背 景
2023年08月03日,国家互联网信息办公室发布了《个人信息保护合规审计管理办法(征求意见稿)》(以下简称“《审计办法》”),并同步发布了《个人信息保护合规审计参考要点》(以下简称“《审计要点》”)旨在指导、规范个人信息保护合规审计活动,提高个人信息处理活动合规水平,保护个人信息权益。
个人信息保护相关监管体系和框架
2020年3月6日,GB/T35273-2020《信息安全技术个人信息安全规范》正式发布,并将于2020年10月1日实施。
2021年8月20日,十三届全国人大常委会第三十次会议表决通过《中华人民共和国个人信息保护法》,自2021年11月1日起施行。
2022年5月19日,经国家互联网信息办公室2022年第10次室务会议审议通过《数据出境安全评估办法》,自2022年9月1日起施行。
2023年2月3日,国家互联网信息办公室令第13号《个人信息出境标准合同办法》经国家互联网信息办公室2023年第2次室务会议审议通过,自2023年6月1日起施行。
2023年5月23日,GB/T42574-2023《个人信息处理中告知和同意的实施指南》正式发布,并将于2023年11月1日实施。
在个人信息合规领域,随着上述文件相继出台,关于个人信息合规管理路径逐渐清晰。本次《审计办法》包括两部分,一是细化《中华人民共和国个人信息保护法》中关于个人信息保护审计实施的要求,二是配套《个人信息保护合规审计参考要点》为个人信息保护合规审计指明实施方向。
个人信息保护合规审计的适用前提
《审计办法》第2条将个人信息保护合规审计制度的适用前提分为个人信息处理者定期开展个人信息保护合规审计(以下简称“定期自主审计”)与监管部门认为个人信息处理活动存在较大风险或者发生个人信息安全事件时要求的不定期强制审计(以下简称“不定期强制审计”)两类情形。
定期自主审计
《审计办法》第4条对其启动条件明确规定为“对于处理超过100万以上个人信息的处理者而言,其应当每年至少开展一次个人信息保护合规审计工作,对于其他个人信息处理者而言,其应当每两年至少开展一次个人信息保护合规审计工作。”
不定期强制审计
《审计办法》第6条规定,履行个人信息保护职责的部门可以在发现个人信息处理活动存在较大风险或者发生个人信息安全事件的情况下依职权要求个人信息处理者开展个人信息保护合规审计工作。委托专业机构对其个人信息处理活动进行合规审计。
同时,《审计办法》对审计机构的推荐和选择也确定了一系列要求,国家网信部门会同公安机关等部门负责开展合规审计的专业机构的推荐目录的建立,并特别规定连续为同一审计对象开展个人信息保护合规审计不得超过三次。
个人信息保护合规审计的适用前提
《审计办法》对我国个人信息保护合规审计制度的适用主体、启动条件、监管机关、审计机构、审计周期、审计要点、法律责任等内容进行了细化规定。如:
选定专业机构
《审计办法》第7条指出“个人信息处理者按照履行个人信息保护职责的部门要求开展个人信息保护合规审计的,应当在收到通知后尽快按照要求选定专业机构进行个人信息保护合规审计。”
审计时间
《审计办法》第9条指出“个人信息处理者按照履行个人信息保护职责部门要求委托专业机构开展个人信息保护合规审计的,应当在90个工作日内完成个人信息保护合规审计;情况复杂的,报经履行个人信息保护职责的部门批准后可适当延长。”
整改和报送
《审计办法》第11条指出“个人信息处理者按照履行个人信息保护职责的部门要求委托专业机构开展个人信息保护合规审计的,应当按照专业机构给出的整改建议进行整改,经专业机构复核后将整改情况报送履行个人信息保护职责的部门。”
转包行为
《审计办法》第14条指出“专业机构在从事个人信息保护合规审计活动时,应当诚信正直,公正客观地作出合规审计职业判断。专业机构不得转包委托第三方开展个人信息保护合规审计。”
法律责任
《审计办法》第15条指出“违反本办法规定的,依据《中华人民共和国个人信息保护法》等法律法规处理;构成犯罪的,依法追究刑事责任。”
个人信息保护合规审计的适用前提
审计目的
