二、对个人信息处理活动的合法性基础进行合规审计的，应当重点审查下列事项：

（一）基于个人同意处理个人信息的，是否取得个人同意，该同意是否由个人在充分知情的前提下自愿、明确作出；

（二）基于个人同意处理个人信息的，个人信息的处理目的、处理方式、处理的个人信息种类发生变更的，是否重新取得个人同意；

（三）基于个人同意处理个人信息的，是否依照法律、行政法规取得个人单独同意或者书面同意；

（四）处理个人信息未取得个人同意的，是否属于法律、行政法规规定不需要取得个人同意的情形。

三、对个人信息处理规则进行合规审计的，应当重点审查下列事项：

（一）是否真实、准确、完整地告知个人信息处理者的名称或者姓名和联系方式；

（二）是否以清单等便于查看的形式列明所收集的个人信息及其处理方式和种类；

（三）是否与处理目的直接相关，采取对个人权益影响最小的方式；

（四）是否明确个人信息保存期限或者保存期限的确定方法、到期后的处理方式，以及确定保存期限为实现处理目的所必要的最短时间；

（五）是否明确个人查阅、复制、转移、更正、补充、删除、限制处理个人信息以及注销账号、撤回同意的途径和方法。

四、对个人信息处理者履行告知个人信息处理规则义务进行合规审计的，应当重点审查下列事项：

（一）个人信息处理者在处理个人信息前，是否以显著方式、清晰易懂的语言真实、准确、完整地向个人告知个人信息处理规则；

（二）告知文本的大小、字体和颜色是否便于个人完整阅读告知事项；

（三）线下告知是否通过标注、说明等多种方式向个人履行告知义务；

（四）在线告知是否提供文本信息或者通过适当方式向个人履行告知义务；

（五）个人信息处理规则发生变更的，是否将变更内容及时告知个人；

（六）处理个人信息不需要告知的，是否属于法律、行政法规规定应当保密或者不需要告知的情形。

五、对个人信息处理者与其他个人信息处理者共同处理个人信息进行合规审计的，应当重点审查下列事项：

（一）是否约定各自的权利义务；

（二）个人信息权益保护机制；

（三）个人信息安全事件报告机制；

（四）其他法律、行政法规规定需要约定的权利和义务。

六、对个人信息处理者委托处理个人信息进行合规审计的，应当重点审查下列事项：

（一）个人信息处理者在委托处理个人信息前，是否开展个人信息保护影响评估；

（二）个人信息处理者与受托人签订的合同，是否与受托人约定了委托处理的目的、期限、方式、个人信息的种类、保护措施以及双方的权利义务等；

（三）个人信息处理者是否采取定期检查等方式，对受托人的个人信息处理活动进行监督。

七、个人信息处理者存在因合并、重组、分立、解散、被宣告破产等原因需要转移个人信息情形的，应当重点审查个人信息处理者是否向个人告知接收方的名称或者姓名和联系方式。

八、对个人信息处理者向其他个人信息处理者提供其处理的个人信息进行合规审计的，应当重点审查下列事项：

（一）基于个人同意处理个人信息的，是否取得个人的单独同意；

（二）是否向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，法律、行政法规规定应当保密或者不需要告知的除外；

（三）是否事前进行个人信息保护影响评估。

九、对个人信息处理者利用自动化决策处理个人信息进行合规审计的，应当重点审查下列事项：

（一）自动化决策的透明度，以及自动化决策的结果是否公平、公正；

（二）是否事前告知个人自动化决策处理个人信息的种类及可能带来的影响；

（三）是否事前进行个人信息保护影响评估；

（四）是否向用户提供保障机制，以便个人通过便捷方式拒绝通过自动化决策方式作出对个人权益有重大影响的决定，并要求个人信息处理者就通过自动化决策方式作出对用户个人权益有重大影响的决定予以说明；

（五）向个人进行信息推送、商业营销的，是否同时提供不针对个人特征的选项，或者提供便捷的拒绝自动化决策服务的方式；

（六）是否采取了有效措施，防止自动化决策根据消费者的偏好、交易习惯等对个人在交易条件上实行不合理的差别待遇；

（七）其他可能影响自动化决策的透明度和结果公平、公正的事项。

十、对个人信息处理者基于个人同意公开个人信息进行合规审计的，应当重点审查下列事项：

（一）个人信息处理者公开其处理的个人信息前是否取得个人单独同意，该授权是否真实、有效，是否存在违背个人意愿将个人信息予以公开的情况；

（二）个人信息处理者公开个人信息前，是否进行个人信息保护影响评估。

十一、个人信息处理者在公共场所安装图像收集、个人身份识别设备的，应当重点对其安装图像收集、个人信息身份识别设备的合法性及所收集个人信息的用途进行审查。审查内容包括但不限于：

总共5页  [1] 2 [3] [4] [5] 
上一页  下一页