委托处理个人信息前的合规审计要点：如何进行影响评估与记录保存

东莞莞城律师获悉

1。合规性审核的关键点委托个人信息

（i）在委托处理之前评估个人信息保护的影响

根据《个人信息保护法》第55条，在委托个人信息处理之前，个人信息处理器必须对个人信息保护的影响进行全面，深入评估，并正确保留处理的记录。此预评估过程旨在准确确定潜在的风险，例如数据泄漏，滥用等，并为随后的目标保护措施提供基础。有关网络数据安全管理的法规进一步阐明，必须将这种处理记录保存至少3年才能进行回顾和审查。

进行工作时，审计师必须首先全面整理公司的业务流程，以确保准确识别涉及委托个人信息处理的所有业务方案。然后，检查有关委托处理情况的详细说明，并验证特定的委托情况。对于每种情况，仔细审查了个人信息影响评估记录和保护影响评估报告，重点是评估委托处理的必要性，合法性和合法性，以及受托人的数据安全保证能力，例如数据加密技术，访问权限管理等。例如，电子商务平台，电子商务平台的第三部分货运公司来处理用户交付的第三部分。审计师应检查电子商务平台是否已充分证明了委员会的必要性，评估了物流公司的数据安全功能，并要求他们采取保护措施，例如加密传输和限制员工访问权利。同时，还必须检查处理状态记录是否完??成，涵盖关键要素，例如第三方基本信息，个人信息类型，处理方法，存储时间和地点。

（ii）合同审核委托个人信息处理

个人信息处理器和受托人之间签署的合同是规范双方在个人信息处理活动中的权利和义务的关键基础。合同必须清楚规定委托处理的目的，持续时间和方法，个人信息的类型，要采取的技术和管理措施以及双方的权利和义务。

在审核过程中，审计师必须一一确认审计组织的委托处理情况，并仔细审查合同文本，以确保所有关键内容都有明确的协议。例如，合同应清楚地定义委托处理的目的，例如订单交付；澄清处理期，以避免无限期处理；并根据个人信息处理器的说明来指定处理方法，例如数据存储和传输。此外莞城律师，审核员需要将有关个人信息保护的影响评估报告与合同文本进行比较，以确保两者的内容一致。如果存在差异，则必须对原因进行深入研究。如果评估报告建议加密存储，但合同并不明确要求，审计师应确定原因并敦促纠正。

（iii）监督和审查受托人处理的活动

个人信息处理器建立和改进有效的委托处理监督机制是确保受托人根据法规处理个人信息的关键。通常通过两种方法来实现监督和检查：合同条款结合和第三方合规性审计。

审计师应检查审核组织的个人信息保护管理系统，以确认是否明确规定了诸如定期检查第三方资格和数据处理活动的监督措施。同时，请检查定期检查记录和监督报告，以评估监督工作的实施效果，并确定是否可以及时发现和纠正受托人的违规行为。请特别注意审核组织是否要求受托人进行定期合规性审核并检查审计报告以了解受托人的合规性状态。

在监督和审查过程中，审计师可能要求受托人提供书面说明，评估报告，认证证书或测试报告，以验证他们是否严格按照合同处理个人信息，是否存在任何处理范围之外的情况或尚未实施保护措施的情况。例如，要求受托人提供数据访问日志，以审查他或她是否符合约定权限的访问和处理个人信息。

（iv）委托合同的无效或终止方案

当委托合同无效，无效，被撤销或终止时，受托人应立即将个人信息退还给个人信息处理器或删除该个人信息，并不保留。该规定旨在确保在委托关系终止后仍然可以安全可控制。

审计师可以检查审核组织是否会迅速要求受托人返回或删除个人信息，以及受托人是否通过检查通信记录，电子邮件，系统日志和其他信息有效地履行其相关义务。例如，检查通信记录是否明确要求受托人在指定的时间内删除个人信息，并检查系统日志中是否有删除操作记录。

