国家互联网信息办公室公布《个人信息保护合规审计管理办法》(附:全文+答记者问+专家解读)
近日,国家互联网信息办公室公布《个人信息保护合规审计管理办法》(以下简称《办法》),自2025年5月1日起施行。
国家互联网信息办公室有关负责人表示,《中华人民共和国个人信息保护法》《网络数据安全管理条例》对个人信息处理者开展个人信息保护合规审计作了规定,《办法》对合规审计活动的开展、合规审计机构的选择、合规审计的频次、个人信息处理者和专业机构在合规审计中的义务等作出细化规定,旨在为个人信息处理者开展个人信息保护合规审计提供系统性、针对性、可操作性的规范,提升个人信息处理活动合法合规水平,保护个人信息权益。
《办法》明确了个人信息处理者开展合规审计的两种情形。一是个人信息处理者自行开展合规审计的,应当由个人信息处理者内部机构或者委托专业机构定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。处理超过1000万人个人信息的个人信息处理者,应当每两年至少开展一次个人信息保护合规审计。二是履行个人信息保护职责的部门发现个人信息处理活动存在较大风险、可能侵害众多个人的权益或者发生个人信息安全事件的,可以要求个人信息处理者委托专业机构对个人信息处理活动进行合规审计。
《办法》明确了开展合规审计的个人信息处理者应当履行的义务。规定个人信息处理者按照履行个人信息保护职责的部门要求开展合规审计的,应当为专业机构正常开展合规审计工作提供必要支持并承担审计费用,在限定时间内完成合规审计,报送合规审计报告并进行整改。
《办法》明确了专业机构在合规审计中的义务。一是应当具备开展个人信息保护合规审计的能力,有与服务相适应的审计人员、场所、设施和资金等。二是应当遵守法律法规,诚信正直,公正客观地作出合规审计职业判断,对履职中知悉的个人信息、商业秘密、保密商务信息等依法予以保密。三是不得转委托其他机构开展个人信息保护合规审计。四是同一专业机构及其关联机构、同一合规审计负责人不得连续三次以上对同一审计对象开展个人信息保护合规审计。
《办法》以附件形式提供了《个人信息保护合规审计指引》,对个人信息保护相关法律、行政法规的关键要点作了梳理,从合规审计的角度进行了细化。个人信息处理者自行开展或者按照履行个人信息保护职责的部门要求委托专业机构开展个人信息保护合规审计,应当参照《个人信息保护合规审计指引》。
《办法》同时对履行个人信息保护职责的部门的监督管理责任和个人信息处理者、专业机构违反《办法》规定的法律责任等作出了规定。
个人信息保护合规审计管理办法
国家互联网信息办公室令
第18号
《个人信息保护合规审计管理办法》已经2024年5月20日国家互联网信息办公室2024年第15次室务会会议审议通过,现予公布,自2025年5月1日起施行。
国家互联网信息办公室主任 庄荣文
2025年2月12日
个人信息保护合规审计管理办法
第一条 为了规范个人信息保护合规审计活动,保护个人信息权益,根据《中华人民共和国个人信息保护法》、《网络数据安全管理条例》等法律、行政法规,制定本办法。
第二条 在中华人民共和国境内开展个人信息保护合规审计,适用本办法。
本办法所称个人信息保护合规审计,是指对个人信息处理者的个人信息处理活动是否遵守法律、行政法规的情况进行审查和评价的监督活动。
第三条 个人信息处理者自行开展个人信息保护合规审计的,应当由个人信息处理者内部机构或者委托专业机构定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。
第四条 处理超过1000万人个人信息的个人信息处理者,应当每两年至少开展一次个人信息保护合规审计。
第五条 个人信息处理者有以下情形之一的,国家网信部门和其他履行个人信息保护职责的部门(以下统称为保护部门),可以要求个人信息处理者委托专业机构对个人信息处理活动进行合规审计:
(一)发现个人信息处理活动存在严重影响个人权益或者严重缺乏安全措施等较大风险的;
(二)个人信息处理活动可能侵害众多个人的权益的;
(三)发生个人信息安全事件,导致100万人以上个人信息或者10万人以上敏感个人信息泄露、篡改、丢失、毁损的。
对同一个人信息安全事件或者风险,不得重复要求个人信息处理者委托专业机构开展个人信息保护合规审计。
第六条 个人信息处理者自行开展或者按照保护部门要求委托专业机构开展个人信息保护合规审计的,应当参照本办法附件《个人信息保护合规审计指引》。
第七条 专业机构应当具备开展个人信息保护合规审计的能力,有与服务相适应的审计人员、场所、设施和资金等。
鼓励相关专业机构通过认证。专业机构的认证按照《中华人民共和国认证认可条例》的有关规定执行。
第八条 个人信息处理者按照保护部门要求开展个人信息保护合规审计的,应当为专业机构正常开展个人信息保护合规审计工作提供必要支持,并承担审计费用。
第九条 个人信息处理者按照保护部门要求开展个人信息保护合规审计的,应当按照保护部门要求选定专业机构,在限定时间内完成个人信息保护合规审计;情况复杂的,报保护部门批准后,可以适当延长。
第十条 个人信息处理者按照保护部门要求开展个人信息保护合规审计的,在完成合规审计后,应当将专业机构出具的个人信息保护合规审计报告报送保护部门。
个人信息保护合规审计报告应当由专业机构主要负责人、合规审计负责人签字并加盖专业机构公章。
第十一条 个人信息处理者按照保护部门要求开展个人信息保护合规审计的,应当按照保护部门要求对合规审计中发现的问题进行整改。在整改完成后15个工作日内,向保护部门报送整改情况报告。
第十二条 处理100万人以上个人信息的个人信息处理者应当指定个人信息保护负责人,负责个人信息处理者的个人信息保护合规审计工作。
提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当成立主要由外部成员组成的独立机构对个人信息保护合规审计情况进行监督。
第十三条 专业机构在从事个人信息保护合规审计活动时,应当遵守法律法规,诚信正直,公正客观地作出合规审计职业判断,对在履行个人信息保护合规审计职责中获得的个人信息、商业秘密、保密商务信息等应当依法予以保密,不得泄露或者非法向他人提供,在合规审计工作结束后及时删除相关信息。
第十四条 专业机构不得转委托其他机构开展个人信息保护合规审计。
第十五条 同一专业机构及其关联机构、同一合规审计负责人不得连续三次以上对同一审计对象开展个人信息保护合规审计。
第十六条 保护部门对个人信息处理者开展个人信息保护合规审计情况进行监督检查。
第十七条 任何组织、个人有权对个人信息保护合规审计中的违法活动向保护部门进行投诉、举报。收到投诉、举报的部门应当依法及时处理,并将处理结果告知投诉、举报人。
第十八条 个人信息处理者、专业机构违反本办法规定的,依照《中华人民共和国个人信息保护法》、《网络数据安全管理条例》等法律法规的规定处理;构成犯罪的,依法追究刑事责任。
第十九条 对国家机关和法律、法规授权的具有管理公共事务职能的组织的个人信息保护合规审计,不适用本办法。
第二十条 本办法自2025年5月1日起施行。
附件
个人信息保护合规审计指引
一、本指引根据《中华人民共和国个人信息保护法》、《网络数据安全管理条例》等法律、行政法规制定。