《审计要点》第一条指出,其依据《中华人民共和国个人信息保护法》等法律、行政法规和国家标准的强制性要求制定,为开展个人信息保护合规审计提供参考,由此可见,《审计要点》以督促被审计主体积极合规、规范被审计主体个人信息处理活动为目的,促进被审计主体积极履行合规义务,规范处理个人信息的行为。
审计事项
围绕个人信息处理活动的合法性基础条件、个人信息处理规则、个人信息处理者的告知义务及各种特殊处理场景等合规义务,《审计要点》提出审计时应当重点审查的事项,为开展个人信息保护合规审计提供了审计事项参考,从而督促个人信息处理者有效合规。发布《办法》和《审计要点》意味着,按照《个人信息保护法》的规定,个人信息处理者的审计义务将得到进一步实施,它将成为法律执行的关键抓手。
《审计要点》还列举了易引发风险的特殊处理场景的重点审查事项。特殊处理场景包括:与他人共同处理个人信息,委托处理,因合并、重组、分立、解散、被宣告破产等原因需要转移个人信息情形,向其他个人信息处理者提供其处理的个人信息,自动化决策,公开个人信息,在公共场所安装图像采集、个人身份识别设备,处理已公开个人信息,处理敏感个人信息,处理不满十四周岁未成年人个人信息,向境外提供个人信息等。
除了对特殊处理场景的审查建议,个人信息保护合规审计的审核要点还包含个人信息收集和使用、个人信息安全保护、权利主体的知情权和控制权保护、敏感个人信息的特殊保护以及安全事件管理和应急响应等方面。
针对安全事件管理和应急响应,《审计要点》指出,出现个人信息安全事件时,组织机构应及时应对和处置,减少损失和风险。《办法》要求审计人员审核组织机构的安全事件管理和应急响应机制,评估其有效性,并检查组织机构是否能够及时发现、报告并处理安全事件。
重点对象
此外,对于掌握大量个人信息,或对个人信息有较大需求的个人信息密集型企业,这些企业属于个人信息保护法律规范体系的重点规制对象。无论是以个人信息为核心生产资料的互联网企业与大数据交易所,还是利用信息网络开展业务的金融、物流、汽车、教育、健康医疗等行业的企业,一旦在个人信息处理中出现违规行为,那么其面临的法律风险,连带的经济损失、声誉损失以及商业机会的损失等后果将难以估量。因此,有效的个人信息保护合规计划是此类企业维持健康发展的重要保障,是企业核心竞争力的重要组成部分。针对此类大型互联网平台运营者,《审计要点》指出,大型互联网平台运营者应当成立主要由外部成员组成的独立机构对个人信息保护情况进行监督。审计时,应当对独立机构的独立性、履职能力、监督作用等进行评价,对平台规则的合法合规性、公平公正性、个人信息保护条款的有效性及执行情况、平台内产品或者服务提供者的个人信息处理活动监督情况、个人信息保护社会责任报告的披露情况进行审查。
总 结
目前,个人信息保护合规审计已成为国际上普遍接受的做法,《审计办法》的出台是我国个人信息保护工作的一项重要举措,对企业加强个人信息保护合规管理提供了明确的规范和指导。个人信息处理者应当密切关注个人信息保护相关法律政策的出台和落实,积极关注并及时制定相应的个人信息保护管理制度,加强内部管理和外部合作,确保个人信息的安全和合规。同时,定期开展个人信息保护合规审计,包括规章制度的合规性审查、信息安全管理制度的有效性审查、安全事件处理和应急预案的执行审查等方面。审计结果要进行记录保存,并及时采取纠正措施,确保个人信息的安全和合规。只有做好个人信息保护工作,才能赢得用户的信任,推动企业健康发展。
在数字中国建设的大背景下,《审计办法》中提出的个人信息保护合规审计具有重要的实践意义。一方面,通过个人信息保护合规审计的实施,可以暴露出个人信息处理的各个环节中的疏漏和风险点,及时纠正不合规的个人信息处理行为,推动个人信息在社会各个层面的安全收集和应用,最大限度发挥信息优势,为数字中国建设奠定坚实的数据根基。另一方面,开展个人信息保护合规审计,可以规范信息处理的机制、程序,及时控制风险,有效预防个人信息违法违规行为的出现,完善社会治理体系,提升治理水平,为社会稳定和长治久安打下坚实基础。
附:国外个人信息保护体系介绍
更多相关信息,欢迎垂询!
—END—
往期推荐
