前 言
2024年7月12日�����,全國網絡安全標準化技術委員會發布國家標準《數據安全技術 個人信息保護合規審計要求(征求意見稿)》(下稱“《審計要求(意見稿)》”)。
此前�����,國家互聯網信息辦公室(下稱“國家網信辦”)於2023年8月3日發布《個人信息保護合規審計管理辦法(征求意見稿)》(下稱“《審計辦法(意見稿)》”)及其附件《個人信息保護合規審計參考要點》(下稱“《審計要點》”)�����,作為《個人信息保護法》(下稱“《個保法》”)第54條和第64條關於個人信息保護合規審計(下稱“個保審計”)的細節展開。
《審計要求(意見稿)》的發布�,進一步支撐了《個保法》中關於個保審計的條款和《審計辦法(意見稿)》的(de)落(luo)地(di)實(shi)施(shi)��,從(cong)國(guo)家(jia)標(biao)準(zhun)層(ceng)麵(mian)提(ti)出(chu)開(kai)展(zhan)個(ge)保(bao)審(shen)計(ji)的(de)原(yuan)則(ze)和(he)總(zong)體(ti)要(yao)求(qiu)��,有(you)利(li)於(yu)解(jie)決(jue)因(yin)缺(que)少(shao)規(gui)範(fan)要(yao)求(qiu)和(he)方(fang)式(shi)步(bu)驟(zhou)而(er)導(dao)致(zhi)得(de)個(ge)保(bao)審(shen)計(ji)不(bu)易(yi)開(kai)展(zhan)的(de)問(wen)題(ti)。
圖1 個保審計的法律沿革
一�、個保審計的類型與法律依據
根據《個保法》第54條和第64條第1款�����,個保審計可分為個人信息處理者開展的定期個保審計和按監管或主管部門要求開展的強製個保審計。其中��,《審計辦法(意見稿)》對定期個保審計的頻率和強製個保審計的時限等內容進行了細化規定�����;針對特定個人信息主體(例如未成年人)����、特定行業領域(例如征信行業)�����,相關法律法規也對定期個保審計提出了更加具體的要求。
本次發布的《審計要求(意見稿)》���,主要適用於個人信息處理者自行或委托專業機構開展的定期審計工作�����,個人信息處理者按照監管或主管部門要求開展強製審計時可參考該標準。[1]
表1 個保審計的類型和法律來源
審計類型 | 法律法規 | 條款條文 | 備注 |
定期審計 | 《個保法》 | 第54條 個人信息處理者應當定期對其處理個人信息遵守法律�����、行政法規的情況進行合規審計 | 個保審計的法律基礎 定期審計可以自行審計�,也可以委托專業機構審計 |
《審計辦法(意見稿)》 | 第4條 處理超過100萬人個人信息的個人信息處理者�,應當每年至少開展1次個人信息保護合規審計��; 其他個人信息處理者應當每2年至少開展1次個人信息保護合規審計 | 細化了定期審計的頻率要求 |
《未成年人網絡保護條例》 | 第37條 個人信息處理者應當自行或者委托專業機構每年對其處理未成年人個人信息遵守法律�、行政法規的情況進行合規審計�����,並將審計情況及時報告網信等部門 | 未成年人個人信息處理者的特殊要求 |
《征信業務管理辦法》 | 第43條 個人征信機構應當每年對自身個人征信業務遵守《中華人民共和國個人信息保護法》《征信業管理條例》的情況進行合規審計�����,並將合規審計報告及時報告中國人民銀行 | 征信行業特殊要求 |
《工業和信息化部關於進一步提升移動互聯網應用服務能力的通知》 | 第2條第1款第1項 完善內部管理機製……定期對個人信息保護措施及執行情況等進行合規審計�,有效防範風險隱患 | 定期個保審計納入工信部監管範圍 |
強製審計 | 《個保法》 | 第64條第1款 履行個人信息保護職責的部門在履行職責中�����,發現個人信息處理活動存在較大風險或者發生個人信息安全事件的�,可以按照規定的權限和程序對該個人信息處理者的法定代表人或者主要負責人進行約談�,或者要求個人信息處理者委托專業機構對其個人信息處理活動進行合規審計。個人信息處理者應當按照要求采取措施�����,進行整改���,消除隱患 | 強製審計的觸發情形:相關部門發現個人信息處理活動存在較大風險���;或發生個人信息安全事件 僅能委托專業機構審計��,不能自行審計 |
《審計辦法(意見稿)》 | 第9條 個人信息處理者按照履行個人信息保護職責部門要求委托專業機構開展個人信息保護合規審計的��,應當在90個工作日內完成個人信息保護合規審計���;情況複雜的��,報經履行個人信息保護職責的部門批準後可適當延長 | 強製審計時限要求:(90+X)個工作日 |