（v）受托人转移的情况

未经个人信息处理器的同意，受托人严格禁止他人转让他人以处理个人信息，以防止未经授权并增加安全风险的个人信息传播。

审计师应检查审核组织的定期检查记录，受托人的监督报告，以及受托人提供的书面陈述或相关报告，以验证受托人是否已转移了委托以及委托转让是否已授权。例如，检查是否有关于常规检查记录中委托转让的调查和解释，并要求受托人提供尚未转让或已授权的书面陈述。

2。合规性审核点，用于转移由于合并，重组，部门，解散等而引起的个人信息。

（i）将收件人的信息告知个人

当企业因收购，合并，重组，破产等而转移个人信息时，它首先应履行告知个人保护个人知识权的义务东莞莞城律师，以便它可以理解个人信息的下落和收件人的基本状况。

审计师需要检查个人信息保护管理系统，以确认是否明确规定了在上述情况下向个人通知信息的要求。如果有任何信息传输，则应审查通知方法（例如公告，弹出式，电子邮件等）和通知记录，以确保将用户告知个人信息的传输，并且通知内容包括收件人的名称，联系人信息和其他关键信息。例如，在收购公司后，它需要将用户的个人信息转移到收购方。审核员应在转移之前通过官方网站公告，应用程序弹出窗口等检查公司是否通过官方网站公告，应用程序弹出等信息通知用户。

（ii）审核收件人义务的履行

审核员必须确保接收者可以继续履行个人信息处理器的义务，并确保在转移过程中不会损害个人信息的权利和利益。

应咨询接收者的“隐私政策”或其他公开声明，以确认是否明确承诺履行个人信息处理器的义务，例如机密性，安全性等。如果收件人更改了处理的目的或方法，则他或她必须再次获得个人同意。审计师应审查收件人的“隐私政策”是否包含更改，以及他们是否通过弹出式，电子邮件等重新获得个人同意，并保留相关记录。此外，审计师还应审查双方是否已签订合同，澄清接收者的责任和义务，并限制其个人信息处理。

3。为其他个人信息处理器提供合规性审核点，以获取其处理的个人信息。

（i）在共享之前评估个人信息保护的影响

根据《个人信息保护法》第55条，在向其他个人信息处理器提供个人信息之前，个人信息处理器应评估个人信息保护的影响并记录处理情况。有关网络数据安全管理的规定规定，必须保留此类处理记录至少3年。

审计师应检查审核组织的共享声明，验证共享情况，并审查相应的影响评估报告，以确保在共享之前对风险进行了充分评估，例如考虑接收者的数据安全能力以及共享目的的合法性，并采用基于评估结果的数据匿名和限制保护措施，并采用保护措施。例如，如果社交平台向第三方广告商提供用户个人信息以进行广告，则审计师应检查平台是否对共享行为进行了风险评估，并要求广告商采取相应的保护措施。同时，检查共享处理记录是否完??全保存。

（ii）共享通知和单独同意

除法定豁免外，在向其他个人信息处理器提供个人信息之前，他们必须告知个人信息主题并获得单独的同意。通知内容包括收件人的名称，联系信息，处理目的，处理方法和个人信息类型。

在审核期间，您应该检查共享情况描述并确认共享情况。查看审核组织的隐私政策是否包含与共享相关的内容，例如“共享”章节，第三方共享列表，并检查用户互动接口的通知机制和文案，以确保在共享之前已清楚地将相关信息清楚地告知个人。同时，检查以在用户交互接口上获得个人同意的机制，例如单个弹出窗口，复选框等，确认是否满足了个人同意要求，并随机检查同意记录以确保实现有关获得个人同意的法规。

（iii）共享接收器处理活动的合规性审核

个人信息处理器应通过合同和其他方式阐明接收者的责任和义务。审计师应审查双方签署的数据共享协议，例如“数据处理协议”，以确认是否同意目的，方法和类型的个人信息。同时，需要收件人提供合规说明，测试报告或认证证书，以验证它是否在协议范围内处理个人信息，例如提供数据访问管理文件以证明其限制了员工对共享个人信息的访问。