二、对个人信息处理活动的合法性基础进行合规审计的,应当重点审查下列事项:
(一)基于个人同意处理个人信息的,是否取得个人同意,该同意是否由个人在充分知情的前提下自愿、明确作出;
(二)基于个人同意处理个人信息的,个人信息的处理目的、处理方式、处理的个人信息种类发生变更的,是否重新取得个人同意;
(三)基于个人同意处理个人信息的,是否依照法律、行政法规取得个人单独同意或者书面同意;
(四)处理个人信息未取得个人同意的,是否属于法律、行政法规规定不需要取得个人同意的情形。
三、对个人信息处理规则进行合规审计的,应当重点审查下列事项:
(一)是否真实、准确、完整地告知个人信息处理者的名称或者姓名和联系方式;
(二)是否以清单等便于查看的形式列明所收集的个人信息及其处理方式和种类;
(三)是否与处理目的直接相关,采取对个人权益影响最小的方式;
(四)是否明确个人信息保存期限或者保存期限的确定方法、到期后的处理方式,以及确定保存期限为实现处理目的所必要的最短时间;
(五)是否明确个人查阅、复制、转移、更正、补充、删除、限制处理个人信息以及注销账号、撤回同意的途径和方法。
四、对个人信息处理者履行告知个人信息处理规则义务进行合规审计的,应当重点审查下列事项:
(一)个人信息处理者在处理个人信息前,是否以显著方式、清晰易懂的语言真实、准确、完整地向个人告知个人信息处理规则;
(二)告知文本的大小、字体和颜色是否便于个人完整阅读告知事项;
(三)线下告知是否通过标注、说明等多种方式向个人履行告知义务;
(四)在线告知是否提供文本信息或者通过适当方式向个人履行告知义务;
(五)个人信息处理规则发生变更的,是否将变更内容及时告知个人;
(六)处理个人信息不需要告知的,是否属于法律、行政法规规定应当保密或者不需要告知的情形。
五、对个人信息处理者与其他个人信息处理者共同处理个人信息进行合规审计的,应当重点审查下列事项:
(一)是否约定各自的权利义务;
(二)个人信息权益保护机制;
(三)个人信息安全事件报告机制;
(四)其他法律、行政法规规定需要约定的权利和义务。
六、对个人信息处理者委托处理个人信息进行合规审计的,应当重点审查下列事项:
(一)个人信息处理者在委托处理个人信息前,是否开展个人信息保护影响评估;
(二)个人信息处理者与受托人签订的合同,是否与受托人约定了委托处理的目的、期限、方式、个人信息的种类、保护措施以及双方的权利义务等;
(三)个人信息处理者是否采取定期检查等方式,对受托人的个人信息处理活动进行监督。
七、个人信息处理者存在因合并、重组、分立、解散、被宣告破产等原因需要转移个人信息情形的,应当重点审查个人信息处理者是否向个人告知接收方的名称或者姓名和联系方式。
八、对个人信息处理者向其他个人信息处理者提供其处理的个人信息进行合规审计的,应当重点审查下列事项:
(一)基于个人同意处理个人信息的,是否取得个人的单独同意;
(二)是否向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,法律、行政法规规定应当保密或者不需要告知的除外;
(三)是否事前进行个人信息保护影响评估。
九、对个人信息处理者利用自动化决策处理个人信息进行合规审计的,应当重点审查下列事项:
(一)自动化决策的透明度,以及自动化决策的结果是否公平、公正;
(二)是否事前告知个人自动化决策处理个人信息的种类及可能带来的影响;
(三)是否事前进行个人信息保护影响评估;
(四)是否向用户提供保障机制,以便个人通过便捷方式拒绝通过自动化决策方式作出对个人权益有重大影响的决定,并要求个人信息处理者就通过自动化决策方式作出对用户个人权益有重大影响的决定予以说明;
(五)向个人进行信息推送、商业营销的,是否同时提供不针对个人特征的选项,或者提供便捷的拒绝自动化决策服务的方式;
(六)是否采取了有效措施,防止自动化决策根据消费者的偏好、交易习惯等对个人在交易条件上实行不合理的差别待遇;
(七)其他可能影响自动化决策的透明度和结果公平、公正的事项。
十、对个人信息处理者基于个人同意公开个人信息进行合规审计的,应当重点审查下列事项:
(一)个人信息处理者公开其处理的个人信息前是否取得个人单独同意,该授权是否真实、有效,是否存在违背个人意愿将个人信息予以公开的情况;
(二)个人信息处理者公开个人信息前,是否进行个人信息保护影响评估。
十一、个人信息处理者在公共场所安装图像收集、个人身份识别设备的,应当重点对其安装图像收集、个人信息身份识别设备的合法性及所收集个人信息的用途进行审查。审查内容包括但不限于:
(一)是否为维护公共安全所必需,是否为商业目的处理所收集的个人信息;
(二)是否设置了显著的提示标识;
(三)个人信息处理者所收集的个人图像、身份识别信息用于维护公共安全以外用途的,是否取得个人单独同意。
十二、对个人信息处理者处理已公开的个人信息进行合规审计的,应当重点审查个人信息处理者是否存在下列违法违规行为:
(一)向已公开个人信息中的电子邮箱、手机号等发送与其公开目的无关的商业信息;
(二)利用已公开的个人信息从事网络暴力、传播网络谣言和虚假信息等活动;
(三)处理个人明确拒绝处理的已公开个人信息;
(四)对个人权益有重大影响,未取得个人同意;
(五)收集、留存或处理已公开个人信息的规模、时间或使用目的超出合理范围。
十三、对个人信息处理者处理敏感个人信息进行合规审计的,应当重点审查下列事项:
(一)基于个人同意处理个人信息的,处理生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等敏感个人信息,是否事前取得个人的单独同意;
(二)基于个人同意处理个人信息的,处理不满十四周岁未成年人的个人信息,是否事前取得未成年人的父母或者其他监护人的同意;
(三)处理敏感个人信息的目的、方式、范围是否合法、正当、必要;
(四)是否在事前进行个人信息保护影响评估;
(五)是否向个人告知处理敏感个人信息的必要性以及对个人权益的影响,法律、行政法规规定应当保密或者不需要告知的除外;
(六)法律、行政法规规定应当取得书面同意的,是否取得书面同意;
(七)是否遵守法律、行政法规对处理敏感个人信息的限制性规定。
十四、对个人信息处理者处理不满十四周岁未成年人个人信息进行合规审计的,应当重点审查下列事项:
(一)是否制定专门的个人信息处理规则;
(二)是否向未成年人及其监护人告知未成年人个人信息的处理目的、处理方式、处理必要性,以及处理个人信息的种类、所采取的保护措施等,法律、行政法规规定不需要告知的除外;
(三)基于个人同意处理个人信息,是否存在强制要求未成年人或者其监护人同意处理非必要个人信息的行为。
十五、对个人信息处理者向境外提供个人信息进行合规审计的,应当重点审查下列事项:
(一)关键信息基础设施运营者向境外提供个人信息是否经过国家网信部门组织的安全评估,法律、行政法规、国家网信部门另有规定的,从其规定;
(二)关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供100万人以上个人信息(不含敏感个人信息)或者1万人以上敏感个人信息是否经过国家网信部门组织的安全评估,法律、行政法规、国家网信部门另有规定的,从其规定;
