广东
在前面两篇文章的介绍中,我们已经对于个保合规审计的概念定义、审计周期、审计内容等有了基本的了解。本文将聚焦个保合规审计中常见的特殊场景——未成年人个人信息特殊要求、敏感个人信息特殊要求,为个人信息处理者开展个人信息保护合规审计提供参考。
0 1
未成年人个人信息有何特殊要求?
(1)审计周期
根据《未成年人网络保护条例》、GB/T 46903—2025《数据安全技术 个人信息保护合规审计要求》,处理未成年人个人信息的个人信息处理者应每年对其处理未成年人个人信息遵守法律、行政法规的情况进行合规审计,并将审计情况及时报告网信等部门。
(2)重点审查事项
依据GB/T 46903—2025《数据安全技术 个人信息保护合规审计要求》,对未成年人个人信息进行合规审计时重点审查事项主要包括:
一是是否制定专门的个人信息处理规则。专门的个人信息处理规则主要是指个人信息处理者的个人信息处理规则和产品中是否有制定专门的不满十四周岁未成年人个人信息处理规则并予以发布。
二是是否向不满十四周岁未成年人及其监护人告知不满十四周岁未成年人个人信息的处理目的、处理方式、处理必要性及处理个人信息的种类、所采取的保护措施等,法律、行政法规规定不需要告知的除外。
三是基于个人同意处理个人信息的,是否存在强制要求不满十四周岁未成年人或者其监护人同意处理非必要个人信息的行为。强制要求是指收集个人信息的类型、频率、数量、精度等为非必要,未成年人或其监护人不同意处理或撤回统一处理未成年人非必要个人信息时,拒绝向未成年人提供产品或服务。
从上述审查内容可以看出,未成年人个人信息合规审计具备特殊且严格的要求。由于未成年人身心尚未成熟,个人信息一旦泄露或被滥用,极易造成严重且不可逆的身心伤害。因此,相比普通个人信息,相关法律法规与标准在规则制定、告知同意、必要性限制等方面设定了更高标准的合规要求与更全面的审查事项,体现了更强的保护强度。
0 2
敏感个人信息有何特殊要求?
(1)定义及类别
根据《个人信息保护法》,敏感个人信息是指一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息。通常包括生物识别信息、宗教信仰信息、特定身份信息、医疗健康信息、金融账户信息、行踪轨迹信息,以及不满十四周岁未成年人的个人信息。
(2)重点审查事项
依据GB/T 46903—2025《数据安全技术 个人信息保护合规审计要求》,对敏感个人信息进行合规审计时重点审查事项主要包括:
一是处理敏感个人信息前是否取得个人的单独同意。单独同意指个人针对其个人信息进行特定处理而专门作出具体、明确的同意。
二是处理不满十四周岁未成年人的个人信息,事前是否取得未成年人的父母或者其他监护人的同意。
三是处理敏感个人信息的目的、方式、范围是否合法、正当、必要。比如仅为履行法定职责或提供核心服务所必需,采取加密、权限管控等安全措施,收集和使用范围符合最小必要原则,未超目的、超范围、超期限处理等。
四是在处理敏感个人信息前是否进行个人信息保护影响评估。个人信息保护影响评估指针对个人信息处理活动,检验其合法合规程度,判断其对个人信息主体合法权益造成损害的各种风险,以及评估用于保护个人信息主体的各项措施有效性的过程。
五是是否向个人告知处理敏感个人信息的必要性以及对个人权益的影响,法律、行政法规规定应当保密或者不需要告知的除外。这里所指法律、行政法规规定应当保密或者不需要告知的情形可参见《个保法》第十八条以及第三十五条。
六是法律、行政法规规定应当取得书面同意的,是否取得书面同意。比如在广告中使用他人名义或者形象、通过指定网络通道送达某些类型的诉讼文书等。
最后,应遵守法律、行政法规对处理敏感个人信息的限制性规定。
从上述审查内容可以看出,针对敏感个人信息开展的合规审计,在同意规则、告知要求、风险评估、安全措施、限制条件等方面均设置了更为严格的审查标准。由于敏感个人信息一旦泄露、非法提供或者滥用,极易危害人身财产安全、人格尊严或导致歧视性后果,与普通个人信息相比权益风险更高、影响更重大,因此法律与标准层面均对其处理活动提出更严的合规要求、更高的保护强度、更全的审查事项,相关合规审计的专业性和严谨性也更为突出。
综上所述,未成年人个人信息与敏感个人信息作为个保合规审计中的两大特殊场景,均设定了严于普通个人信息的合规要求与审查标准。对于未成年人个人信息,法律强调制定专门处理规则、强化告知义务、严格必要性限制,并要求每年开展专项审计;对于敏感个人信息,则突出单独同意、书面同意、个人信息保护影响评估、目的正当性与必要性审查等核心管控点。两类场景均体现出“风险越高、保护越严”的立法导向,对个人信息处理者的合规能力提出了更高要求,也意味着相关合规审计工作需具备更强的专业性与严谨性。
来源:公安部网络安全等级保护中心
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
