新華社北京2月14日電 記者14日從國家互聯(lián)網(wǎng)信息辦公室獲悉��,國家網(wǎng)信辦近日公布《個(gè)人信息保護合規審計管理辦法》���,旨在為個(gè)人信息處理者開(kāi)展個(gè)人信息保護合規審計提供系統性���、針對性���、可操作性的規范����,提升個(gè)人信息處理活動(dòng)合法合規水平�,保護個(gè)人信息權益��。
國家網(wǎng)信辦有關(guān)負責人表示�,當前����,個(gè)人信息被企業(yè)���、機構甚至個(gè)人廣泛收集使用��,個(gè)人信息保護和個(gè)人信息利用的矛盾日益突出��。為壓實(shí)個(gè)人信息處理者個(gè)人信息保護主體責任����,加強個(gè)人信息處理活動(dòng)風(fēng)險控制和監督��,個(gè)人信息保護法�����、網(wǎng)絡(luò )數據安全管理條例對個(gè)人信息處理者開(kāi)展個(gè)人信息保護合規審計作了規定���。為有效落實(shí)法律法規要求�����,國家網(wǎng)信辦制定出臺辦法�����,對個(gè)人信息保護合規審計活動(dòng)的開(kāi)展�、合規審計機構的選擇���、合規審計的頻次�����、個(gè)人信息處理者和專(zhuān)業(yè)機構在合規審計中的義務(wù)等作出細化規定�。
辦法明確了個(gè)人信息處理者開(kāi)展合規審計的兩種情形�����。一是個(gè)人信息處理者自行開(kāi)展合規審計的�,應當由個(gè)人信息處理者內部機構或者委托專(zhuān)業(yè)機構定期對其處理個(gè)人信息遵守法律����、行政法規的情況進(jìn)行合規審計��。處理超過(guò)1000萬(wàn)人個(gè)人信息的個(gè)人信息處理者����,應當每?jì)赡曛辽匍_(kāi)展一次個(gè)人信息保護合規審計���。二是履行個(gè)人信息保護職責的部門(mén)發(fā)現個(gè)人信息處理活動(dòng)存在較大風(fēng)險��、可能侵害眾多個(gè)人的權益或者發(fā)生個(gè)人信息安全事件的����,可以要求個(gè)人信息處理者委托專(zhuān)業(yè)機構對個(gè)人信息處理活動(dòng)進(jìn)行合規審計����。
辦法將于2025年5月1日起施行�����。
近日�����,國家互聯(lián)網(wǎng)信息辦公室公布《個(gè)人信息保護合規審計管理辦法》(以下簡(jiǎn)稱(chēng)《辦法》)�。國家互聯(lián)網(wǎng)信息辦公室有關(guān)負責人就《辦法》相關(guān)問(wèn)題回答了記者提問(wèn)��。
問(wèn)1:請介紹一下《辦法》的出臺背景����?
答:當前�����,個(gè)人信息被企業(yè)��、機構甚至個(gè)人廣泛收集使用���,個(gè)人信息保護和個(gè)人信息利用的矛盾日益突出�。為壓實(shí)個(gè)人信息處理者個(gè)人信息保護主體責任�,加強個(gè)人信息處理活動(dòng)風(fēng)險控制和監督���,《中華人民共和國個(gè)人信息保護法》《網(wǎng)絡(luò )數據安全管理條例》對個(gè)人信息處理者開(kāi)展合規審計作了規定���。為有效落實(shí)法律法規要求��,國家互聯(lián)網(wǎng)信息辦公室制定出臺《辦法》�,對個(gè)人信息保護合規審計活動(dòng)的開(kāi)展����、合規審計機構的選擇���、合規審計的頻次�����、個(gè)人信息處理者和專(zhuān)業(yè)機構在合規審計中的義務(wù)等作出細化規定����,旨在為個(gè)人信息處理者開(kāi)展個(gè)人信息保護合規審計提供系統性�、針對性��、可操作性的規范����,提升個(gè)人信息處理活動(dòng)合法合規水平�,保護個(gè)人信息權益��。
問(wèn)2:我國法律法規中對個(gè)人信息保護合規審計作了哪些規定��?
