隐私安全态势分析平台-嘉佑安科

嘉佑安科

个保合规审计对个人信息处理者（包括但不限于企事业单位、政府机构、社会组织等）的个人信息处理活动是否遵守法律、行政法规的情况进行审查和评价的监督活动。通过审计活动监督个人信息处理活动的合法性、合规性和安全性，防止个人信息被非法收集、使用、加工、传输他人、未经授权的访问以及个人信息泄露、篡改、丢失。

LEGAL BASIS

法律依据

个保合规审计是个人信息处理者的一项法定义务，旨在提高个人信息处理活动的合规水平，保护个人信息权益‌。

《中华人民共和国个人信息保护法》
《网络数据安全管理条例》

第五十四条

第五十四条个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。

第六十四条

第六十四条履行个人信息保护职责的部门在履行职责中，发现个人信息处理活动存在较大风险或者发生个人信息安全事件的，可以按照规定的权限和程序对该个人信息处理者的法定代表人或者主要负责人进行约谈，或者要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。个人信息处理者应当按照要求采取措施，进行整改，消除隐患。

AUDIT SECNARIO

审计场景

定期合规审计

个人信息处理场景

审计频率

开展方式

处理个人信息规模超过1000万

每两年至少开展一次

组织内部开展/委托第三方开展

触发保护部门要求强制审计条件

按保护部门要求开展

委托具有专业资质的机构

专项合规审计

履行个人信息保护职责的部门在履行职责中，发现个人信息处理活动存在较大风险或者发生个人信息安全事件的，可以要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。

AUDIT CONTENT

审计内容

个人信息保护合规审计审查内容

合规原则

合法正当诚信原则
最小必要原则
有限使用原则
知情同意原则
目的特定原则
个人信息保护权益响应原则

基于场景的个人信息处理

企业个人信息治理管理能力

委托处理场景
数据转让场景
第三方共享场景
自动化决策处理场景
公开处理场景
公开采集场景
未成年信息处理场景
数据出境场景
个人用户权益响应场景

组织架构
岗位职责
机制制度
安全技术保护
安全文化建设
安全运营措施

AUDIT SERVICE PROCES

审计服务流程

审计准备
审计准备
组建审计组、开展审前调查
选择审计方式、编制审计方案
明确审计对象与范围
审计实施
审计实施
收集审计证据、撰写审计底稿
沟通确认审计发现及结论
形成审计发现
审计报告
审计报告
建立异议解决机制
撰写并交付审计报告
问题整改
问题整改
督促被审计方整改
跟踪整改结果
归档管理
归档管理
保管个人信息
保护合规审计底稿、报告等
档案资料

AUDIT SERVICE PROCESS

审计目的/价值

保护个人信息主体权益
确保个人信息的收集、存储、使用、加工、传输、提供、公开、删除等各环节都符合法律法规的要求及行业标准，旨在保护个人信息主体的权益和个人信息安全。
确保个人信息的收集、存储、使用、加工、传输、提供、公开、删除等各环节都符合法律法规的要求及行业标准，旨在保护个人信息主体的权益和个人信息安全。
提高合规水平
促使个人信息处理者严格遵守相关法律法规和行业标准，提高个人信息处理活动的合规水平，减少因违规操作而引发的法律风险和经营风险。
促使个人信息处理者严格遵守相关法律法规和行业标准，提高个人信息处理活动的合规水平，减少因违规操作而引发的法律风险和经营风险。
促进制度完善
审计发现的问题和不足，为个人信息保护制度的完善提供重要依据。通过总结经验，不断优化个人信息保护政策和程序，形成更科学合理的制度体系。
审计发现的问题和不足，为个人信息保护制度的完善提供重要依据。通过总结经验，不断优化个人信息保护政策和程序，形成更科学合理的制度体系。
推动行业自律
个人信息保护合规审计的实施，有助于推动行业内各主体加强自律管理，共同维护个人信息处理活动的良好秩序，促进整个行业的健康发展。
个人信息保护合规审计的实施，有助于推动行业内各主体加强自律管理，共同维护个人信息处理活动的良好秩序，促进整个行业的健康发展。
增强公众信任
个人信息保护合规审计的公开透明和严格执行，有助于增强公众对个人信息处理者的信任感，促进数字经济和社会治理的健康发展。
个人信息保护合规审计的公开透明和严格执行，有助于增强公众对个人信息处理者的信任感，促进数字经济和社会治理的健康发展。