（iv）重新评估共享接收器的更改处理

如果收件人改变了处理的目的或方法，则必须根据法律再次获得个人同意。审计师应审查收件人的“隐私政策”是否包含更改，以及是否通过弹出式，电子邮件等重新获得个人同意，并保留相关记录，以确保收件人根据法律重新获得个人有效同意。

4。对其处理的个人信息的合规性审核的关键点

（i）在披露之前评估个人信息保护的影响

根据《个人信息保护法》第55条，在披露个人信息之前，个人信息处理器应评估个人信息保护的影响并记录处理情况。

审计师应检查审核组织的披露声明，验证披露情况，审查个人信息保护管理系统是否明确规定是否有必要在披露前进行评估，并查看评估报告确保对个人信息披露的风险进行了充分评估，例如对个人私密性的影响，以及根据保护措施的影响，以及基于保护性的衡量标准。例如，如果公司计划披露产品促销的用户评估信息，则审计师应检查公司是否对披露行为进行了影响评估并采取相应的保护措施。

（ii）个人同意披露

审计师应首先确定是否需要提前披露个人信息的情况，以及是否还有其他法律依据，例如法律义务和司法程序的履行。如果只能根据个人同意披露，则必须检查个人同意的真实性和有效性，以防止根据个人愿望披露个人信息。通过检查同意机制和授权记录，验证用户的身份和同意行为，我们可以确定个人信息是否由个人自愿授权和同意，并检查披露业务流程以确保授权同意在披露之前完成。

5。合规性审核的关键点，以与他人处理个人信息

（i）合同协议

作为个人信息处理器，审核的组织应与联合个人信息处理器签署详细的联合处理协议，以澄清双方之间的数据处理关系，包括各自的权利和义务，个人信息安全保护措施，权利保护机制，安全事件报告机制以及侵犯个人信息权利和利益的责任方式。

例如，两家公司共同开展市场研究活动，以收集和处理用户个人信息。该协议应阐明双方在信息收集，存储，使用和其他方面的责任，以及所采用的数据加密和访问控制等安全措施。同时，当信息泄漏事件发生时，有必要就报告过程和责任划分达成共识。

（ii）通知主题的个人信息

根据“个人信息安全规范”，被审核的组织应明确告知个人信息主题联合个人信息处理器的身份。如果未告知第三方双方的身份和责任，则审计的组织可能负责第三方引起的个人信息安全。

如果经过审计的组织部署第三方插件来收集产品或服务中的个人信息，而第三方没有单独获得个人同意，则双方都可能构成共同的个人信息处理器。审核员应检查审核组织是否将第三方插件在处理个人信息处理中的存在，功能和角色告知用户。

（iii）内部系统规范

审计师应检查审核组织的内部个人信息保护管理系统，是否已阐明了权利保护机制，安全事件报告机制和其他措施的个人信息的联合处理，并通过随机检查，旅行测试等验证措施的有效性。例如时间节点和负责人。

个人信息处理器在第三方管理中的合规性审计工作是企业法律运作和保护个人信息主题的权利和利益的重要保证。企业应非常重视它，严格遵循法律和法规的要求，建立和改善合规性管理系统，加强内部审计和监督，确保在与第三方合作以处理个人信息并有效地维持个人信息的安全时，严格观察到法律的底线。只有这样，企业才能赢得用户在数字时代的信任并实现可持续发展。在实际操作中，企业应根据自己的业务特征和实际条件不断优化和改善合规性审核流程和方法，并不断提高个人信息保护水平。如果您在处理个人信息方面有任何疑问或困惑，请随时一起沟通和讨论应对策略。

莞城律师?敬请于评论区发表高见，并对本文予以点赞及转发，以助广大读者把握法律与正义的界限。