答:《中華人民共和國個(gè)人信息保護法》第五十四條規定��,個(gè)人信息處理者應當定期對其處理個(gè)人信息遵守法律��、行政法規的情況進(jìn)行合規審計����。第六十四條規定����,履行個(gè)人信息保護職責的部門(mén)在履行職責中����,發(fā)現個(gè)人信息處理活動(dòng)存在較大風(fēng)險或者發(fā)生個(gè)人信息安全事件的����,可以按照規定的權限和程序對該個(gè)人信息處理者的法定代表人或者主要負責人進(jìn)行約談�����,或者要求個(gè)人信息處理者委托專(zhuān)業(yè)機構對其個(gè)人信息處理活動(dòng)進(jìn)行合規審計���?!毒W(wǎng)絡(luò )數據安全管理條例》第二十七條規定�,網(wǎng)絡(luò )數據處理者應當定期自行或者委托專(zhuān)業(yè)機構對其處理個(gè)人信息遵守法律��、行政法規的情況進(jìn)行合規審計���。以上法律法規明確了個(gè)人信息保護合規審計的兩種情形:一是個(gè)人信息處理者自行開(kāi)展合規審計����。二是按照履行個(gè)人信息保護職責的部門(mén)要求�����,委托專(zhuān)業(yè)機構開(kāi)展合規審計���。
問(wèn)3:《辦法》的主要內容是什么�?
答:《辦法》主要對下列內容進(jìn)行了規定:一是明確個(gè)人信息處理者自行開(kāi)展合規審計和按照履行個(gè)人信息保護職責的部門(mén)要求委托專(zhuān)業(yè)機構開(kāi)展合規審計的條件���,合規審計機構的選擇和合規審計的頻次�。二是明確開(kāi)展合規審計的個(gè)人信息處理者應當履行的義務(wù)��,規定個(gè)人信息處理者按照履行個(gè)人信息保護職責的部門(mén)要求開(kāi)展合規審計的�,應當為專(zhuān)業(yè)機構正常開(kāi)展合規審計工作提供必要支持并承擔審計費用�,在限定時(shí)間內完成合規審計��,報送合規審計報告并進(jìn)行整改����。三是明確專(zhuān)業(yè)機構在合規審計中的義務(wù)���,規定專(zhuān)業(yè)機構應當具備開(kāi)展合規審計的能力����,遵守法律法規��,明確同一專(zhuān)業(yè)機構及其關(guān)聯(lián)機構�、同一合規審計負責人不得連續三次以上對同一審計對象開(kāi)展個(gè)人信息保護合規審計����。四是明確履行個(gè)人信息保護職責的部門(mén)對個(gè)人信息處理者開(kāi)展合規審計情況進(jìn)行監督檢查�,任何組織�����、個(gè)人有權對合規審計中的違法活動(dòng)向履行個(gè)人信息保護職責的部門(mén)進(jìn)行投訴�����、舉報��,并規定個(gè)人信息處理者����、專(zhuān)業(yè)機構違反《辦法》規定的法律責任���。
問(wèn)4:個(gè)人信息處理者在什么情況下需要開(kāi)展個(gè)人信息保護合規審計����?
答:個(gè)人信息處理者開(kāi)展個(gè)人信息保護合規審計分兩種情形:一是自行開(kāi)展合規審計�����,即個(gè)人信息處理者應當定期對其處理個(gè)人信息遵守法律��、行政法規的情況進(jìn)行合規審計���。處理超過(guò)1000萬(wàn)人個(gè)人信息的個(gè)人信息處理者�����,應當每?jì)赡曛辽匍_(kāi)展一次個(gè)人信息保護合規審計�����。其他個(gè)人信息處理者根據自身情況合理確定定期開(kāi)展個(gè)人信息保護合規審計的頻次�。二是按照要求開(kāi)展合規審計��,即履行個(gè)人信息保護職責的部門(mén)在履行職責中����,發(fā)現個(gè)人信息處理活動(dòng)存在較大風(fēng)險���、可能侵害眾多個(gè)人的權益或者發(fā)生個(gè)人信息安全事件的�����,可以要求個(gè)人信息處理者委托專(zhuān)業(yè)機構對其個(gè)人信息處理活動(dòng)進(jìn)行合規審計���。
問(wèn)5:個(gè)人信息處理者如何選擇合規審計機構�����?
答:個(gè)人信息處理者自行開(kāi)展合規審計時(shí)�����,可以選擇由內部機構自行開(kāi)展�,也可以委托專(zhuān)業(yè)機構開(kāi)展���?�!掇k法》對采取何種審計方式�、是否選擇專(zhuān)業(yè)機構���,以及選擇哪家專(zhuān)業(yè)機構沒(méi)有強制性要求�。個(gè)人信息處理活動(dòng)存在較大風(fēng)險�����、可能侵害眾多個(gè)人的權益或者發(fā)生個(gè)人信息安全事件時(shí)����,履行個(gè)人信息保護職責的部門(mén)可以要求個(gè)人信息處理者委托專(zhuān)業(yè)機構開(kāi)展個(gè)人信息保護合規審計����。
問(wèn)6:《辦法》對專(zhuān)業(yè)機構提出了哪些要求����?
