6.1.1 知情同意

a) 审计内容：基于个人同意处理个人信息的，是否取得个人同意，该同意是否在个人充分知情的 前提 下自愿、明确作出。

b) 审计证据：隐私政策、征得个人同意机制说明、取得个人同意的实例记录。

c) 审计方法：

1) 查验个人信息处理活动是否属于基于个人同意处理个人信息；

2) 查阅各渠道隐私政策说明是否充分；

3) 查验征得个人同意机制能否保证在处理个人信息前取得个人同意；

4) 查验征得个人同意机制中，个人是否自愿、明确地做出同意行为，不存在默认同意、强制 同 意、欺骗诱导等；

5) 抽查取得个人同意的实例记录，核验是否满足上述要求。

6.1.2 重新取得同意

a) 审计内容：基于个人同意处理个人信息的，个人信息的处理目的、处理方式和处理的个人信息 种类 发生变更的，是否重新取得个人同意；

b) 审计证据：个人信息处理管理机制、个人信息处理审批记录、隐私政策、重新征得个人同意机 制说 明、重新取得个人同意的实例记录。

c) 审计方法：

1) 查验是否具备管理个人信息处理目的、处理方式和处理个人信息种类的机制；

2) 查验个人信息处理目的、处理方式和处理个人信息种类发生变更时的审批记录；

3) 查验个人信息处理目的、处理方式和处理个人信息种类变更后，相应渠道隐私政策是否同 步 修改；

4) 查验是否具备重新征得个人同意机制，能够在个人信息的处理目的、处理方式、处理的个 人 信息种类发生变更时重新征得个人同意；

5) 抽查重新征得个人同意的实例记录，核验征得个人同意机制能否保证重新取得个人同意。

6.1.3 书面同意

a) 审计内容：基于个人同意处理个人信息的，是否依照法律、行政法规规定取得个人同意或者书面同意； b) 审计证据：个人同意操作记录

c) 审计方法：

1) 查验基于个人同意处理个人信息的，是否有个人同意操作记录，包括首次处理个人信息的个人 同意记录、处理规则变更后重新取得的同意记录、撤回同意记录；

2) 查验需要个人书面同意的，是否有个人书面同意操作记录。

CCRC-PIPCA个人信息保护合规审计认证马老师: 135-2173-0416/133-9150-9126

 6.1.4 同意的例外

a) 审计内容：处理个人信息未取得个人同意的，是否属于法律、行政法规规定不需取得个人同意的情形。

b) 审计证据：个人信息保护管理制度、隐私政策。 GB/T XXXXX—XXXX 6 c) 审计方法：

1) 查阅个人信息保护管理制度，是否明确规定处理个人信息不需要取得个人同意的情形，规定的情形是否符合法律、行政法规的要求；

2) 查阅各渠道隐私政策，是否明确说明处理个人信息不需要取得个人同意的情形，说明的情形是否符合法律、行政法规要求；

3) 抽查个人信息处理活动是否存在未征得个人同意的情况。