(三)关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息)或者不满1万人敏感个人信息的,是否按照国家网信部门的规定,经个人信息保护认证或者按照国家网信部门制定的标准合同与境外接收方签订合同并向所在地省级网信部门备案,或者符合法律、行政法规、国家网信部门规定的其他条件;
(四)存在向外国司法或者执法机构提供存储于中华人民共和国境内个人信息情形的,是否经过中华人民共和国主管机关批准;
(五)是否向被列入限制或者禁止个人信息提供清单的组织和个人提供个人信息。
十六、对个人信息删除权保障情况进行合规审计的,应当重点审查下列事项:
(一)个人信息处理目的是否已实现、无法实现或者为实现处理目的不再必要;
(二)个人信息处理者是否停止提供产品或者服务,或者个人是否已注销账号;
(三)保存期限是否已届满;
(四)个人是否撤回同意;
(五)个人信息处理者是否违反法律、行政法规或者违反约定处理个人信息;
(六)应当删除个人信息,但法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,个人信息处理者是否停止除存储和采取必要的安全措施之外的处理。
十七、对个人信息处理者保障个人在个人信息处理活动中的权利情况进行合规审计的,应当重点审查下列事项:
(一)是否建立便捷的个人行使权利的申请受理机制和处理机制;
(二)是否及时响应个人行使权利的申请,是否及时、完整、准确告知处理意见或者执行结果;
(三)拒绝个人行使权利请求的,是否向个人说明理由。
十八、个人信息处理者应当响应个人申请,对其个人信息处理规则进行解释说明,合规审计时应当重点对下列内容进行评价:
(一)个人信息处理者是否提供便捷的方式和途径,接受、处理个人关于个人信息处理规则解释说明的要求;
(二)接到个人的要求后,个人信息处理者是否在合理的时间内,使用通俗易懂的语言对其个人信息处理规则作出解释说明。
十九、个人信息处理者应当依照法律、行政法规的规定制定内部管理制度和操作规程,明确组织架构、岗位职责,建立工作流程、完善内控制度,保障个人信息处理合规与安全。合规审计时,应当重点对个人信息处理者个人信息保护内部管理制度和操作规程进行审查,包括但不限于:
(一)个人信息保护工作的方针、目标、原则是否符合法律、行政法规规定;
(二)个人信息保护组织架构、人员配备、行为规范、管理责任是否与应当履行的个人信息保护责任相适应;
(三)是否根据个人信息的种类、来源、敏感程度、用途等,对个人信息进行分类;
(四)是否建立个人信息安全事件应急响应机制;
(五)是否建立个人信息保护影响评估制度、合规审计制度;
(六)是否建立畅通的个人信息保护投诉举报受理流程;
(七)是否合理制定个人信息处理操作权限;
(八)是否制定实施个人信息保护安全教育和培训计划;
(九)是否建立个人信息保护负责人及相关人员履职评价制度;
(十)是否建立个人信息违法处理责任制度;
(十一)法律、行政法规规定的其他事项。
二十、个人信息处理者应当采取与所处理个人信息规模、类型相适应的安全技术措施,并对个人信息处理者采取的技术措施的有效性进行评价,评价内容包括但不限于:
(一)是否采取相应安全技术措施实现个人信息的保密性、完整性、可用性;
(二)是否采取加密、去标识化等安全技术措施,确保在不借助额外信息的情况下,消除或者降低个人信息的可识别性;
(三)采取的安全技术措施能否合理确定有关人员查阅、复制、传输个人信息等的操作权限,减少个人信息在处理过程中未经授权的访问和滥用风险。
二十一、对个人信息处理者教育培训计划的制定和实施情况进行合规审计时,应当重点对下列事项进行评价:
(一)是否按计划对管理人员、技术人员、操作人员、全员开展相应的安全教育和培训,是否对相应人员的个人信息保护意识和技能进行考核;
(二)培训内容、方式、对象、频率等能否满足个人信息保护需要。
二十二、对个人信息处理者指定的个人信息保护负责人履职情况进行合规审计的,应当重点审查下列事项:
(一)个人信息保护负责人是否具有相关的工作经历和专业知识,熟悉个人信息保护相关法律、行政法规;
(二)个人信息保护负责人是否具有明确清晰的职责,是否被赋予充分的权限协调个人信息处理者内部相关部门与人员;
(三)个人信息保护负责人在个人信息处理重大事项决策前是否有权提出相关意见和建议;
(四)个人信息保护负责人是否有权对个人信息处理者内部个人信息处理的不合规操作进行制止和采取必要的纠正措施;
(五)个人信息处理者是否公开个人信息保护负责人的联系方式,并将个人信息保护负责人的姓名、联系方式等报送保护部门。
二十三、对个人信息处理者开展个人信息保护影响评估情况进行合规审计时,应当重点对影响评估开展情况和评估内容进行审查:
(一)是否依照法律、行政法规的规定,在进行对个人权益具有重大影响的个人信息处理活动前进行个人信息保护影响评估;
(二)是否对个人信息的处理目的、处理方式等进行合法、正当、必要评估;
(三)是否对个人权益的影响及安全风险进行评估;
(四)是否对所采取的保护措施的合法性、有效性,以及与风险程度的适应性进行评估。
二十四、个人信息处理者应当制定个人信息安全事件应急预案。合规审计时,应当对应急预案的全面性、有效性、可执行性作出评价,包括但不限于下列内容:
(一)是否结合业务实际,对面临的个人信息安全风险作出系统评估和预测;
(二)总体要求、基本策略,组织机构、人员,技术、物资保障,指挥处置程序,应急和支持措施等是否足以应对预测的风险;
(三)是否对相关人员进行应急预案培训,定期对应急预案进行演练。
二十五、对个人信息处理者个人信息安全事件应急响应处置情况进行合规审计的,应当重点审查下列事项:
(一)是否按照应急预案、操作规程及时查明个人信息安全事件的影响、范围和可能造成的危害,分析、确定事件发生的原因,提出防止危害扩大的措施方案;
(二)是否建立通报渠道,在安全事件发生后按照相关规定及时通知保护部门和个人;
(三)是否采取相应措施将个人信息安全事件可能造成的损失和可能产生的危害风险降低到最小。
二十六、对提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者制定的平台规则进行合规审计的,应当重点审查下列事项:
(一)平台规则是否与法律、行政法规相抵触;
(二)平台规则个人信息保护条款的有效性,是否合理界定了平台、平台内产品或者服务提供者的个人信息保护权利和义务;
(三)平台规则的执行情况,是否通过抽样等方式验证平台规则被有效执行。
二十七、对提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者发布的个人信息保护社会责任报告进行合规审计的,应当重点审查社会责任报告披露下列内容的情况:
(一)个人信息保护组织架构和内部管理情况;
(二)个人信息保护能力建设情况;
(三)个人信息保护措施和成效;
(四)个人行使权利的申请受理情况;
(五)独立监督机构履职情况;
(六)重大个人信息安全事件处理情况;
(七)促进个人信息保护社会共治的科普宣传、公益活动情况;
(八)法律、行政法规规定的其他事项。
《个人信息保护合规审计管理办法》答记者问
近日,国家互联网信息办公室公布《个人信息保护合规审计管理办法》(以下简称《办法》)。国家互联网信息办公室有关负责人就《办法》相关问题回答了记者提问。
问1:请介绍一下《办法》的出台背景?