答:專(zhuān)業(yè)機構接受個(gè)人信息處理者委托開(kāi)展合規審計�,應當公正客觀(guān)地作出合規審計結論����,提出合規審計建議��,其出具的合規審計報告是履行個(gè)人信息保護職責的部門(mén)開(kāi)展監督管理工作的重要參考����?����!掇k法》對專(zhuān)業(yè)機構提出以下要求:一是應當具備開(kāi)展個(gè)人信息保護合規審計的能力�����,有與服務(wù)相適應的審計人員����、場(chǎng)所��、設施和資金等��。二是應當遵守法律法規�����,誠信正直����,公正客觀(guān)地作出合規審計職業(yè)判斷�����,對在履行個(gè)人信息保護合規審計職責中獲得的個(gè)人信息�����、商業(yè)秘密�����、保密商務(wù)信息等依法予以保密�����,不得泄露或者非法向他人提供���,在合規審計工作結束后及時(shí)刪除相關(guān)信息����。三是不得轉委托其他機構開(kāi)展個(gè)人信息保護合規審計�����。四是同一專(zhuān)業(yè)機構及其關(guān)聯(lián)機構�、同一合規審計負責人不得連續三次以上對同一審計對象開(kāi)展個(gè)人信息保護合規審計�。
問(wèn)7:《辦法》如何對專(zhuān)業(yè)機構進(jìn)行管理���?
答:《辦法》遵循自愿性�、市場(chǎng)化的原則����,通過(guò)認證認可方式對專(zhuān)業(yè)機構進(jìn)行監督管理����。專(zhuān)業(yè)機構的認證按照《中華人民共和國認證認可條例》的有關(guān)規定執行�。具備開(kāi)展個(gè)人信息保護合規審計能力�����,有與服務(wù)相適應的審計人員�、場(chǎng)所��、設施和資金的專(zhuān)業(yè)機構��,可以自愿申請相關(guān)服務(wù)能力認證�����。
問(wèn)8:個(gè)人信息處理者按照履行個(gè)人信息保護職責的部門(mén)要求開(kāi)展個(gè)人信息保護合規審計時(shí)�����,應當履行哪些義務(wù)�����?
答:《辦法》對個(gè)人信息處理者按照履行個(gè)人信息保護職責的部門(mén)要求開(kāi)展個(gè)人信息保護合規審計提出以下要求:一是保障合規審計正常進(jìn)行����,為專(zhuān)業(yè)機構正常開(kāi)展個(gè)人信息保護合規審計工作提供必要支持���,并承擔審計費用����。二是按照履行個(gè)人信息保護職責的部門(mén)要求選定專(zhuān)業(yè)機構�����,在限定時(shí)間內完成個(gè)人信息保護合規審計����,情況復雜的�,報履行個(gè)人信息保護職責的部門(mén)批準后���,可以適當延長(cháng)��。三是報送合規審計報告并進(jìn)行整改��,個(gè)人信息處理者在完成合規審計后��,應當將專(zhuān)業(yè)機構出具的個(gè)人信息保護合規審計報告報送履行個(gè)人信息保護職責的部門(mén)�,按照履行個(gè)人信息保護職責的部門(mén)要求對合規審計中發(fā)現的問(wèn)題進(jìn)行整改�����,在整改完成后15個(gè)工作日內����,向履行個(gè)人信息保護職責的部門(mén)報送整改情況報告����。
問(wèn)9:個(gè)人信息處理者開(kāi)展個(gè)人信息保護合規審計如何適用《個(gè)人信息保護合規審計指引》����?
答:《個(gè)人信息保護合規審計指引》對個(gè)人信息保護相關(guān)法律���、行政法規的關(guān)鍵要點(diǎn)作了梳理�,從合規審計的角度進(jìn)行了細化��,便于個(gè)人信息處理者對個(gè)人信息處理活動(dòng)是否遵守法律�、行政法規要求進(jìn)行審查和評價(jià)��。個(gè)人信息處理者自行開(kāi)展或者按照履行個(gè)人信息保護職責的部門(mén)要求委托專(zhuān)業(yè)機構開(kāi)展個(gè)人信息保護合規審計����,應當參照《個(gè)人信息保護合規審計指引》���。