二��、個保審計流程及其挑戰
1. 個保審計的流程和主要工作內容
個保審計的流程主要分為5個階段��,分別為審計準備���、審計實施�����、審計報告��、問題整改�、歸檔管理����,具體流程和實施要點如下圖所示:
圖2 《審計要求(意見稿)》審計流程
2. 異議解決
《審計要求(意見稿)》附錄A審計流程之A.3.5規定��,在審計實施階段����,審計人員應對取得的審計證據進行評價分析�,對發現的問題進行定性����,並對照審計依據形成審計發現。審(shen)計(ji)人(ren)員(yuan)應(ying)通(tong)過(guo)會(hui)議(yi)等(deng)機(ji)製(zhi)���,將(jiang)審(shen)計(ji)發(fa)現(xian)及(ji)審(shen)計(ji)結(jie)論(lun)通(tong)報(bao)給(gei)被(bei)審(shen)計(ji)方(fang)管(guan)理(li)層(ceng)�,並(bing)進(jin)行(xing)溝(gou)通(tong)和(he)確(que)認(ren)。被(bei)審(shen)計(ji)方(fang)有(you)異(yi)議(yi)的(de)�,雙(shuang)方(fang)應(ying)討(tao)論(lun)協(xie)商(shang)����,必(bi)要(yao)時(shi)審(shen)計(ji)人(ren)員(yuan)進(jin)一(yi)步(bu)核(he)實(shi)���;若雙方就審計發現及審計結論仍未能達成一致��,審計人員應在審計底稿中予以記錄。A.4.1規(gui)定(ding)��,撰(zhuan)寫(xie)審(shen)計(ji)報(bao)告(gao)前(qian)�����,審(shen)計(ji)人(ren)員(yuan)與(yu)被(bei)審(shen)計(ji)方(fang)之(zhi)間(jian)應(ying)建(jian)立(li)異(yi)議(yi)解(jie)決(jue)機(ji)製(zhi)����,對(dui)被(bei)審(shen)計(ji)方(fang)提(ti)出(chu)異(yi)議(yi)的(de)審(shen)計(ji)結(jie)論(lun)應(ying)及(ji)時(shi)進(jin)行(xing)溝(gou)通(tong)確(que)認(ren)��,並(bing)將(jiang)溝(gou)通(tong)結(jie)果(guo)和(he)審(shen)計(ji)結(jie)論(lun)歸(gui)檔(dang)保(bao)存(cun)。附(fu)錄(lu)E給出的審計報告模板中����,如被審計方對審計報告內容有異議的����,可在審計報告的附件部分對異議予以說明。
yiyijiejuejizhishishenjizuyubeishenjifangzhijianjinxinggoutongdezhongyaoqudao��,cujinlegebaoshenjideyouxiaoxinghezhunquexing。shenjirenyuannanyitongguoyicigebaoshenjizhangwoshenjiduixiangdequanbuqingkuang����,qiekenengyinzhuanyebeijing���、證據收集方式���、關注點等因素而與被審計方產生理解偏差����,因此異議解決機製的難點在於如何確保雙方充分表達觀點和立場並達成共識。被審計方對審計發現或審計結論提出異議時�����,溝通和核實可能會延長審計周期�����,從(cong)而(er)對(dui)審(shen)計(ji)資(zi)源(yuan)和(he)時(shi)間(jian)管(guan)理(li)提(ti)出(chu)挑(tiao)戰(zhan)。同(tong)時(shi)����,關(guan)於(yu)異(yi)議(yi)的(de)溝(gou)通(tong)結(jie)果(guo)和(he)審(shen)計(ji)結(jie)論(lun)將(jiang)體(ti)現(xian)在(zai)審(shen)計(ji)底(di)稿(gao)中(zhong)�����,且(qie)被(bei)審(shen)計(ji)方(fang)可(ke)能(neng)需(xu)要(yao)在(zai)審(shen)計(ji)報(bao)告(gao)中(zhong)對(dui)異(yi)議(yi)進(jin)行(xing)說(shuo)明(ming)�,或(huo)許(xu)會(hui)引發管理層或外部利益相關者的誤解或擔憂。如何在報告中清晰�、客觀地呈現異議�,是審計人員需要謹慎處理的問題。