答:当前,个人信息被企业、机构甚至个人广泛收集使用,个人信息保护和个人信息利用的矛盾日益突出。为压实个人信息处理者个人信息保护主体责任,加强个人信息处理活动风险控制和监督,《中华人民共和国个人信息保护法》《网络数据安全管理条例》对个人信息处理者开展合规审计作了规定。为有效落实法律法规要求,国家互联网信息办公室制定出台《办法》,对个人信息保护合规审计活动的开展、合规审计机构的选择、合规审计的频次、个人信息处理者和专业机构在合规审计中的义务等作出细化规定,旨在为个人信息处理者开展个人信息保护合规审计提供系统性、针对性、可操作性的规范,提升个人信息处理活动合法合规水平,保护个人信息权益。
问2:我国法律法规中对个人信息保护合规审计作了哪些规定?
答:《中华人民共和国个人信息保护法》第五十四条规定,个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。第六十四条规定,履行个人信息保护职责的部门在履行职责中,发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,可以按照规定的权限和程序对该个人信息处理者的法定代表人或者主要负责人进行约谈,或者要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。《网络数据安全管理条例》第二十七条规定,网络数据处理者应当定期自行或者委托专业机构对其处理个人信息遵守法律、行政法规的情况进行合规审计。以上法律法规明确了个人信息保护合规审计的两种情形:一是个人信息处理者自行开展合规审计。二是按照履行个人信息保护职责的部门要求,委托专业机构开展合规审计。
问3:《办法》的主要内容是什么?
答:《办法》主要对下列内容进行了规定:一是明确个人信息处理者自行开展合规审计和按照履行个人信息保护职责的部门要求委托专业机构开展合规审计的条件,合规审计机构的选择和合规审计的频次。二是明确开展合规审计的个人信息处理者应当履行的义务,规定个人信息处理者按照履行个人信息保护职责的部门要求开展合规审计的,应当为专业机构正常开展合规审计工作提供必要支持并承担审计费用,在限定时间内完成合规审计,报送合规审计报告并进行整改。三是明确专业机构在合规审计中的义务,规定专业机构应当具备开展合规审计的能力,遵守法律法规,明确同一专业机构及其关联机构、同一合规审计负责人不得连续三次以上对同一审计对象开展个人信息保护合规审计。四是明确履行个人信息保护职责的部门对个人信息处理者开展合规审计情况进行监督检查,任何组织、个人有权对合规审计中的违法活动向履行个人信息保护职责的部门进行投诉、举报,并规定个人信息处理者、专业机构违反《办法》规定的法律责任。
问4:个人信息处理者在什么情况下需要开展个人信息保护合规审计?
答:个人信息处理者开展个人信息保护合规审计分两种情形:一是自行开展合规审计,即个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。处理超过1000万人个人信息的个人信息处理者,应当每两年至少开展一次个人信息保护合规审计。其他个人信息处理者根据自身情况合理确定定期开展个人信息保护合规审计的频次。二是按照要求开展合规审计,即履行个人信息保护职责的部门在履行职责中,发现个人信息处理活动存在较大风险、可能侵害众多个人的权益或者发生个人信息安全事件的,可以要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。
问5:个人信息处理者如何选择合规审计机构?
答:个人信息处理者自行开展合规审计时,可以选择由内部机构自行开展,也可以委托专业机构开展。《办法》对采取何种审计方式、是否选择专业机构,以及选择哪家专业机构没有强制性要求。个人信息处理活动存在较大风险、可能侵害众多个人的权益或者发生个人信息安全事件时,履行个人信息保护职责的部门可以要求个人信息处理者委托专业机构开展个人信息保护合规审计。
问6:《办法》对专业机构提出了哪些要求?
答:专业机构接受个人信息处理者委托开展合规审计,应当公正客观地作出合规审计结论,提出合规审计建议,其出具的合规审计报告是履行个人信息保护职责的部门开展监督管理工作的重要参考。《办法》对专业机构提出以下要求:一是应当具备开展个人信息保护合规审计的能力,有与服务相适应的审计人员、场所、设施和资金等。二是应当遵守法律法规,诚信正直,公正客观地作出合规审计职业判断,对在履行个人信息保护合规审计职责中获得的个人信息、商业秘密、保密商务信息等依法予以保密,不得泄露或者非法向他人提供,在合规审计工作结束后及时删除相关信息。三是不得转委托其他机构开展个人信息保护合规审计。四是同一专业机构及其关联机构、同一合规审计负责人不得连续三次以上对同一审计对象开展个人信息保护合规审计。
问7:《办法》如何对专业机构进行管理?
答:《办法》遵循自愿性、市场化的原则,通过认证认可方式对专业机构进行监督管理。专业机构的认证按照《中华人民共和国认证认可条例》的有关规定执行。具备开展个人信息保护合规审计能力,有与服务相适应的审计人员、场所、设施和资金的专业机构,可以自愿申请相关服务能力认证。
问8:个人信息处理者按照履行个人信息保护职责的部门要求开展个人信息保护合规审计时,应当履行哪些义务?
答:《办法》对个人信息处理者按照履行个人信息保护职责的部门要求开展个人信息保护合规审计提出以下要求:一是保障合规审计正常进行,为专业机构正常开展个人信息保护合规审计工作提供必要支持,并承担审计费用。二是按照履行个人信息保护职责的部门要求选定专业机构,在限定时间内完成个人信息保护合规审计,情况复杂的,报履行个人信息保护职责的部门批准后,可以适当延长。三是报送合规审计报告并进行整改,个人信息处理者在完成合规审计后,应当将专业机构出具的个人信息保护合规审计报告报送履行个人信息保护职责的部门,按照履行个人信息保护职责的部门要求对合规审计中发现的问题进行整改,在整改完成后15个工作日内,向履行个人信息保护职责的部门报送整改情况报告。
问9:个人信息处理者开展个人信息保护合规审计如何适用《个人信息保护合规审计指引》?
