基于《个人信息保护合规审计管理办法》《网络安全标准实践指南》及相关监管实践系统的梳理日常合规审计中高频出现的违法违规行为类型、识别要点及法律依据。一、收集环节违法违规行为一未履行告知义务违规情形典型表现识别方法法律依据隐私政策缺失无独立隐私政策或仅在用户协议中简单提及查阅APP/网站是否有独立隐私政策入口《个人信息保护法》第十七条告知内容不完整未告知处理目的、方式、种类、保存期限等核心事项对照《个人信息保护法》第十七条逐项核对告知内容《个人信息保护法》第十七条告知不清晰使用晦涩法律术语用户难以理解评估语言是否清晰易懂、显著方式展示《个人信息保护法》第十七条变更未重新告知处理目的、方式等发生变更未重新告知并取得同意对比历史版本隐私政策与当前实际处理活动《个人信息保护法》第十四条二过度收集个人信息违规情形典型表现识别方法法律依据收集与业务无关信息如通讯录APP收集位置信息、手电筒APP收集通讯录对比业务功能与收集信息种类的必要性《个人信息保护法》第六条频繁索权用户拒绝授权后频繁弹窗索要权限测试APP权限索取频率和提示方式《个人信息保护法》第六条捆绑收集多项信息捆绑授权不同意则无法使用基本功能测试不同同意选项下的功能可用性《个人信息保护法》第十六条三同意机制违规违规情形典型表现识别方法法律依据默认勾选同意隐私政策同意框默认勾选检查首次注册/登录时的同意界面设计《个人信息保护法》第十四条强制同意不同意则无法使用APP基本功能测试拒绝同意后的功能限制情况《个人信息保护法》第十六条敏感信息未单独同意人脸、指纹、健康等信息未取得单独同意检查敏感信息收集时的同意记录及界面《个人信息保护法》第二十九条未成年人未获监护人同意收集不满十四周岁用户信息未取得监护人同意检查是否有未成年人识别及监护人同意机制《个人信息保护法》第三十一条二、处理环节违法违规行为一超范围使用个人信息违规情形典型表现识别方法法律依据超出告知目的使用如将用户手机号用于精准营销但未在隐私政策中说明对比隐私政策告知内容与实际使用场景检查数据处理日志《个人信息保护法》第六条改变处理目的未重新同意原用于客户服务的信息改为营销用途检查处理目的变更的审批记录及重新同意记录《个人信息保护法》第十四条未经授权的用户画像基于用户数据进行画像但未告知检查是否有用户画像相关处理活动及告知记录《个人信息保护法》第二十四条二敏感个人信息处理违规违规情形典型表现识别方法法律依据无特定目的和充分必要性处理敏感信息缺乏合理业务需求评估敏感信息处理的业务必要性《个人信息保护法》第二十八条未告知必要性及影响未向个人告知处理敏感个人信息的必要性以及对个人权益的影响检查敏感信息收集时的告知内容《个人信息保护法》第三十条未进行PIA评估处理敏感信息未事前进行个人信息保护影响评估查阅PIA报告及处理情况记录《个人信息保护法》第五十五条保存期限超限敏感信息保存超过实现目的所需时间检查数据保留策略抽样验证数据删除机制《个人信息保护法》第十九条三自动化决策违规违规情形典型表现识别方法法律依据决策不透明未告知用户存在自动化决策检查隐私政策中是否告知自动化决策相关情况《个人信息保护法》第二十四条未提供非个性化选项个性化推荐无法关闭未提供不针对个人特征的选项测试APP中关闭个性化推荐的功能可用性《个人信息保护法》第二十四条不合理差别待遇基于自动化决策对用户实行不合理差别定价对比不同用户在同一场景下的价格差异《个人信息保护法》第二十四条重大影响未提供说明对个人权益有重大影响的决定个人要求说明时被拒绝测试个人要求说明的响应机制《个人信息保护法》第二十四条三、提供与跨境环节违法违规行为一向第三方提供违规违规情形典型表现识别方法法律依据未告知第三方信息隐私政策仅概括性提及可能与第三方共享未列明具体第三方查阅隐私政策中第三方列表的完整性核对实际共享的第三方《个人信息保护法》第二十三条未取得单独同意未就数据共享取得用户单独同意检查数据共享的同意记录《个人信息保护法》第二十三条未签订协议与第三方共享数据未签订数据处理协议查阅与第三方的合作协议《个人信息保护法》第二十一条未进行监督未对第三方的处理活动进行监督检查第三方监督记录及评估报告《个人信息保护法》第二十一条二委托处理违规违规情形典型表现识别方法法律依据未签订书面协议委托处理未约定目的、方式、种类、保护措施等查阅委托处理协议内容完整性《个人信息保护法》第二十一条未进行监督未对受托方的处理活动进行监督检查受托方监督记录《个人信息保护法》第二十一条受托方再委托未经同意受托方擅自将信息再委托给第三方检查再委托的审批记录《个人信息保护法》第二十一条合同终止未删除委托合同终止后受托方未返还或删除个人信息检查合同终止后的数据处理记录《个人信息保护法》第二十一条三跨境提供违规违规情形典型表现识别方法法律依据未满足法定条件未通过安全评估/认证/标准合同即向境外提供查阅跨境传输的合规文件评估报告、认证证书、标准合同《个人信息保护法》第三十八条未告知未取得单独同意未明确告知境外接收方信息未取得单独同意检查跨境告知内容和同意记录《个人信息保护法》第三十九条向限制清单组织提供向被列入限制或禁止个人信息提供清单的组织提供信息查验向境外提供记录是否存在上述违规情形《网络安全标准实践指南》6.14.5