（一）是否为维护公共安全所必需，是否为商业目的处理所收集的个人信息；

（二）是否设置了显著的提示标识；

（三）个人信息处理者所收集的个人图像、身份识别信息用于维护公共安全以外用途的，是否取得个人单独同意。

十二、对个人信息处理者处理已公开的个人信息进行合规审计的，应当重点审查个人信息处理者是否存在下列违法违规行为：

（一）向已公开个人信息中的电子邮箱、手机号等发送与其公开目的无关的商业信息；

（二）利用已公开的个人信息从事网络暴力、传播网络谣言和虚假信息等活动；

（三）处理个人明确拒绝处理的已公开个人信息；

（四）对个人权益有重大影响，未取得个人同意；

（五）收集、留存或处理已公开个人信息的规模、时间或使用目的超出合理范围。

十三、对个人信息处理者处理敏感个人信息进行合规审计的，应当重点审查下列事项：

（一）基于个人同意处理个人信息的，处理生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等敏感个人信息，是否事前取得个人的单独同意；

（二）基于个人同意处理个人信息的，处理不满十四周岁未成年人的个人信息，是否事前取得未成年人的父母或者其他监护人的同意；

（三）处理敏感个人信息的目的、方式、范围是否合法、正当、必要；

（四）是否在事前进行个人信息保护影响评估；

（五）是否向个人告知处理敏感个人信息的必要性以及对个人权益的影响，法律、行政法规规定应当保密或者不需要告知的除外；

（六）法律、行政法规规定应当取得书面同意的，是否取得书面同意；

（七）是否遵守法律、行政法规对处理敏感个人信息的限制性规定。

十四、对个人信息处理者处理不满十四周岁未成年人个人信息进行合规审计的，应当重点审查下列事项：

（一）是否制定专门的个人信息处理规则；

（二）是否向未成年人及其监护人告知未成年人个人信息的处理目的、处理方式、处理必要性，以及处理个人信息的种类、所采取的保护措施等，法律、行政法规规定不需要告知的除外；

（三）基于个人同意处理个人信息，是否存在强制要求未成年人或者其监护人同意处理非必要个人信息的行为。

十五、对个人信息处理者向境外提供个人信息进行合规审计的，应当重点审查下列事项：

（一）关键信息基础设施运营者向境外提供个人信息是否经过国家网信部门组织的安全评估，法律、行政法规、国家网信部门另有规定的，从其规定；

（二）关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供100万人以上个人信息（不含敏感个人信息）或者1万人以上敏感个人信息是否经过国家网信部门组织的安全评估，法律、行政法规、国家网信部门另有规定的，从其规定；

（三）关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息（不含敏感个人信息）或者不满1万人敏感个人信息的，是否按照国家网信部门的规定，经个人信息保护认证或者按照国家网信部门制定的标准合同与境外接收方签订合同并向所在地省级网信部门备案，或者符合法律、行政法规、国家网信部门规定的其他条件；

（四）存在向外国司法或者执法机构提供存储于中华人民共和国境内个人信息情形的，是否经过中华人民共和国主管机关批准；

（五）是否向被列入限制或者禁止个人信息提供清单的组织和个人提供个人信息。

十六、对个人信息删除权保障情况进行合规审计的，应当重点审查下列事项：

（一）个人信息处理目的是否已实现、无法实现或者为实现处理目的不再必要；

（二）个人信息处理者是否停止提供产品或者服务，或者个人是否已注销账号；

（三）保存期限是否已届满；

（四）个人是否撤回同意；

（五）个人信息处理者是否违反法律、行政法规或者违反约定处理个人信息；

（六）应当删除个人信息，但法律、行政法规规定的保存期限未届满，或者删除个人信息从技术上难以实现的，个人信息处理者是否停止除存储和采取必要的安全措施之外的处理。

十七、对个人信息处理者保障个人在个人信息处理活动中的权利情况进行合规审计的，应当重点审查下列事项：

（一）是否建立便捷的个人行使权利的申请受理机制和处理机制；

（二）是否及时响应个人行使权利的申请，是否及时、完整、准确告知处理意见或者执行结果；

（三）拒绝个人行使权利请求的，是否向个人说明理由。

十八、个人信息处理者应当响应个人申请，对其个人信息处理规则进行解释说明，合规审计时应当重点对下列内容进行评价：

（一）个人信息处理者是否提供便捷的方式和途径，接受、处理个人关于个人信息处理规则解释说明的要求；

（二）接到个人的要求后，个人信息处理者是否在合理的时间内，使用通俗易懂的语言对其个人信息处理规则作出解释说明。

总共5页  [1] [2] 3 [4] [5] 
上一页  下一页