答:《个人信息保护合规审计指引》对个人信息保护相关法律、行政法规的关键要点作了梳理,从合规审计的角度进行了细化,便于个人信息处理者对个人信息处理活动是否遵守法律、行政法规要求进行审查和评价。个人信息处理者自行开展或者按照履行个人信息保护职责的部门要求委托专业机构开展个人信息保护合规审计,应当参照《个人信息保护合规审计指引》。
专家解读|系统规范合规审计 保护个人信息安全
个人信息保护合规审计是监督与评估个人信息处理者切实履行个人信息保护义务的重要制度。《个人信息保护合规审计管理办法》(以下简称《办法》)的制定是以《中华人民共和国个人信息保护法》等法律法规为依据,清晰且全面地规定了个人信息保护合规审计制度的具体实施方式,有效平衡了个人信息安全保护和个人信息合理利用的双重立法目标。《办法》的出台有利于推动个人信息保护义务的充分履行,显著提升个人信息处理活动的透明性和合规性,推动我国个人信息保护工作进入全新阶段,为全球个人信息保护治理实践提供了有益的中国方案。
在世界范围内,各国正在普遍推进个人信息保护合规审计制度的立法进程。欧盟《通用数据保护条例》(GDPR)第二十八条、第三十九条等条款均有提及数据保护审计制度的具体实施方式和义务主体范围。美国各州在各自立法权限内也设置了不同的审计要求,如《加州消费者隐私法》(CCPA)针对存在重大风险的企业,明确每年应当进行一次网络安全审计。英国《数据保护法案》(DPA)和《信息专员办公室(ICO)审计指南》中也提及了自愿性审计和强制性审计等数据保护审计的具体实施流程。
然而,个人信息保护合规审计与各国的个人信息保护体系密切相关,目前并未形成完全统一的合规审计模式。《办法》以中国的个人信息保护实践问题为导向,立足于中国的个人信息保护制度特点,提供了不同于任何一个国家的“中国答案”。总结而言,该《办法》的创新之处主要表现为以下四个方面。
第一,合理设置不同的审计模式,有效避免过重的义务负担。个人信息保护合规审计制度适用于所有类型的个人信息处理者,然而这些主体的业务合规能力有所差别,并且其所处理的个人信息数量、类型也不尽相同,所以,《办法》设置了外部审计和内部审计两种审计模式。外部审计是指个人信息处理者委托外部的专业机构进行合规审计;内部审计是指个人信息处理者自行开展个人信息保护合规审计。当国家网信部门和其他履行个人信息保护职责的部门(以下统称为保护部门)发现个人信息处理活动存在较大风险,可能侵害众多个人的权益或者发生个人信息安全事件时,可以要求个人信息处理者采用外部审计模式。此外,《办法》明确规定处理超过1000万人个人信息的个人信息处理者,应当每两年至少开展一次个人信息保护合规审计。这将有助于对个人信息处理者的安全风险状况进行全方位、短周期地评估和审查。
第二,明确专业机构、审计人员和审计活动的独立客观性。个人信息保护合规审计制度最重要的环节是确保合规审计活动的独立性和客观性,这样才能确保依据合规审计活动作出的审计结论能够真实地反映个人信息处理者的业务合规情况,进而对个人信息处理者提出针对性的审计建议。在专业机构方面,《办法》设置了“同一专业机构及其关联机构、同一合规审计负责人不得连续三次以上对同一审计对象开展个人信息保护合规审计”的要求,背后的原因正是为了预防专业机构在多次的合规审计活动中疏忽审计对象可能出现的新问题新情况,也能够有效避免专业机构与审计对象之间形成“黑幕交易”。在审计人员方面,《办法》对审计人员的审计行为和职业操守作出了详细规定,包括专业机构主要负责人、合规审计负责人应当在审计报告上签字并加盖专业机构公章,专业机构不得泄露或者非法向他人提供在履行个人信息保护合规审计职责中获得的个人信息、商业秘密、保密商务信息等。
第三,细化个人信息保护合规审计的重点审查事项。该《办法》的一大亮点在于配套设置了个人信息保护合规审计的具体审查事项,这些审查事项的设置以《中华人民共和国个人信息保护法》的具体规则作为上位法依据,指明了个人信息保护业务合规的核心内容。以知情同意规则为例,在实践中,社会公众对人脸识别技术应用背后的个人信息处理规则不甚了解,部分原因是个人信息处理者未能履行事前告知义务,并获取用户单独同意。那么按照该《办法》所提出的合规审计标准,即便个人信息处理者采用了用户协议的形式予以告知,但是倘若用户协议内容冗长晦涩,这类行为不符合“以显著方式、清晰易懂的语言真实、准确、完整地向个人告知个人信息处理规则”审查要求,属于典型的业务合规不到位。
第四,充分发挥合规审计的监督和整改效果。该《办法》明确要求个人信息处理者按照保护部门要求开展个人信息保护合规审计的,应当对合规审计中发现的问题进行整改,在整改完成后15个工作日内,向保护部门报送整改情况报告。该要求凸显了合规审计的核心功能之一是通过客观公正的审计活动评估风险、发现问题,并为个人信息处理者提供更好的整改优化建议。因此,个人信息处理者不应当将此种制度视为额外的义务负担,而是另一种形式的业务合规优化机制。并且,为了实现个人信息保护合规的透明化,该《办法》还依据《中华人民共和国个人信息保护法》的规定将大型网络平台的个人信息保护社会责任报告纳入审计事项,形成了个人信息保护从落地实施到事后评估监督的制度闭环,也让社会公众能够更为直观地了解到自己的个人信息究竟如何被处理和安全保护。
个人信息保护合规审计制度的优点在于,通过独立客观的审计活动,以《中华人民共和国个人信息保护法》等法律法规作为审计依据,“逐条逐项”地确保个人信息保护制度落地落实。个人信息保护是一项长期性、系统性和动态性的现代化治理活动,需要结合产业模式、科技创新的实践情况进行同步规划、同步监管、同步更新。该《办法》是我国个人信息保护立法工作的又一创新成果,有助于督促个人信息处理者切实保障好公民的个人信息权益,高效促进个人信息的合理利用和充分流动,夯实个人信息保护成效。(作者:赵精武,北京航空航天大学法学院副教授、院长助理)
专家解读|促进与规范合规审计 提升个人信息保护水平
个人信息保护合规审计是指对个人信息处理者的个人信息处理活动是否符合法律、行政法规的规定进行审查和评价的监督活动。《中华人民共和国个人信息保护法》第五十四条、第六十四条为合规审计提供了法律依据。《个人信息保护合规审计管理办法》(以下简称《办法》)则进一步细化了审计的具体实施规则,标志着我国个人信息保护监管体系进一步完善。