四、安全保护环节违法违规行为一技术措施不足违规情形典型表现识别方法法律依据未加密存储敏感信息明文存储于数据库技术检测数据库加密情况《个人信息保护法》第五十一条未加密传输使用HTTP而非HTTPS传输敏感信息使用抓包工具检测传输协议《个人信息保护法》第五十一条访问控制缺失无权限管理或权限过大检查访问权限配置及账号权限列表《个人信息保护法》第五十一条日志记录不全无操作日志或日志保存期限不足检查系统日志及保存策略《个人信息保护法》第五十一条二删除不彻底违规情形典型表现识别方法法律依据仅前端隐藏用户申请删除后仅从界面隐藏后台仍保留验证删除后数据库记录是否真正删除《个人信息保护法》第四十七条未实现不可恢复删除后数据可通过技术手段恢复检查删除机制是否实现物理删除或彻底覆盖《个人信息保护法》第四十七条备份数据未同步删除主数据删除但备份数据未同步处理检查备份数据的删除策略及执行记录《个人信息保护法》第四十七条三安全事件处置违规违规情形典型表现识别方法法律依据未及时报告泄露事件发生后超过规定时限才报告监管部门查阅安全事件记录与报告时间戳《个人信息保护法》第五十七条未及时通知用户未通知或延迟通知受影响用户检查用户通知记录及通知时间《个人信息保护法》第五十七条未采取补救措施事件发生后未采取有效补救措施检查事件处置记录及补救措施执行情况《个人信息保护法》第五十七条无应急预案无个人信息安全事件应急预案查阅应急预案文档及演练记录《个人信息保护法》第五十一条五、制度与管理环节违法违规行为一组织管理违规违规情形典型表现识别方法法律依据未指定负责人未指定个人信息保护负责人查阅负责人任命文件《个人信息保护法》第五十二条未建立履职评价制度未建立个人信息保护负责人及相关人员履职评价制度查阅个人信息管理制度、人员履职和考核评价记录《网络安全标准实践指南》6.18.9未建立责任制度未建立个人信息违法处理责任制度查阅个人信息管理制度、违规行为处置记录《网络安全标准实践指南》6.18.10未开展合规审计处理超过100万人信息但未按照相关要求定期开展合规审计查阅合规审计报告及开展记录《个人信息保护法》第五十四条二培训与监督违规违规情形典型表现识别方法法律依据未进行安全培训员工无个人信息保护培训记录查阅培训计划、签到记录、考核记录《个人信息保护法》第五十一条未进行合规监督无内部监督检查机制查阅内部监督检查记录《个人信息保护法》第五十一条未响应个人权利请求个人行使查阅、复制、删除等权利时未响应检查个人权利请求处理记录及响应时间《个人信息保护法》第五十条六、审计识别方法总结一文档审查法审查要点 ├── 隐私政策、用户协议告知完整性、清晰度 ├── 内部管理制度负责人制度、责任制度、履职评价制度 ├── 协议合同委托处理协议、第三方共享协议、跨境标准合同 ├── 处理记录同意记录、PIA报告、删除记录、跨境记录 └── 安全记录培训记录、演练记录、事件处置记录、审计报告二系统检查法检查要点 ── 同意界面设计是否默认勾选、是否强制同意、敏感信息单独同意 ├── 权限配置访问控制、账号权限、离职人员账号处理 ├── 加密措施传输加密、存储加密、密钥管理 ── 日志系统操作日志、访问日志、日志保存期限 └── 删除机制是否真正删除、备份同步删除、不可恢复三流程测试法测试要点 ├── 注册流程告知同意、权限索取、未成年人识别 ├── 数据处理流程收集、存储、使用、加工、传输、提供、删除 ├── 权利响应流程查阅、复制、更正、删除、撤回同意 ├── 事件处置流程发现、报告、通知、补救 └── 第三方管理流程评估、签约、监督、终止四抽样验证法验证要点 ├── 同意记录抽样验证同意的真实性、完整性 ├── 数据处理记录抽样验证处理是否符合告知目的 ├── 删除记录抽样验证删除是否彻底 ├── 跨境记录抽样验证是否满足法定条件 └── 第三方共享抽样验证是否告知并取得单独同意七、典型案例参考案例1未告知共享违规情形某在线教育平台用户超500万在未明确告知的情况下将用户学习数据共享给第三方广告公司。违规点未在隐私政策中告知第三方名称、共享目的、信息类型未取得用户单独同意违反《个人信息保护法》第二十三条整改建议重新梳理第三方共享情况建立第三方清单修改隐私政策逐项告知第三方信息重新取得用户对数据共享的单独同意与第三方签订数据处理协议案例2删除不彻底违规情形用户申请注销账号后个人信息仅从前端界面隐藏后台数据库仍保留。违规点未实现个人信息的真正删除违反《个人信息保护法》第四十七条整改建议修改删除机制实现物理删除或彻底覆盖同步处理备份数据验证删除后数据不可恢复八、风险等级评估参考风险等级判定标准典型违规高风险涉及敏感信息、大规模用户、跨境传输、监管重点关注人脸信息未单独同意、超100万人信息未审计、跨境未评估中风险涉及一般个人信息、影响范围有限、可整改告知内容不完整、培训记录缺失、日志保存不足低风险轻微瑕疵、影响较小、易于纠正隐私政策表述不够清晰、部分记录不完整参考来源结语以上梳理的违法违规行为类型及识别方法基于《个人信息保护法》《网络安全标准实践指南》等权威资料整理而成。审计人员在实务中应结合被审计单位的具体业务场景灵活运用多种审计方法系统识别潜在违规风险确保审计工作的全面性和准确性。