行業(yè)動(dòng)態(tài)

專家解讀|開展個(gè)人信息保護(hù)合規(guī)審計(jì) 提升數(shù)據(jù)安全治理監(jiān)管能力

來源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2025-02-21    瀏覽次數(shù):
 

個(gè)人信息保護(hù)事關(guān)廣大人民群眾的切身利益,事關(guān)國家數(shù)據(jù)安全。黨的二十屆三中全會(huì)通過的《中共中央關(guān)于進(jìn)一步全面深化改革、推進(jìn)中國式現(xiàn)代化的決定》要求“提升數(shù)據(jù)安全治理監(jiān)管能力”。近日,國家網(wǎng)信辦公布《個(gè)人信息保護(hù)合規(guī)審計(jì)管理辦法》(以下簡(jiǎn)稱《辦法》),明確了個(gè)人信息保護(hù)合規(guī)審計(jì)的具體要求,對(duì)于完善我國個(gè)人信息保護(hù)制度體系、提高個(gè)人信息保護(hù)水平、提升數(shù)據(jù)安全治理監(jiān)管能力具有重要意義。

一、《辦法》體現(xiàn)了政府監(jiān)管和行業(yè)自律二者并重的治理思路

推動(dòng)政府監(jiān)管和行業(yè)自律形成合力,是提升數(shù)據(jù)治理能力的現(xiàn)實(shí)需要,也是《辦法》制定中著重考慮的問題。一方面,《辦法》明確了國家網(wǎng)信部門和其他履行個(gè)人信息保護(hù)職責(zé)的部門(以下統(tǒng)稱為保護(hù)部門)在個(gè)人信息保護(hù)合規(guī)審計(jì)中的監(jiān)管職責(zé),即個(gè)人信息處理者有以下情形之一的:(一)發(fā)現(xiàn)個(gè)人信息處理活動(dòng)存在嚴(yán)重影響個(gè)人權(quán)益或者嚴(yán)重缺乏安全措施等較大風(fēng)險(xiǎn)的;(二)個(gè)人信息處理活動(dòng)可能侵害眾多個(gè)人的權(quán)益的;(三)發(fā)生個(gè)人信息安全事件,導(dǎo)致100萬人以上個(gè)人信息或者10萬人以上敏感個(gè)人信息泄露、篡改、丟失、毀損的,保護(hù)部門可以要求個(gè)人信息處理者委托專業(yè)機(jī)構(gòu)對(duì)個(gè)人信息處理活動(dòng)進(jìn)行合規(guī)審計(jì)。個(gè)人信息處理者應(yīng)當(dāng)為專業(yè)機(jī)構(gòu)正常開展個(gè)人信息保護(hù)合規(guī)審計(jì)工作提供必要支持,承擔(dān)審計(jì)費(fèi)用,在限定時(shí)間內(nèi)完成審計(jì)工作,并將專業(yè)機(jī)構(gòu)出具的審計(jì)報(bào)告報(bào)送保護(hù)部門。此外,《辦法》還明確,保護(hù)部門對(duì)個(gè)人信息處理者開展個(gè)人信息保護(hù)合規(guī)審計(jì)情況進(jìn)行監(jiān)督檢查。

另一方面,《辦法》規(guī)定,個(gè)人信息處理者自行開展個(gè)人信息保護(hù)合規(guī)審計(jì)的,應(yīng)當(dāng)由個(gè)人信息處理者內(nèi)部機(jī)構(gòu)或者委托專業(yè)機(jī)構(gòu)定期對(duì)其處理個(gè)人信息遵守法律、行政法規(guī)的情況進(jìn)行合規(guī)審計(jì)?!掇k法》明確要求,處理超過1000萬人個(gè)人信息的個(gè)人信息處理者,應(yīng)當(dāng)每?jī)赡曛辽匍_展一次個(gè)人信息保護(hù)合規(guī)審計(jì);處理100萬人以上的個(gè)人信息的個(gè)人信息處理者應(yīng)當(dāng)指定個(gè)人信息保護(hù)負(fù)責(zé)人,負(fù)責(zé)個(gè)人信息處理者的個(gè)人信息保護(hù)合規(guī)審計(jì)工作。