3. 問題整改
根據《審計要求(意見稿)》附錄A給出的審計流程��,個保審計將采取“先報告後整改”的模式。A.3.5規定����,對於審計發現的問題���,可根據問題的影響程度����、整改代價等因素進行分級排序。審計完成後需要被審計方對審計問題進行正式確認。A.5規(gui)定(ding)�,在(zai)問(wen)題(ti)整(zheng)改(gai)階(jie)段(duan)����,審(shen)計(ji)人(ren)員(yuan)應(ying)對(dui)審(shen)計(ji)中(zhong)發(fa)現(xian)的(de)不(bu)合(he)規(gui)項(xiang)進(jin)行(xing)跟(gen)蹤(zong)����,督(du)促(cu)被(bei)審(shen)計(ji)方(fang)在(zai)規(gui)定(ding)期(qi)限(xian)內(nei)整(zheng)改(gai)。必(bi)要(yao)時(shi)���,審(shen)計(ji)人(ren)員(yuan)可(ke)對(dui)整(zheng)改(gai)措(cuo)施(shi)的(de)完(wan)成(cheng)情(qing)況(kuang)及(ji)有(you)效(xiao)性(xing)進(jin)行(xing)跟(gen)蹤(zong)審(shen)計(ji)。
整改階段在實操中可能會麵臨以下問題:①問題分級排序:如何準確評估審計發現問題的嚴重性和緊迫性��,以及如何合理分配整改資源���,確保關鍵問題和即時威脅優先解決��;②整改期限:如何根據問題的複雜程度��、被審計方的整改能力�����、資源投入情況等因素設定合理的整改期限�����,以及如何與審計期限和項目進度相協調�;③問題暴露:由於采取“先報告後整改”的模式�,審計報告中呈現的問題可能涉及相關合規風險和法律責任���,從而為審計和整改工作帶來較大壓力��;④整改主體:按照《審計要求(意見稿)》�,整改主要由被審計方自行開展�����,審計組的工作是發現問題�����、督促並協助整改��、必要時開展跟蹤審計����,但實際項目開展過程中審計組可能需要更直接地參與整改工作以確保整改效果。
三���、個保審計工作的重點和難點
1. 個保審計的證據
審計證據是指審計人員獲取的能夠為個保審計結論提供合理基礎的全部事實�,包括個保審計過程中收集����、使用或發現的記錄����、事實陳述或其他信息。[2]被審計方應對審計證據的真實性�����、完整性和有效性負責。[3]
(1)審計證據的涵蓋範圍
審計證據需體現被審計方的個人信息保護情況��,在範圍上建議涵蓋如下圖所示的內容:
圖3 審計證據的涵蓋範圍
(2)審計證據的不同類型及其有效性
個保審計收集的審計證據應對個人信息合規判斷具有相關性����,其取得方式應具有合法性��,其記錄內容應具有真實性。[4]結合《審計要求(意見稿)》5.1.3�����、附錄B之表B.1和附錄C�,各類審計證據有效性要求如下表所示:
表2 審計證據的有效性要求
證據類型 | 證據舉例 | 證據有效性 |
管理文件 | 組織章程 產品/服務合格認定製度 合規管理製度:例如個人信息保護管理製度/操作規程���、個人信息處理技術文檔�、應急管理製度�����、個人信息授權訪問管理要求����、數據分類分級製度/目錄等 保密製度 企業標準等 | 1) 正當起草/批準程序 2) 生效實施 |
協議文件 | 隱私政策 用戶服務協議 大型互聯網平台規則 線下合同 用戶手冊 雇員合同 數據提供/委托處理/共同處理協議 個人信息出境(標準)合同等 | 1) 協議各方有效同意 2) 實際生效和執行 |
工作檔案 | 職工人員表:例如組織架構����、機構部門職責設置�、負責個人信息保護工作的人員名單等 係統開發/升級檔案 工作會議檔案:例如會議記錄等 對外交流檔案:例如溝通記錄��、往來郵件等 個人信息處理活動記錄:例如取得/重新取得/撤回同意的記錄����、告知記錄����、個人信息處理記錄/實例���、行權記錄/證明��、算法模型備案記錄�、行政許可記錄等 培訓/考核記錄 應急響應/演練記錄 申請記錄 審批記錄 安全管控卡點記錄等 | 反映真實情況的紙質/電子記錄 |
