专家解读|开展个人信息保护合规审计 提升数据安全治理监管能力
个人信息保护事关广大人民群众的切身利益,事关国家数据安全。党的二十届三中全会通过的《中共中央关于进一步全面深化改革、推进中国式现代化的决定》要求“提升数据安全治理监管能力”。近日,国家网信办公布《个人信息保护合规审计管理办法》(以下简称《办法》),明确了个人信息保护合规审计的具体要求,对于完善我国个人信息保护制度体系、提高个人信息保护水平、提升数据安全治理监管能力具有重要意义。
一、《办法》体现了政府监管和行业自律二者并重的治理思路
推动政府监管和行业自律形成合力,是提升数据治理能力的现实需要,也是《办法》制定中着重考虑的问题。一方面,《办法》明确了国家网信部门和其他履行个人信息保护职责的部门(以下统称为保护部门)在个人信息保护合规审计中的监管职责,即个人信息处理者有以下情形之一的:(一)发现个人信息处理活动存在严重影响个人权益或者严重缺乏安全措施等较大风险的;(二)个人信息处理活动可能侵害众多个人的权益的;(三)发生个人信息安全事件,导致100万人以上个人信息或者10万人以上敏感个人信息泄露、篡改、丢失、毁损的,保护部门可以要求个人信息处理者委托专业机构对个人信息处理活动进行合规审计。个人信息处理者应当为专业机构正常开展个人信息保护合规审计工作提供必要支持,承担审计费用,在限定时间内完成审计工作,并将专业机构出具的审计报告报送保护部门。此外,《办法》还明确,保护部门对个人信息处理者开展个人信息保护合规审计情况进行监督检查。
另一方面,《办法》规定,个人信息处理者自行开展个人信息保护合规审计的,应当由个人信息处理者内部机构或者委托专业机构定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。《办法》明确要求,处理超过1000万人个人信息的个人信息处理者,应当每两年至少开展一次个人信息保护合规审计;处理100万人以上的个人信息的个人信息处理者应当指定个人信息保护负责人,负责个人信息处理者的个人信息保护合规审计工作。
二、《办法》体现了部门主导和社会参与协同推进的治理方式
监管部门主导和社会力量参与的协同,是提高数据治理能力的客观需要,也贯穿于《办法》的始终。《办法》明确开展个人信息保护合规审计,是对个人信息处理者的个人信息处理活动是否遵守法律、行政法规的情况进行审查和评价的监督活动,系为了保护个人信息权益。一方面,《办法》规定,个人信息处理者按照保护部门要求开展个人信息保护合规审计的,应当按照保护部门要求选定专业机构。同时,《办法》也对保护部门的权限提出要求。例如,对同一个人信息安全事件或者风险,保护部门不得重复要求个人信息处理者委托专业机构开展个人信息保护合规审计。
另一方面,《办法》明确第三方专业机构可参与个人信息保护合规审计,并对其提出明确要求,如应当具备开展个人信息保护合规审计的能力,有与服务相适应的审计人员、场所、设施和资金等。要求专业机构在从事个人信息保护合规审计活动时,遵守法律法规,诚信正直,公正客观地作出合规审计职业判断,对在履行个人信息保护合规审计职责中获得的个人信息、商业秘密、保密商务信息等应当依法予以保密,不得泄露或者非法向他人提供,在合规审计工作结束后及时删除相关信息。要求专业机构不得转委托其他机构开展个人信息保护合规审计。同时,《办法》还明确应引入个人信息处理者外部人员参与监督的要求,提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当成立主要由外部成员组成的独立机构对个人信息保护合规审计情况进行监督。此外,《办法》还鼓励社会大众积极参与,任何组织、个人有权对个人信息保护合规审计中的违法活动向保护部门进行投诉、举报。
值得注意的是,《办法》明确提出,鼓励个人信息保护合规审计专业机构通过认证,专业机构的认证按照《中华人民共和国认证认可条例》的有关规定执行,这将为个人信息保护合规审计相关认证的创新和发展提供广阔的空间。
三、《办法》体现了法律法规和政策举措有效衔接的治理模式
实现法律法规和政策举措的有效衔接是提升数据治理能力的必然要求,是我国数据治理的优良传统和成功经验,也是《办法》的鲜明特点。《中华人民共和国个人信息保护法》明确规定,“个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计”“履行个人信息保护职责的部门在履行职责中,发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,可以按照规定的权限和程序对该个人信息处理者的法定代表人或者主要负责人进行约谈,或者要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计”。《网络数据安全管理条例》明确规定,“网络数据处理者应当定期自行或者委托专业机构对其处理个人信息遵守法律、行政法规的情况进行合规审计”。
为落实上述法律、行政法规规定,《办法》在合规审计指引部分进一步细化了相关要求,详细列出了二十七个方面的审查重点,包括对个人信息处理活动的合法性基础进行合规审计的重点审查事项,对个人信息处理规则进行合规审计的重点审查事项,对个人信息处理者履行告知个人信息处理规则义务进行合规审计的重点审查事项,对个人信息处理者与其他个人信息处理者共同处理个人信息进行合规审计的重点审查事项,对个人信息处理者委托处理个人信息进行合规审计的重点审查事项,对个人信息处理者利用自动化决策处理个人信息进行合规审计的重点审查事项,对个人信息处理者基于个人同意公开个人信息进行合规审计的重点审查事项等,充分体现了法律法规与政策举措的贯通和衔接。
《办法》的出台是我国个人信息保护事业进程中的重要节点,必将为提高我国个人信息保护水平、提升我国数据安全治理监管能力发挥重要作用。
作者:王志成 国家网信办数据与技术保障中心副主任
以上就是小编为您分享《专家解读|开展个人信息保护合规审计 提升数据安全治理监管能力》的全部内容,更多有关全球华人最新消息、新闻,请多多关注华人头条中国频道。您还可以下载我们的手机APP,每天个性化推荐你想要看的华人资讯!
免责申明
1、本站(网址:52hrtt.com)为用户提供信息存储空间等服务,用户保证对发布的内容享有著作权或已取得合法授权,不会侵犯任何第三方的合法权益。
2、刊载的文章由平台用户所有权归属原作者,不代表同意原文章作者的观点和立场。
3、因平台信息海量,无法杜绝所有侵权行为,如有侵权烦请联系我们(福建可比信息科技有限公司 邮箱:hrtt@52hrtt.com),以便及时删除。
闽公网安备35010202000536号