新華社北京2月14日電 記者14日從國家互聯(lián)網(wǎng)信息辦公室獲悉,國家網(wǎng)信辦近日公布《個(gè)人信息保護(hù)合規(guī)審計(jì)管理辦法》,旨在為個(gè)人信息處理者開展個(gè)人信息保護(hù)合規(guī)審計(jì)提供系統(tǒng)性、針對性、可操作性的規(guī)范,提升個(gè)人信息處理活動合法合規(guī)水平,保護(hù)個(gè)人信息權(quán)益。
國家網(wǎng)信辦有關(guān)負(fù)責(zé)人表示,當(dāng)前,個(gè)人信息被企業(yè)、機(jī)構(gòu)甚至個(gè)人廣泛收集使用,個(gè)人信息保護(hù)和個(gè)人信息利用的矛盾日益突出。為壓實(shí)個(gè)人信息處理者個(gè)人信息保護(hù)主體責(zé)任,加強(qiáng)個(gè)人信息處理活動風(fēng)險(xiǎn)控制和監(jiān)督,個(gè)人信息保護(hù)法、網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例對個(gè)人信息處理者開展個(gè)人信息保護(hù)合規(guī)審計(jì)作了規(guī)定。為有效落實(shí)法律法規(guī)要求,國家網(wǎng)信辦制定出臺辦法,對個(gè)人信息保護(hù)合規(guī)審計(jì)活動的開展、合規(guī)審計(jì)機(jī)構(gòu)的選擇、合規(guī)審計(jì)的頻次、個(gè)人信息處理者和專業(yè)機(jī)構(gòu)在合規(guī)審計(jì)中的義務(wù)等作出細(xì)化規(guī)定。
辦法明確了個(gè)人信息處理者開展合規(guī)審計(jì)的兩種情形。一是個(gè)人信息處理者自行開展合規(guī)審計(jì)的,應(yīng)當(dāng)由個(gè)人信息處理者內(nèi)部機(jī)構(gòu)或者委托專業(yè)機(jī)構(gòu)定期對其處理個(gè)人信息遵守法律、行政法規(guī)的情況進(jìn)行合規(guī)審計(jì)。處理超過1000萬人個(gè)人信息的個(gè)人信息處理者,應(yīng)當(dāng)每兩年至少開展一次個(gè)人信息保護(hù)合規(guī)審計(jì)。二是履行個(gè)人信息保護(hù)職責(zé)的部門發(fā)現(xiàn)個(gè)人信息處理活動存在較大風(fēng)險(xiǎn)、可能侵害眾多個(gè)人的權(quán)益或者發(fā)生個(gè)人信息安全事件的,可以要求個(gè)人信息處理者委托專業(yè)機(jī)構(gòu)對個(gè)人信息處理活動進(jìn)行合規(guī)審計(jì)。
辦法將于2025年5月1日起施行。
近日,國家互聯(lián)網(wǎng)信息辦公室公布《個(gè)人信息保護(hù)合規(guī)審計(jì)管理辦法》(以下簡稱《辦法》)。國家互聯(lián)網(wǎng)信息辦公室有關(guān)負(fù)責(zé)人就《辦法》相關(guān)問題回答了記者提問。
問1:請介紹一下《辦法》的出臺背景?
答:當(dāng)前,個(gè)人信息被企業(yè)、機(jī)構(gòu)甚至個(gè)人廣泛收集使用,個(gè)人信息保護(hù)和個(gè)人信息利用的矛盾日益突出。為壓實(shí)個(gè)人信息處理者個(gè)人信息保護(hù)主體責(zé)任,加強(qiáng)個(gè)人信息處理活動風(fēng)險(xiǎn)控制和監(jiān)督,《中華人民共和國個(gè)人信息保護(hù)法》《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》對個(gè)人信息處理者開展合規(guī)審計(jì)作了規(guī)定。為有效落實(shí)法律法規(guī)要求,國家互聯(lián)網(wǎng)信息辦公室制定出臺《辦法》,對個(gè)人信息保護(hù)合規(guī)審計(jì)活動的開展、合規(guī)審計(jì)機(jī)構(gòu)的選擇、合規(guī)審計(jì)的頻次、個(gè)人信息處理者和專業(yè)機(jī)構(gòu)在合規(guī)審計(jì)中的義務(wù)等作出細(xì)化規(guī)定,旨在為個(gè)人信息處理者開展個(gè)人信息保護(hù)合規(guī)審計(jì)提供系統(tǒng)性、針對性、可操作性的規(guī)范,提升個(gè)人信息處理活動合法合規(guī)水平,保護(hù)個(gè)人信息權(quán)益。
問2:我國法律法規(guī)中對個(gè)人信息保護(hù)合規(guī)審計(jì)作了哪些規(guī)定?