網絡日誌 | 訪問/存儲/傳輸/刪除日誌 | 未被篡改的原始記錄 |
資質證明 | 網絡安全等級保護 個人信息保護認證 數據安全管理認證 個人信息保護影響評估報告 數據出境安全評估報告 個人信息保護合規審計報告 算法模型安全評估/科技倫理審查報告等 | 1) 開展有效審查 2) 出具正式有效證明 3) 證明出具單位有證明能力且能獨立承擔責任 4) 在有效期內 |
檢查記錄 | 機房檢查記錄:例如數據庫表字段信息���、個人信息展示頁麵����、係統界麵等 產品/服務實際運行檢查記錄 安全保護措施有效性檢查記錄等 | ≥2名個保審計人員檢查並簽字 |
訪談筆錄 | 領導訪談筆錄 一般雇員訪談記錄 用戶訪談記錄等 | 1) ≥2名個保審計人員訪談並簽字 2) 滿足任一:被訪談人員簽字記錄�、訪談視頻錄製文件����、審計人員記錄的拒絕簽字說明 |
案例材料 | 投訴舉報案例 司法裁判案例 行政處罰案例 新聞輿論案例等 | 1) 與被審計者有關 2) 無證據可以證偽 |
專家證言 | 專家論證報告等 | 1) 專家具備相應專業知識 2) 論證過程正當 3) 論證意見有說服力 |
測試報告 | 應用係統個人信息處理檢測報告 漏洞檢測報告 滲透測試報告等 | 1) 具備技術能力的機構通過真實環境/近似真實的測試環境開展測試 2) 測試機構加蓋公章並對內容真實性做出負責任承諾 |
2. 如何確保審計工作和審計人員的獨立性《審計要求(意見稿)》在zai審shen計ji原yuan則ze和he審shen計ji人ren員yuan要yao求qiu兩liang部bu分fen均jun提ti出chu獨du立li性xing要yao求qiu��,即ji審shen計ji人ren員yuan在zai實shi施shi個ge保bao審shen計ji時shi應ying當dang保bao持chi審shen計ji工gong作zuo的de獨du立li性xing����,獨du立li於yu審shen計ji活huo動dong。鑒jian於yu定ding期qi審shen計ji可ke以yi由you組zu織zhi自zi行xing開kai展zhan�����,也ye可ke以yi委wei托tuo外wai部bu專zhuan業ye機ji構gou進jin行xing�,《審計要求(意見稿)》提出了以下增強審計獨立性的措施:
表3 個保審計的獨立性
審計類型 | 獨立性要求 | 影響獨立性的後果 |
組織內部自行審計 | 內部審計人員:獨立於具體被審計的個人信息處理活動 內部審計人員:回避自身負責的業務內容����,不直接參與被審計對象[5]的日常業務運營����、個人信息安全保護工作�,且其工作不受被審計對象約束 | 審計人員立即向審計組提交書麵說明 審計組暫時回避或終止其審計工作 |
委托外部專業機構審計 | 外部審計人員:同被審計對象及其工作人員不得存在親屬關係��、利益往來�、法律糾紛等可能影響其做出公正�、獨立審計結論的利害關係 |
內外部審計均適用 | 審計人員不應參加可能影響其獨立履行審計職責的活動��,不應接受任何可能影響其獨立性判斷的財物 |
盡管有前述要求�,《審計要求(意見稿)》附錄A審計流程之A.2.1規定���,在“必要時”和“保持獨立原則”的前提下�,可從組織內部的內審團隊����、安全團隊��、法務團隊等具有審計或個人信息保護相關專業能力的團隊中選派人員參與審計(詳見下文第四點)。
從一般的商業流程而言�����,組織內部的業務�����、信xin息xi技ji術shu和he法fa務wu等deng人ren員yuan均jun有you可ke能neng參can與yu日ri常chang業ye務wu運yun營ying和he個ge人ren信xin息xi安an全quan保bao護hu工gong作zuo����,且qie其qi作zuo為wei組zu織zhi員yuan工gong難nan以yi避bi免mian會hui受shou到dao相xiang關guan約yue束shu���,如ru何he保bao持chi內nei部bu人ren員yuan參can與yu和he審shen計ji獨du立li性xing的de平ping衡heng��,可ke能neng成cheng為wei實shi務wu中zhong的de難nan點dian。目mu前qian看kan來lai����,委托外部第三方專業機構開展審計�、組織內部相關人員予以配合和支持的模式可能是現有機製下保持審計獨立性的最佳方案。
