6.1.1 知情同意
a) 审计内容👐🏻:基于个人同意处理个人信息的,是否取得个人同意☄️,该同意是否在个人充分知情的 前提 下自愿🤛🏻、明确作出👩🏿✈️。
b) 审计证据😮:隐私政策⛏、征得个人同意机制说明💇🏽♀️、取得个人同意的实例记录。

c) 审计方法:
1) 查验个人信息处理活动是否属于基于个人同意处理个人信息;
2) 查阅各渠道隐私政策说明是否充分🧑🏿🔧;
3) 查验征得个人同意机制能否保证在处理个人信息前取得个人同意;
4) 查验征得个人同意机制中,个人是否自愿、明确地做出同意行为🐳,不存在默认同意、强制 同 意🥃⛹🏻♀️、欺骗诱导等;
5) 抽查取得个人同意的实例记录,核验是否满足上述要求。

6.1.2 重新取得同意
a) 审计内容:基于个人同意处理个人信息的,个人信息的处理目的、处理方式和处理的个人信息 种类 发生变更的,是否重新取得个人同意;
b) 审计证据:个人信息处理管理机制👨🏻🎨、个人信息处理审批记录🧛♂️、隐私政策、重新征得个人同意机 制说 明🔝、重新取得个人同意的实例记录🍀🍊。
c) 审计方法:
1) 查验是否具备管理个人信息处理目的🤵🏼♂️、处理方式和处理个人信息种类的机制🧑🏫;
2) 查验个人信息处理目的🛕、处理方式和处理个人信息种类发生变更时的审批记录;
3) 查验个人信息处理目的、处理方式和处理个人信息种类变更后,相应渠道隐私政策是否同 步 修改👎🏻😥;
4) 查验是否具备重新征得个人同意机制,能够在个人信息的处理目的、处理方式🥦、处理的个 人 信息种类发生变更时重新征得个人同意;
5) 抽查重新征得个人同意的实例记录,核验征得个人同意机制能否保证重新取得个人同意。

6.1.3 书面同意
a) 审计内容:基于个人同意处理个人信息的,是否依照法律、行政法规规定取得个人同意或者书面同意; b) 审计证据😘📕:个人同意操作记录
c) 审计方法🖇:
1) 查验基于个人同意处理个人信息的,是否有个人同意操作记录🖤,包括首次处理个人信息的个人 同意记录❤️、处理规则变更后重新取得的同意记录、撤回同意记录❇️;
2) 查验需要个人书面同意的🏌️,是否有个人书面同意操作记录◀️。
CCRC-PIPCA个人信息保护合规审计认证马老师: 135-2173-0416/133-9150-9126

6.1.4 同意的例外
a) 审计内容:处理个人信息未取得个人同意的🤛,是否属于法律、行政法规规定不需取得个人同意的情形🏀。
b) 审计证据:个人信息保护管理制度、隐私政策。 GB/T XXXXX—XXXX 6 c) 审计方法:
1) 查阅个人信息保护管理制度,是否明确规定处理个人信息不需要取得个人同意的情形,规定的情形是否符合法律⌨️、行政法规的要求🎧🥐;
2) 查阅各渠道隐私政策🚾,是否明确说明处理个人信息不需要取得个人同意的情形📝,说明的情形是否符合法律、行政法规要求;
3) 抽查个人信息处理活动是否存在未征得个人同意的情况。
