个保合规审计 | 个人信息处理者处理个人信息合法性基础合规审计要点

维护公共安全的目的： 审查被审计组织相关设备管理制度，确认安装目的是否仅为维护公共安全，查验图像和个人身份标识的采集、使用全过程，确保未被挪作商业用途，设备安装位置应精准定位在公共区域。

显著标志义务： 提示标志应清晰、醒目、易懂，明确告知公众设备运行及采集目的，包含管理责任单位、联系方式等信息，标志大小、颜色和摆放位置应合理，设备本身应清晰可见，无隐蔽安装方式。

出于维护公共安全之外其他目的的单独同意： 若信息用于非维护公共安全用途，查验被审计组织是否取得个人单独同意，包括征得同意的机制和记录，确保同意合法、明确、真实有效。

《个人信息保护法》第 27 条规定，个人信息处理者可在合理范围内处理已公开个人信息，个人明确拒绝的除外；对个人权益有重大影响的，应取得个人同意。审计要点如下：

处理目的是否与原始公开目的相符： 查阅被审计组织的个人信息保护管理制度，确认对已公开个人信息的处理要求，查看内部处理情况说明，验证处理行为是否符合公开目的，核查处理已公开个人信息的系统和相关活动，抽查是否存在与公开目的不符的营销等活动。

是否存在利用已公开个人信息进行网络暴力： 从数据流向和内部人员操作行为记录审查，监测追踪信息传播路径，查看是否存在异常转发、扩散，审查操作记录，判断是否存在网络暴力行为迹象，关注是否存在二次加工、歪曲、篡改信息用于不良行为的情况。

个人拒绝处理时的权利保障情况： 查验个人信息保护管理制度中是否明确规定尊重个人拒绝处理已公开个人信息的权利并建立相应机制，核查处理前是否有判断个人拒绝处理的机制，查阅处理情况说明和记录，抽查样本，验证个人拒绝意愿是否得到尊重和执行。

是否对个人权益造成重大影响： 查看个人信息保护管理制度中是否要求处理可能对个人权益造成重大影响的已公开个人信息前取得个人同意，核查个人信息保护影响评估报告，评估是否对个人权益造成重大影响，抽查处理情况，核验是否存在未取得个人同意的情况。

个人信息处理者处理个人信息合法性基础合规审计要点众多，涵盖个人信息处理的各个环节和方面。审计人员应严格按照相关法律法规和标准，全面、细致地开展审计工作，确保个人信息处理者合法合规处理个人信息，保护个人信息主体的合法权益。同时，个人信息处理者也应不断完善自身的个人信息保护管理制度和措施，积极配合审计工作，共同营造安全、可靠的个人信息处理环境。随着技术的不断发展和法律法规的日益完善，个人信息处理的合规审计工作也将不断面临新的挑战和要求，需要持续关注和研究。

没有被设置“ 星标 ”的微信公众号

收到的推送极其有限，时间也会大大延迟

如果您想要收到我们的第一手推送

请为我们设个“ 星标 ”吧！

设星标，不迷路！