關於外部第三方專業機構的選擇��,此前《審計辦法(意見稿)》第13條(tiao)規(gui)定(ding)����,網(wang)信(xin)和(he)公(gong)安(an)等(deng)部(bu)門(men)將(jiang)建(jian)立(li)個(ge)保(bao)審(shen)計(ji)專(zhuan)業(ye)機(ji)構(gou)推(tui)薦(jian)目(mu)錄(lu)�,每(mei)年(nian)組(zu)織(zhi)開(kai)展(zhan)個(ge)保(bao)審(shen)計(ji)專(zhuan)業(ye)機(ji)構(gou)評(ping)估(gu)評(ping)價(jia)�,並(bing)根(gen)據(ju)評(ping)估(gu)評(ping)價(jia)情(qing)況(kuang)動(dong)態(tai)調(tiao)整(zheng)個(ge)保(bao)審(shen)計(ji)專(zhuan)業(ye)機(ji)構(gou)推(tui)薦(jian)目(mu)錄(lu)���,同(tong)時(shi)鼓(gu)勵(li)個(ge)人(ren)信(xin)息(xi)處(chu)理(li)者(zhe)優(you)先(xian)選(xuan)擇(ze)推(tui)薦(jian)目(mu)錄(lu)中(zhong)的(de)專(zhuan)業(ye)機(ji)構(gou)開(kai)展(zhan)個(ge)保(bao)審(shen)計(ji)活(huo)動(dong)。但(dan)在《審計要求(意見稿)》中�����,並未提及個保審計專業機構推薦目錄相關事宜。
3. 如何理解個保審計的全麵性
全麵性原則要求審計人員針對審計對象��,應進行全麵�、係統的審計��,進行綜合��、全麵��、係統的審查���,確保證據充分。[6]我們理解�����,該原則並非要求單次個保審計活動必須對被審計方的全部個人信息處理活動�����、信息係統����、應用程序以及相關部門����、renyuanhezhidudengjinxingquanmianshenji�����,ershixuyaozaiquedingshenjiduixianghoutongguoduozhongqudaohefangshichongfenshoujixiangguanshenjizhengju����,yibaozhengshenjijielundekexinduheyouxiaoxing。組織可以根據自身的個人信息保護能力建設情況和審計目的決定���,是對整個組織的全部業務條線����、所有個人信息處理活動和每一產品/服務進行完整個保審計�����,或是對部分業務條線���、處理活動和相關產品/服務進行專項個保審計。
四�、個保審計的內容變化的對比解讀
附錄C是《審計要求(意見稿)》中篇幅占比最大的內容�����,給出了個保審計的審計內容以及對應的審計證據和審計方法�����,對實務中開展個保審計具有較強指導意義。
1. 新增關於必要性的審計內容
最小必要是《民法典》[7]及《個人信息保護法》[8]確(que)立(li)的(de)關(guan)於(yu)個(ge)人(ren)信(xin)息(xi)處(chu)理(li)最(zui)重(zhong)要(yao)的(de)基(ji)本(ben)原(yuan)則(ze)之(zhi)一(yi)�����,但(dan)由(you)於(yu)其(qi)僅(jin)作(zuo)為(wei)原(yuan)則(ze)性(xing)規(gui)定(ding)�,監(jian)管(guan)或(huo)主(zhu)管(guan)部(bu)門(men)以(yi)及(ji)不(bu)同(tong)的(de)個(ge)人(ren)信(xin)息(xi)處(chu)理(li)者(zhe)可(ke)能(neng)對(dui)其(qi)存(cun)在(zai)不(bu)同(tong)的(de)理(li)解(jie)���,因(yin)此(ci)個(ge)人(ren)信(xin)息(xi)處(chu)理(li)必(bi)要(yao)性(xing)原(yuan)則(ze)的(de)判(pan)斷(duan)和(he)把(ba)握(wo)長(chang)期(qi)以(yi)來(lai)是(shi)實(shi)務(wu)操(cao)作(zuo)中(zhong)的(de)模糊地帶和難點�����,也是企業的關注重點。本次《審計要求(意見稿)》附錄C之C.2較《審計辦法(意見稿)》之附件《審計要點》相比��,新增了6條個人信息處理必要性的審計要求��,有助於為實務工作進一步提供參考��,厘清個人信息處理的合規邊界。