全球范围看,合规审计已经成为个人信息保护领域的标配。美国联邦贸易委员会早在2010年代便通过行政和解协议的方式要求谷歌和脸书通过第三方进行隐私审计。富有影响力的欧盟《通用数据保护条例》同样较早地引入了数据保护审计制度。除美国和欧盟外,俄罗斯《联邦个人数据法》、印度《数字个人数据保护法》等新近个人信息保护立法都纳入了合规审计相关内容。然而,全球范围内对个人信息保护领域审计制度的最佳实践尚未获得共识。立足于中国的数字经济与监管经验,《办法》在以下方面给出了中国方案。
其一,明确审计的类型与形式。《办法》将个人信息保护合规审计分为两类:一是个人信息处理者自行定期开展的合规审计,二是依据履行个人信息保护职责的部门要求开展的合规审计。针对这两类审计,《办法》规定了不同的审计频率与触发条件。处理个人信息超过1000万人的个人信息处理者需每两年至少进行一次审计,其他个人信息处理者没有强制要求;对于依部门要求开展的审计,以发现较大风险或发生安全事件为触发条件。通过区分审计类型并细化要求,《办法》实现了“定期体检”与“专项检查”相结合的双重监管效果。这种分类设计不仅有助于提高审计的针对性,还能够有效平衡监管效率与企业负担。
其二,强化审计的独立性与专业性。全球范围看,合规审计在美国、欧盟等法域已有所尝试,但过往域外针对谷歌、脸书的审计要求多流于形式,仅在于披露其存在个人信息保护的内部程序,而非实质效果。《办法》从独立性与专业性两方面入手,确保审计的实效性。独立性方面,《办法》规定依部门要求开展的审计必须由第三方专业机构进行,且同一机构连续服务同一对象的次数不得超过三次。这一规定有效避免了审计机构与被审计对象之间可能存在的利益关联,确保审计结果的客观公正。专业性方面,《办法》规定专业机构应当具备开展个人信息保护合规审计的能力,有与服务相适应的审计人员、场所、设施和资金等,并鼓励相关专业机构通过认证。个人信息处理者应当为专业机构正常开展个人信息保护合规审计工作提供必要支持,并承担审计费用。专业机构还需确保其诚信正直、公正客观地作出合规审计职业判断。上述规定有助于提升审计结果的公信力,推动个人信息保护合规审计从形式化向实质化转变,提升合规审计的专业水平。
其三,规范依部门要求开展的审计程序。针对风险较大或发生安全事件时的审计,《办法》明确了职责部门、个人信息处理者与专业机构之间的协作程序。个人信息处理者在完成合规审计后,应当将专业机构出具的个人信息保护合规审计报告报送履行个人信息保护职责的部门,按照部门要求对合规审计中发现的问题进行整改,并在整改完成后向部门报送整改情况报告。这一程序体现了“受规制的自我规制”理念,既发挥了专业机构的专业优势,又渗透了职责部门的公益判断。通过这种协作机制,《办法》在提升审计效率的同时,也强化了监管的针对性和实效性。
其四,避免审计对个人信息处理者造成不必要的负担。《办法》在确保审计效果的同时,注重减轻个人信息处理者的负担。对于定期审计,个人信息处理者可自行决定是否采用第三方专业机构审计,灵活适应自身业务状况。对于专业机构进行的审计,《办法》特别要求专业机构对在履行个人信息保护合规审计职责中获得的个人信息、商业秘密、保密商务信息等应当依法予以保密,不得泄露或者非法向他人提供,在合规审计工作结束后及时删除相关信息。
其五,建立全面的审计指引。《办法》的附件部分详细列出了审计指引,涵盖个人信息处理的合法性基础、处理规则、告知义务、共同处理与委托处理情形、个人信息转移等多个方面,全面反映了《中华人民共和国个人信息保护法》的义务体系,并提供了更具操作性的指引。目前,我国有关个人信息保护合规审计的标准化工作正在进行,上述参考要点为各层级技术标准的进一步落地与实操提供了重要的引导。指引的设置有力预防了个人信息处理者对《中华人民共和国个人信息保护法》及配套行政法规的目标虚置,同时为技术标准的细化提供了焦点。
《办法》的出台是我国个人信息保护领域立法和监管体系的重要补充,标志着我国在个人信息保护合规治理方面迈出了实质性的一步。作为《中华人民共和国个人信息保护法》的关键配套制度,该《办法》首次系统性地构建了个人信息处理活动的合规审计框架,为个人信息处理者的合规实践与监管部门的执法提供了具体指引。从国际视角看,《办法》在借鉴国际经验的基础上,避免了合规审计的形式化,具有实质提升个人信息权益保护的潜力。《办法》的公布不仅是我国个人信息保护法治化进程的重要里程碑,也是推动数字经济高质量发展、构建信任社会的关键举措。未来,随着《办法》的施行,我国个人信息保护工作将迈向更高水平,为数字经济的可持续发展和治理现代化注入新的动力。(作者:丁晓东,中国人民大学法学院教授、未来法治研究院副院长)
专家解读|建立健全个人信息保护合规审计制度 筑牢维护个人信息安全铜壁铁墙
为了规范个人信息保护合规审计活动,保护个人信息权益,近日,国家网信办公布了《个人信息保护合规审计管理办法》(以下简称《办法》)。《办法》的公布实施,标志着我国在个人信息保护领域迈出了坚实而重要的一步,是对我国个人信息保护治理体系的发展和完善,对规范个人信息处理活动、促进个人信息合理利用具有重要意义。
《办法》规定了开展个人信息保护合规审计的要求,明确了个人信息保护合规审计的频次、负责人、监督机构等内容,给出了个人信息保护合规审计重点审查事项,为开展个人信息保护合规审计工作提供了工作指引和制度保障。
一、《办法》出台对加强个人信息保护具有重要意义
党中央高度重视个人信息保护工作,习近平总书记对加强个人信息保护工作提出明确要求,多次强调,要坚持网络安全为人民、网络安全靠人民,保障个人信息安全,维护公民在网络空间的合法权益。《办法》落实党中央决策部署,坚持以人民为中心的发展思想,聚焦个人信息保护领域的突出问题和人民群众的重大关切。
(一)《办法》是落实法律重要制度建设的具体举措。《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《网络数据安全管理条例》等法律法规相继出台,为个人信息保护提供了基本的法律框架与制度设计。其中,《中华人民共和国个人信息保护法》提出个人信息处理者应当定期开展合规审计,以及在特定情况下按照履行个人信息保护职责的部门(以下简称保护部门)要求委托专业机构开展合规审计。《网络数据安全管理条例》提出网络数据处理者应当定期自行或者委托专业机构开展个人信息保护合规审计。《办法》对上位法中的原则性规定进行细化与落实,为个人信息保护合规审计工作提供了具体的制度保障和实施路径,进一步健全了我国的个人信息保护治理体系。
(二)《办法》是加强个人信息保护的重要手段。数字经济时代,个人信息价值日益凸显,成为社会经济运行活动必不可少的组成部分,个人信息保护已成为广大人民群众最关心最直接最现实的利益问题之一。《办法》的公布,有助于个人信息处理者和保护部门在检查、评估、认证的基础上,构建以审计为监督抓手的多层次个人信息保护体系,通过合规审计事项有效衔接各项个人信息保护工作,并以独立视角审查和评价个人信息处理活动,极大提高个人信息处理合规水平。