答:《中華人民共和國個(gè)人信息保護(hù)法》第五十四條規(guī)定,個(gè)人信息處理者應(yīng)當(dāng)定期對其處理個(gè)人信息遵守法律、行政法規(guī)的情況進(jìn)行合規(guī)審計(jì)。第六十四條規(guī)定,履行個(gè)人信息保護(hù)職責(zé)的部門在履行職責(zé)中,發(fā)現(xiàn)個(gè)人信息處理活動存在較大風(fēng)險(xiǎn)或者發(fā)生個(gè)人信息安全事件的,可以按照規(guī)定的權(quán)限和程序?qū)υ搨€(gè)人信息處理者的法定代表人或者主要負(fù)責(zé)人進(jìn)行約談,或者要求個(gè)人信息處理者委托專業(yè)機(jī)構(gòu)對其個(gè)人信息處理活動進(jìn)行合規(guī)審計(jì)。《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》第二十七條規(guī)定,網(wǎng)絡(luò)數(shù)據(jù)處理者應(yīng)當(dāng)定期自行或者委托專業(yè)機(jī)構(gòu)對其處理個(gè)人信息遵守法律、行政法規(guī)的情況進(jìn)行合規(guī)審計(jì)。以上法律法規(guī)明確了個(gè)人信息保護(hù)合規(guī)審計(jì)的兩種情形:一是個(gè)人信息處理者自行開展合規(guī)審計(jì)。二是按照履行個(gè)人信息保護(hù)職責(zé)的部門要求,委托專業(yè)機(jī)構(gòu)開展合規(guī)審計(jì)。
問3:《辦法》的主要內(nèi)容是什么?
答:《辦法》主要對下列內(nèi)容進(jìn)行了規(guī)定:一是明確個(gè)人信息處理者自行開展合規(guī)審計(jì)和按照履行個(gè)人信息保護(hù)職責(zé)的部門要求委托專業(yè)機(jī)構(gòu)開展合規(guī)審計(jì)的條件,合規(guī)審計(jì)機(jī)構(gòu)的選擇和合規(guī)審計(jì)的頻次。二是明確開展合規(guī)審計(jì)的個(gè)人信息處理者應(yīng)當(dāng)履行的義務(wù),規(guī)定個(gè)人信息處理者按照履行個(gè)人信息保護(hù)職責(zé)的部門要求開展合規(guī)審計(jì)的,應(yīng)當(dāng)為專業(yè)機(jī)構(gòu)正常開展合規(guī)審計(jì)工作提供必要支持并承擔(dān)審計(jì)費(fèi)用,在限定時(shí)間內(nèi)完成合規(guī)審計(jì),報(bào)送合規(guī)審計(jì)報(bào)告并進(jìn)行整改。三是明確專業(yè)機(jī)構(gòu)在合規(guī)審計(jì)中的義務(wù),規(guī)定專業(yè)機(jī)構(gòu)應(yīng)當(dāng)具備開展合規(guī)審計(jì)的能力,遵守法律法規(guī),明確同一專業(yè)機(jī)構(gòu)及其關(guān)聯(lián)機(jī)構(gòu)、同一合規(guī)審計(jì)負(fù)責(zé)人不得連續(xù)三次以上對同一審計(jì)對象開展個(gè)人信息保護(hù)合規(guī)審計(jì)。四是明確履行個(gè)人信息保護(hù)職責(zé)的部門對個(gè)人信息處理者開展合規(guī)審計(jì)情況進(jìn)行監(jiān)督檢查,任何組織、個(gè)人有權(quán)對合規(guī)審計(jì)中的違法活動向履行個(gè)人信息保護(hù)職責(zé)的部門進(jìn)行投訴、舉報(bào),并規(guī)定個(gè)人信息處理者、專業(yè)機(jī)構(gòu)違反《辦法》規(guī)定的法律責(zé)任。
問4:個(gè)人信息處理者在什么情況下需要開展個(gè)人信息保護(hù)合規(guī)審計(jì)?