2. 修改關於個人信息出境的審計內容
針對個人信息出境的內容��,《審計要求(意見稿)》附錄C之C.14較《審計辦法(意見稿)》之附件《審計要點》第15條相比�����,根據《促進和規範數據跨境流動規定》(下稱“出境新規”)進行了更新:①刪除“處理100萬人以上個人信息的個人信息處理者向境外提供個人信息需安全評估”�;②將增量出境個人信息的統計起始時間從“上年1月1日”修改為“當年1月1日”��;③將非CIIO個人信息處理者出境增量個人信息適用安全評估的起算門檻從“10萬人個人信息”修改為“100萬人以上個人信息”。
或許是沿用《審計要點》體例的緣故�,《審計要求(意見稿)》附錄C關於個人信息出境的審計內容並未完全納入出境新規的內容�����,從而導致審計內容存在不全麵的問題�,例如缺乏免予申報安全評估�����、訂立標準合同�����、通過個人信息保護認證的出境豁免情形����,缺乏標準合同或保護認證的適用門檻����,缺乏關於告知��、單獨同意���、個人信息保護影響評估等義務的審計內容��,有可能將會在最終發布的版本中進行補正。
3. 新增並修改關於未成年人保護的審計內容
《審計要求(意見稿)》附錄C依據《未成年人網絡保護條例》等法律法規����,設置了C.16至C.22關於未成年人個人信息處理的專門性審查內容���,包含告知�����、真實身份審核�����、收集的最小必要�����、個人信息主體權利�����、個人信息安全事件應急響應處置��、訪問的最小必要��、私密信息保護7個模塊。同時����,《審計辦法(意見稿)》之附件《審計要點》第14條將未成年人限定在“不滿十四周歲”��,即兒童[9]���;《審計要求(意見稿)》附錄C僅在C.13.2關於取得未成年人父母或其他監護人同意的審查內容中將未成年人年齡限製在十四周歲以下����,C.16至C.22均未作此限定�����,而是將審計對象的範圍擴展至所有年齡段的未成年人。
4. 修改外部獨立監督機構和社會責任報告的審計內容
《審計要求(意見稿)》附錄C之C.34規定了關於外部獨立監督機構的審計內容����,C.37規定了關於個人信息保護社會責任報告的審計內容��,相較於《審計辦法(意見稿)》之附件《審計要點》第28條和第31條����,《審計要求(意見稿)》未限定為“大型互聯網平台運營者”的合規義務。但根據《個人信息保護法》第58條第1款第1項和第4項�,我們理解“成立外部獨立機構對個人信息保護情況進行監督”和“定期發布個人信息保護社會責任報告”屬於“提供重要互聯網平台服務����、用戶數量巨大�、業務類型複雜的個人信息處理者”的義務。
結 語
個保審計是《個人信息保護法》及相關法律中對於個人信息處理者的法定義務要求����,同時也是監管部門落實“指導�、監督個人信息處理者開展個人信息保護工作”[10]的工作職責��,以及建立和完善“強化事前事中事後全鏈條全領域監管[11]”的職能機製的有效途徑和重要保障。但是��,由於缺乏實施細則和監管規範���,實踐中真正開展����、落實個保審計的企業極少。隨著《審計辦法(意見稿)》《審計要求(意見稿)》等配套文件的陸續推出����,個保審計的強製性義務的規範和導入已經蓄勢待發����,建議企業予以持續關注和適當的準備。
注釋
[1] 《〈數據安全技術 個人信息保護合規審計要求(征求意見稿)〉編製說明》第2.2條
[2] 《數據安全技術 個人信息保護合規審計要求(征求意見稿)》3.2
[3] 《數據安全技術 個人信息保護合規審計要求(征求意見稿)》附錄B之B.1
[4] 《數據安全技術 個人信息保護合規審計要求(征求意見稿)》附錄B之B.2
[5] 《數據安全技術 個人信息保護合規審計要求(征求意見稿)》3.3:審計對象是指被審計方的個人信息處理活動���、信息係統�、應用程序以及相關部門��、人員和製度等。
[6] 《數據安全技術 個人信息保護合規審計要求(征求意見稿)》4 d)
[7] 《中華人民共和國民法典》第1035條
[8] 《個人信息保護法》第5條
[9] 《兒童個人信息網絡保護規定》第2條:本規定所稱兒童����,是指不滿十四周歲的未成年人。
[10] 《個人信息保護法》第61條
[11] 《促進和規範數據跨境流動規定》第12條