(三)《办法》是提升个人信息保护合规水平的有效途径。近年来,随着我国个人信息保护工作深入开展,个人信息处理者的个人信息保护意识不断提升,如何衡量、提升个人信息处理合法合规水平成为个人信息保护工作的重点。个人信息保护是一个持续性、迭代性、动态性的过程,通过开展合规审计工作,不仅关注个人信息处理者存在的实质性违规行为,还可以发现解决个人信息处理者内部合规制度和措施落实过程中存在的问题。《办法》明确了重点审查事项,为个人信息保护合规审计的具体实施提供了指南,可以对个人信息保护合规落实情况进行评价、监督、完善,促进个人信息处理者做好个人信息保护合规建设,提升个人信息合规水平。
二、《办法》明确了个人信息保护合规审计的具体要求
(一)压实个人信息处理者个人信息保护合规审计义务。《办法》明确了个人信息处理者的个人信息保护合规审计义务。一是处理超过1000万人个人信息的个人信息处理者,应当每两年至少开展一次个人信息保护合规审计。二是个人信息处理者按照保护部门要求开展个人信息保护合规审计的,应当按要求选定专业机构,并为其在限定时间内完成合规审计工作提供必要支持,报送审计报告,对合规审计中发现的问题进行整改并在整改完成后15个工作日内向保护部门报送整改情况报告。三是处理100万人以上个人信息的个人信息处理者应当指定个人信息保护负责人,负责个人信息保护合规审计工作。提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当成立主要由外部成员组成的独立机构对个人信息保护合规审计情况进行监督。
(二)规范专业机构个人信息保护合规审计管理机制。《办法》为个人信息处理者按照保护部门要求开展个人信息保护合规审计提供了基本依据。一是明确了保护部门可以要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计的情形。二是提出了专业机构能力要求,鼓励相关专业机构通过认证。三是明确了审计报告签字盖章要求。四是要求专业机构在开展合规审计时,做到遵守法律法规、诚信正直、公正客观、保守秘密,不得转委托其他机构。五是要求同一专业机构及其关联机构、同一合规审计负责人不得连续三次以上对同一审计对象开展个人信息保护合规审计,确保了合规审计的公正性。
(三)明确个人信息保护合规审计重点审查事项。《办法》以附件形式提供了《个人信息保护合规审计指引》,明确了个人信息保护合规审计重点审查事项,对上位法要求进行了细化,涵盖面全、实施性强,确保个人信息保护合规审计实施可以有章可循,有效评价个人信息处理活动合规水平。一是对个人信息处理的合法性基础、处理规则,处理敏感个人信息、不满十四周岁未成年人个人信息等个人信息处理规则要求提出了重点审查事项。二是对向境外提供个人信息的要求提出了重点审查事项。三是对个人信息删除权保障、个人行使权利的申请受理和响应、个人信息处理规则解释说明等个人在个人信息处理活动中的权利要求提出了重点审查事项。四是对管理制度、安全技术措施、培训计划、个人信息保护负责人、个人信息保护影响评估、个人信息安全事件应急预案及相应处置等个人信息处理者的义务要求提出了重点审查事项。
《办法》实施需要充分发挥国家标准的支撑作用,个人信息保护国家标准是我国个人信息保护治理体系的重要组成部分,也是落实《办法》的重要支撑。全国网络安全标准化技术委员会作为网络和数据安全国家标准的统一归口技术组织,支撑保障有关政策法规,研制了个人信息安全规范、个人信息安全影响评估指南等个人信息保护重点标准,并正在研制一批个人信息保护合规审计重点标准和实践指南,为《办法》的落地实施提供有力支撑。下一步,将持续发挥国家标准在《办法》实施过程中的重要支撑作用,加强个人信息保护合规审计领域的技术交流,推广个人信息保护合规审计优秀实践案例,为业界提供示范参考。(作者:范科峰,中国电子技术标准化研究院副院长)
专家解读|出台《个人信息保护合规审计管理办法》 为数字经济持续健康发展保驾护航
加强个人信息保护,是贯彻习近平总书记“网络安全为人民,网络安全靠人民”重要指示精神的体现。《中华人民共和国个人信息保护法》第五十四条规定,个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。第六十四条规定,履行个人信息保护职责的部门在履行职责中,发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,可以要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。近日,国家互联网信息办公室公布《个人信息保护合规审计管理办法》(以下简称《办法》),是对《中华人民共和国个人信息保护法》审计要求的细化落实,明确了审计对象、审计条件和审计重点事项,为个人信息保护合规审计活动提供重要依据,是个人信息保护工作的里程碑。
一、为数字经济持续健康发展提供保障
在数据成为新生产要素的背景下,个人信息的安全利用有助于加速数据要素流通,深度释放数据价值,推动数字经济持续健康发展。违法违规收集使用个人信息、个人信息泄露等安全事件,严重影响了数据的深度挖掘、分析、利用和交易。为规避数据泄露、数据滥用的风险,有的个人信息主体不愿意提供更多的个人信息,有的个人信息主体在个人信息处理者征求个人同意时,选择拒绝或者尽可能少的授权,甚至提交非真实信息。缺乏信任除影响个人信息主体提供和披露其个人信息的积极性外,也成为个人信息处理者之间共享数据的障碍。
合规审计将对个人信息处理者在收集、使用个人信息时遵循相关法律、行政法规的情况进行审查和评价,及时发现个人信息保护工作中存在的问题,纠正违法违规行为,提升个人信息保护水平。依法依规进行的个人信息保护合规审计能提升个人信息处理者的安全保障能力,增强个人信息主体对个人信息安全的信心,从而愿意提供更多的数据资源,也积极支持个人信息处理者的深度挖掘、利用和共享等。加强合规审计工作,是确保个人信息保护工作落到实处、取得实效的重要举措,也是推动数字经济健康发展的必然选择。
二、为个人信息处理者合规提供依据
《中华人民共和国个人信息保护法》公布施行以来,国家网信部门以及其他履行个人信息保护职责的部门持续开展个人信息专项治理,个人信息保护工作取得阶段性成果,网民的个人信息保护意识显著增强,广大网民关注的隐私政策、强制索取权限、一揽子授权等问题有所改善。同时,超范围收集个人信息、个人信息泄露等问题还不同程度存在,需要进一步压实个人信息处理者个人信息保护主体责任,持续推进个人信息保护工作。
