗業務邏輯、數據流圖等個人信息處理的相關流程說明來審查信息處理活動。

      第三,個人信息處理者還需關注個人信息主體的自主權,即是否取得信息主體的明確同意、處理非必要信息時是否進行了充分、明確的通知,并在信息主體拒絕同意的情況下,是否能夠繼續提供基本的業務功能等。


      (二)關注未成年人個人信息保護合規審計

      《未成年人網絡保護條例》第37條規定了個人信息處理者應當自行或者委托專業機構每年對其處理未成年人個人信息遵守法律、行政法規的情況進行合規審計?!秾徲嬕蟆穼Υ诉M一步細化規定了具體合規審計流程,附錄C.16至C.22列舉了未成年人個人信息合規審計內容及方法,主要包括以下要點:

      第一,個人信息處理者應確保已制定專門針對未成年人的個人信息處理規則并發布,核驗自身有關未成年人個人信息處理規則執行情況,是否具體涵蓋了未成年人信息的收集、存儲、使用、轉移及刪除等方面的具體措施。

      第二,核驗告知同意機制的有效性和執行情況,包括檢查告知文案的透明度和可理解性以及同意的記錄是否齊全。

      第三,提供網絡直播服務的個人信息處理者,應建立嚴格的網絡直播發布者身份核驗機制,特別是確認發布者是否為未成年人,注重身份核驗機制的具體實施效果,確保不符合條件的未成年人不被允許發布直播內容。

      第四,確保未成年人及其監護人能便捷地行使查閱、復制、更正、刪除等權利,權利的行使是否受到不合理的限制或條件,以及相關申請是否得到及時處理。

      第五,個人信息處理者應制定未成年人個人信息安全事件應急響應處置預案及采取補救措施,留存個人信息安全事件應急響應處置制度、個人信息安全事件應急響應處置記錄等。

      此外,個人信息處理者還應注重未成年人的私密信息保護,制定未成年私密信息保護制度及未成年人私密信息審查機制。


      (三)依據審計證據檢查文檔準備情況

      個人信息處理活動中過程記錄與文檔留存是合規審計工作的證據基礎。如前所述,《審計要求》附錄B、C明確了審計證據類型及對應的證據材料,包括個人信息保護管理和政策相關文檔、人員相關文檔、溝通機制及記錄、技術及安全措施記錄等證據類型。包括以下要點:

      第一,個人信息處理者應根據審計內容明確審計的具體范圍,了解哪些類型的文檔必須留存,以及如何保證作為審計證據的文檔的有效性。

      第二,收集審計證據中明確列舉的證據材料,包括但不限于隱私政策、用戶協議、操作記錄、安全措施文檔,以及歷史審計報告等,并且按照材料的類型和日期進行歸類留存。

      第三,個人信息處理者還應當對留存的文檔進行完整性和真實性審查,查驗當前的記錄是否符合實際操作、有無時間斷層等。個人信息處理者可參考《審計要求》中涉及的審計證據材料,核查自身個人信息處理活動記錄留存的全面性。

      《審計要求》中涉及的審計證據材料梳理詳見下表。

      圖片


      綜上,為了切實推進和落實個人信息保護合規審計工作,企業應當提前做好應對策略,厘清自身的業務流程和應用場景,梳理個人信息保護制度體系是否已經建設完成,逐一對照、細化審計事項,向審計人員提供與個人信息保護制度相匹配、能夠證明處理個人信息活動合法合規,具有相關性、有效性、真實性、完整性的審計證據。

      作者簡介:

      朱蕓陽,現任北京清律律師事務所主任。清華大學法學博士,哈佛大學東亞法律研究中心訪問學者。兼任中國法學會網絡與信息法學研究會理事、中國法學會商法學研究會理事、中國法學會證券法學研究會理事、中國商業法研究會理事等。曾擔任中央民族大學法學院副教授、碩士生導師。


      來源:數據安全共同體計劃

      上一條:專家談 | 中國信通院魏薇:數據安全是數據要素價值釋放的重要前提
      下一條:《數據安全技術 個人信息保護合規審計要求(征求意見稿)》解讀:企業如何應對個人信息保護合規審計?(上)
      免費試用
      服務熱線

      馬上咨詢

      400-811-3777

      回到頂部