答:個(gè)人信息處理者開展個(gè)人信息保護(hù)合規(guī)審計(jì)分兩種情形:一是自行開展合規(guī)審計(jì),即個(gè)人信息處理者應(yīng)當(dāng)定期對其處理個(gè)人信息遵守法律、行政法規(guī)的情況進(jìn)行合規(guī)審計(jì)。處理超過1000萬人個(gè)人信息的個(gè)人信息處理者,應(yīng)當(dāng)每兩年至少開展一次個(gè)人信息保護(hù)合規(guī)審計(jì)。其他個(gè)人信息處理者根據(jù)自身情況合理確定定期開展個(gè)人信息保護(hù)合規(guī)審計(jì)的頻次。二是按照要求開展合規(guī)審計(jì),即履行個(gè)人信息保護(hù)職責(zé)的部門在履行職責(zé)中,發(fā)現(xiàn)個(gè)人信息處理活動存在較大風(fēng)險(xiǎn)、可能侵害眾多個(gè)人的權(quán)益或者發(fā)生個(gè)人信息安全事件的,可以要求個(gè)人信息處理者委托專業(yè)機(jī)構(gòu)對其個(gè)人信息處理活動進(jìn)行合規(guī)審計(jì)。
問5:個(gè)人信息處理者如何選擇合規(guī)審計(jì)機(jī)構(gòu)?
答:個(gè)人信息處理者自行開展合規(guī)審計(jì)時(shí),可以選擇由內(nèi)部機(jī)構(gòu)自行開展,也可以委托專業(yè)機(jī)構(gòu)開展。《辦法》對采取何種審計(jì)方式、是否選擇專業(yè)機(jī)構(gòu),以及選擇哪家專業(yè)機(jī)構(gòu)沒有強(qiáng)制性要求。個(gè)人信息處理活動存在較大風(fēng)險(xiǎn)、可能侵害眾多個(gè)人的權(quán)益或者發(fā)生個(gè)人信息安全事件時(shí),履行個(gè)人信息保護(hù)職責(zé)的部門可以要求個(gè)人信息處理者委托專業(yè)機(jī)構(gòu)開展個(gè)人信息保護(hù)合規(guī)審計(jì)。
問6:《辦法》對專業(yè)機(jī)構(gòu)提出了哪些要求?
答:專業(yè)機(jī)構(gòu)接受個(gè)人信息處理者委托開展合規(guī)審計(jì),應(yīng)當(dāng)公正客觀地作出合規(guī)審計(jì)結(jié)論,提出合規(guī)審計(jì)建議,其出具的合規(guī)審計(jì)報(bào)告是履行個(gè)人信息保護(hù)職責(zé)的部門開展監(jiān)督管理工作的重要參考。《辦法》對專業(yè)機(jī)構(gòu)提出以下要求:一是應(yīng)當(dāng)具備開展個(gè)人信息保護(hù)合規(guī)審計(jì)的能力,有與服務(wù)相適應(yīng)的審計(jì)人員、場所、設(shè)施和資金等。二是應(yīng)當(dāng)遵守法律法規(guī),誠信正直,公正客觀地作出合規(guī)審計(jì)職業(yè)判斷,對在履行個(gè)人信息保護(hù)合規(guī)審計(jì)職責(zé)中獲得的個(gè)人信息、商業(yè)秘密、保密商務(wù)信息等依法予以保密,不得泄露或者非法向他人提供,在合規(guī)審計(jì)工作結(jié)束后及時(shí)刪除相關(guān)信息。三是不得轉(zhuǎn)委托其他機(jī)構(gòu)開展個(gè)人信息保護(hù)合規(guī)審計(jì)。四是同一專業(yè)機(jī)構(gòu)及其關(guān)聯(lián)機(jī)構(gòu)、同一合規(guī)審計(jì)負(fù)責(zé)人不得連續(xù)三次以上對同一審計(jì)對象開展個(gè)人信息保護(hù)合規(guī)審計(jì)。
問7:《辦法》如何對專業(yè)機(jī)構(gòu)進(jìn)行管理?