二、《辦法》體現(xiàn)了部門主導(dǎo)和社會(huì)參與協(xié)同推進(jìn)的治理方式

監(jiān)管部門主導(dǎo)和社會(huì)力量參與的協(xié)同,是提高數(shù)據(jù)治理能力的客觀需要,也貫穿于《辦法》的始終?!掇k法》明確開展個(gè)人信息保護(hù)合規(guī)審計(jì),是對(duì)個(gè)人信息處理者的個(gè)人信息處理活動(dòng)是否遵守法律、行政法規(guī)的情況進(jìn)行審查和評(píng)價(jià)的監(jiān)督活動(dòng),系為了保護(hù)個(gè)人信息權(quán)益。一方面,《辦法》規(guī)定,個(gè)人信息處理者按照保護(hù)部門要求開展個(gè)人信息保護(hù)合規(guī)審計(jì)的,應(yīng)當(dāng)按照保護(hù)部門要求選定專業(yè)機(jī)構(gòu)。同時(shí),《辦法》也對(duì)保護(hù)部門的權(quán)限提出要求。例如,對(duì)同一個(gè)人信息安全事件或者風(fēng)險(xiǎn),保護(hù)部門不得重復(fù)要求個(gè)人信息處理者委托專業(yè)機(jī)構(gòu)開展個(gè)人信息保護(hù)合規(guī)審計(jì)。

另一方面,《辦法》明確第三方專業(yè)機(jī)構(gòu)可參與個(gè)人信息保護(hù)合規(guī)審計(jì),并對(duì)其提出明確要求,如應(yīng)當(dāng)具備開展個(gè)人信息保護(hù)合規(guī)審計(jì)的能力,有與服務(wù)相適應(yīng)的審計(jì)人員、場(chǎng)所、設(shè)施和資金等。要求專業(yè)機(jī)構(gòu)在從事個(gè)人信息保護(hù)合規(guī)審計(jì)活動(dòng)時(shí),遵守法律法規(guī),誠信正直,公正客觀地作出合規(guī)審計(jì)職業(yè)判斷,對(duì)在履行個(gè)人信息保護(hù)合規(guī)審計(jì)職責(zé)中獲得的個(gè)人信息、商業(yè)秘密、保密商務(wù)信息等應(yīng)當(dāng)依法予以保密,不得泄露或者非法向他人提供,在合規(guī)審計(jì)工作結(jié)束后及時(shí)刪除相關(guān)信息。要求專業(yè)機(jī)構(gòu)不得轉(zhuǎn)委托其他機(jī)構(gòu)開展個(gè)人信息保護(hù)合規(guī)審計(jì)。同時(shí),《辦法》還明確應(yīng)引入個(gè)人信息處理者外部人員參與監(jiān)督的要求,提供重要互聯(lián)網(wǎng)平臺(tái)服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的個(gè)人信息處理者,應(yīng)當(dāng)成立主要由外部成員組成的獨(dú)立機(jī)構(gòu)對(duì)個(gè)人信息保護(hù)合規(guī)審計(jì)情況進(jìn)行監(jiān)督。此外,《辦法》還鼓勵(lì)社會(huì)大眾積極參與,任何組織、個(gè)人有權(quán)對(duì)個(gè)人信息保護(hù)合規(guī)審計(jì)中的違法活動(dòng)向保護(hù)部門進(jìn)行投訴、舉報(bào)。

值得注意的是,《辦法》明確提出,鼓勵(lì)個(gè)人信息保護(hù)合規(guī)審計(jì)專業(yè)機(jī)構(gòu)通過認(rèn)證,專業(yè)機(jī)構(gòu)的認(rèn)證按照《中華人民共和國認(rèn)證認(rèn)可條例》的有關(guān)規(guī)定執(zhí)行,這將為個(gè)人信息保護(hù)合規(guī)審計(jì)相關(guān)認(rèn)證的創(chuàng)新和發(fā)展提供廣闊的空間。