答:《辦法》遵循自愿性、市場化的原則,通過認(rèn)證認(rèn)可方式對專業(yè)機(jī)構(gòu)進(jìn)行監(jiān)督管理。專業(yè)機(jī)構(gòu)的認(rèn)證按照《中華人民共和國認(rèn)證認(rèn)可條例》的有關(guān)規(guī)定執(zhí)行。具備開展個(gè)人信息保護(hù)合規(guī)審計(jì)能力,有與服務(wù)相適應(yīng)的審計(jì)人員、場所、設(shè)施和資金的專業(yè)機(jī)構(gòu),可以自愿申請相關(guān)服務(wù)能力認(rèn)證。
問8:個(gè)人信息處理者按照履行個(gè)人信息保護(hù)職責(zé)的部門要求開展個(gè)人信息保護(hù)合規(guī)審計(jì)時(shí),應(yīng)當(dāng)履行哪些義務(wù)?
答:《辦法》對個(gè)人信息處理者按照履行個(gè)人信息保護(hù)職責(zé)的部門要求開展個(gè)人信息保護(hù)合規(guī)審計(jì)提出以下要求:一是保障合規(guī)審計(jì)正常進(jìn)行,為專業(yè)機(jī)構(gòu)正常開展個(gè)人信息保護(hù)合規(guī)審計(jì)工作提供必要支持,并承擔(dān)審計(jì)費(fèi)用。二是按照履行個(gè)人信息保護(hù)職責(zé)的部門要求選定專業(yè)機(jī)構(gòu),在限定時(shí)間內(nèi)完成個(gè)人信息保護(hù)合規(guī)審計(jì),情況復(fù)雜的,報(bào)履行個(gè)人信息保護(hù)職責(zé)的部門批準(zhǔn)后,可以適當(dāng)延長。三是報(bào)送合規(guī)審計(jì)報(bào)告并進(jìn)行整改,個(gè)人信息處理者在完成合規(guī)審計(jì)后,應(yīng)當(dāng)將專業(yè)機(jī)構(gòu)出具的個(gè)人信息保護(hù)合規(guī)審計(jì)報(bào)告報(bào)送履行個(gè)人信息保護(hù)職責(zé)的部門,按照履行個(gè)人信息保護(hù)職責(zé)的部門要求對合規(guī)審計(jì)中發(fā)現(xiàn)的問題進(jìn)行整改,在整改完成后15個(gè)工作日內(nèi),向履行個(gè)人信息保護(hù)職責(zé)的部門報(bào)送整改情況報(bào)告。
問9:個(gè)人信息處理者開展個(gè)人信息保護(hù)合規(guī)審計(jì)如何適用《個(gè)人信息保護(hù)合規(guī)審計(jì)指引》?
答:《個(gè)人信息保護(hù)合規(guī)審計(jì)指引》對個(gè)人信息保護(hù)相關(guān)法律、行政法規(guī)的關(guān)鍵要點(diǎn)作了梳理,從合規(guī)審計(jì)的角度進(jìn)行了細(xì)化,便于個(gè)人信息處理者對個(gè)人信息處理活動是否遵守法律、行政法規(guī)要求進(jìn)行審查和評價(jià)。個(gè)人信息處理者自行開展或者按照履行個(gè)人信息保護(hù)職責(zé)的部門要求委托專業(yè)機(jī)構(gòu)開展個(gè)人信息保護(hù)合規(guī)審計(jì),應(yīng)當(dāng)參照《個(gè)人信息保護(hù)合規(guī)審計(jì)指引》。