三、《辦法》體現(xiàn)了法律法規(guī)和政策舉措有效銜接的治理模式

實(shí)現(xiàn)法律法規(guī)和政策舉措的有效銜接是提升數(shù)據(jù)治理能力的必然要求,是我國數(shù)據(jù)治理的優(yōu)良傳統(tǒng)和成功經(jīng)驗(yàn),也是《辦法》的鮮明特點(diǎn)。《中華人民共和國個(gè)人信息保護(hù)法》明確規(guī)定,“個(gè)人信息處理者應(yīng)當(dāng)定期對(duì)其處理個(gè)人信息遵守法律、行政法規(guī)的情況進(jìn)行合規(guī)審計(jì)”“履行個(gè)人信息保護(hù)職責(zé)的部門在履行職責(zé)中,發(fā)現(xiàn)個(gè)人信息處理活動(dòng)存在較大風(fēng)險(xiǎn)或者發(fā)生個(gè)人信息安全事件的,可以按照規(guī)定的權(quán)限和程序?qū)υ搨€(gè)人信息處理者的法定代表人或者主要負(fù)責(zé)人進(jìn)行約談,或者要求個(gè)人信息處理者委托專業(yè)機(jī)構(gòu)對(duì)其個(gè)人信息處理活動(dòng)進(jìn)行合規(guī)審計(jì)”。《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》明確規(guī)定,“網(wǎng)絡(luò)數(shù)據(jù)處理者應(yīng)當(dāng)定期自行或者委托專業(yè)機(jī)構(gòu)對(duì)其處理個(gè)人信息遵守法律、行政法規(guī)的情況進(jìn)行合規(guī)審計(jì)”。

為落實(shí)上述法律、行政法規(guī)規(guī)定,《辦法》在合規(guī)審計(jì)指引部分進(jìn)一步細(xì)化了相關(guān)要求,詳細(xì)列出了二十七個(gè)方面的審查重點(diǎn),包括對(duì)個(gè)人信息處理活動(dòng)的合法性基礎(chǔ)進(jìn)行合規(guī)審計(jì)的重點(diǎn)審查事項(xiàng),對(duì)個(gè)人信息處理規(guī)則進(jìn)行合規(guī)審計(jì)的重點(diǎn)審查事項(xiàng),對(duì)個(gè)人信息處理者履行告知個(gè)人信息處理規(guī)則義務(wù)進(jìn)行合規(guī)審計(jì)的重點(diǎn)審查事項(xiàng),對(duì)個(gè)人信息處理者與其他個(gè)人信息處理者共同處理個(gè)人信息進(jìn)行合規(guī)審計(jì)的重點(diǎn)審查事項(xiàng),對(duì)個(gè)人信息處理者委托處理個(gè)人信息進(jìn)行合規(guī)審計(jì)的重點(diǎn)審查事項(xiàng),對(duì)個(gè)人信息處理者利用自動(dòng)化決策處理個(gè)人信息進(jìn)行合規(guī)審計(jì)的重點(diǎn)審查事項(xiàng),對(duì)個(gè)人信息處理者基于個(gè)人同意公開個(gè)人信息進(jìn)行合規(guī)審計(jì)的重點(diǎn)審查事項(xiàng)等,充分體現(xiàn)了法律法規(guī)與政策舉措的貫通和銜接。

《辦法》的出臺(tái)是我國個(gè)人信息保護(hù)事業(yè)進(jìn)程中的重要節(jié)點(diǎn),必將為提高我國個(gè)人信息保護(hù)水平、提升我國數(shù)據(jù)安全治理監(jiān)管能力發(fā)揮重要作用。(作者:王志成,國家網(wǎng)信辦數(shù)據(jù)與技術(shù)保障中心副主任)

 
 

上一篇:案例精選 | 國內(nèi)某航空大學(xué)大日志場(chǎng)景下的實(shí)名審計(jì)實(shí)踐

下一篇:網(wǎng)絡(luò)洞察2025:惡意軟件發(fā)展方向