《办法》坚持问题导向、底线思维,坚持个人信息利用和保护并重,回应了个人信息保护治理出现的新情况、新问题、新需求,具有较强的针对性和可操作性。个人信息处理者要深刻认识个人信息保护合规审计工作的重要性和紧迫性,通过落实《办法》,健全风险防范的法律体系,守住底线红线,确保个人信息依法依规收集和使用。通过开展个人信息保护合规审计工作,建立健全个人信息保护制度,提升个人信息安全意识,完善内部保护机构,强化个人信息安全保护措施,形成完整的个人信息合规矩阵,提升个人信息安全保护能力,将个人信息保护法的个人信息处理规则和安全保障义务传达至个人信息处理者的业务层面。
三、推动个人信息保护审计工作做深做实
依法治网的本质,是为互联网健康有序发展提供保障。《办法》为个人信息处理者和审计机构依法依规开展个人信息保护合规提供了明确指引。为推动我国个人信息保护水平进一步提升,监管部门、各类个人信息处理者相关主体应积极落实《办法》的规定,加快适应规范化、常态化的个人信息保护要求。
一是妥善处理安全与发展的关系。个人信息安全牵一发而动全身,只有筑牢个人信息安全基石,才能保障个人信息安全合规的流通。这决定了个人信息合规审计监管工作要坚持保护与利用并重,把个人信息依法有序流动和合理开发利用作为个人信息保护合规审计监管工作的基本原则。要围绕个人信息收集、存储、使用、加工、传输、提供、公开、删除等各个环节,依托个人信息合规审计等个人信息合规制度工具,建立涵盖个人信息整个生命周期的审计监管制度。同时也要看到,《办法》积极释放了调整改革信号,有利于提振市场主体信心。个人信息处理者严格落实《办法》,依法依规开展个人信息保护合规审计,有利于推动个人信息依法有序自由流动,让数据变成真正的活水,真正激发数据要素的价值。
二是完善审计机制,健全合规能力。个人信息处理者应充分认识到审计工作的重要性和必要性,理解把握《办法》相关要求,加快建立与个人信息保护合规审计相适应的技术和管理体系,避免高风险事件的发生。个人信息处理者应理顺自主开展审计的流程和方式,自觉定期开展合规审计,并为审计机构提供必要的支持和协助,确保审计工作的顺利进行。各相关机构应加强对个人信息保护合规审计工作的宣传和教育,提高全社会对审计工作的认知度和支持度。
三是打造专业队伍,形成科学方案。个人信息处理者委托专业机构开展审计工作时,专业机构应针对特定的审计对象,制定相适应的审计计划和方案。充分发挥中国网络空间安全协会个人信息保护专业委员会的作用,可以考虑在个保专委会下设立个保审计工作组,对个人信息保护专业审计机构和审计人员进行自律管理。加快完善审计机构行业自律规范,以团标先行的方式推动标准建设,引导专业机构建立科学的审计指标体系,客观评价被审计单位的合规情况,出具高质量审计报告。规范发展审计机构人员队伍,通过系统培训考试,使审计人员掌握个人信息保护的相关法律法规、技术标准规范,更加准确地理解和适用《中华人民共和国个人信息保护法》《个人信息保护合规审计管理办法》相关要求,有效履行个人信息保护合规审计职责。(作者:杜阿宁,中国网络空间安全协会副秘书长)
专家解读|开展个人信息保护合规审计 提升数据安全治理监管能力
个人信息保护事关广大人民群众的切身利益,事关国家数据安全。党的二十届三中全会通过的《中共中央关于进一步全面深化改革、推进中国式现代化的决定》要求“提升数据安全治理监管能力”。近日,国家网信办公布《个人信息保护合规审计管理办法》(以下简称《办法》),明确了个人信息保护合规审计的具体要求,对于完善我国个人信息保护制度体系、提高个人信息保护水平、提升数据安全治理监管能力具有重要意义。
一、《办法》体现了政府监管和行业自律二者并重的治理思路
推动政府监管和行业自律形成合力,是提升数据治理能力的现实需要,也是《办法》制定中着重考虑的问题。一方面,《办法》明确了国家网信部门和其他履行个人信息保护职责的部门(以下统称为保护部门)在个人信息保护合规审计中的监管职责,即个人信息处理者有以下情形之一的:(一)发现个人信息处理活动存在严重影响个人权益或者严重缺乏安全措施等较大风险的;(二)个人信息处理活动可能侵害众多个人的权益的;(三)发生个人信息安全事件,导致100万人以上个人信息或者10万人以上敏感个人信息泄露、篡改、丢失、毁损的,保护部门可以要求个人信息处理者委托专业机构对个人信息处理活动进行合规审计。个人信息处理者应当为专业机构正常开展个人信息保护合规审计工作提供必要支持,承担审计费用,在限定时间内完成审计工作,并将专业机构出具的审计报告报送保护部门。此外,《办法》还明确,保护部门对个人信息处理者开展个人信息保护合规审计情况进行监督检查。
另一方面,《办法》规定,个人信息处理者自行开展个人信息保护合规审计的,应当由个人信息处理者内部机构或者委托专业机构定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。《办法》明确要求,处理超过1000万人个人信息的个人信息处理者,应当每两年至少开展一次个人信息保护合规审计;处理100万人以上的个人信息的个人信息处理者应当指定个人信息保护负责人,负责个人信息处理者的个人信息保护合规审计工作。
二、《办法》体现了部门主导和社会参与协同推进的治理方式
监管部门主导和社会力量参与的协同,是提高数据治理能力的客观需要,也贯穿于《办法》的始终。《办法》明确开展个人信息保护合规审计,是对个人信息处理者的个人信息处理活动是否遵守法律、行政法规的情况进行审查和评价的监督活动,系为了保护个人信息权益。一方面,《办法》规定,个人信息处理者按照保护部门要求开展个人信息保护合规审计的,应当按照保护部门要求选定专业机构。同时,《办法》也对保护部门的权限提出要求。例如,对同一个人信息安全事件或者风险,保护部门不得重复要求个人信息处理者委托专业机构开展个人信息保护合规审计。
另一方面,《办法》明确第三方专业机构可参与个人信息保护合规审计,并对其提出明确要求,如应当具备开展个人信息保护合规审计的能力,有与服务相适应的审计人员、场所、设施和资金等。要求专业机构在从事个人信息保护合规审计活动时,遵守法律法规,诚信正直,公正客观地作出合规审计职业判断,对在履行个人信息保护合规审计职责中获得的个人信息、商业秘密、保密商务信息等应当依法予以保密,不得泄露或者非法向他人提供,在合规审计工作结束后及时删除相关信息。要求专业机构不得转委托其他机构开展个人信息保护合规审计。同时,《办法》还明确应引入个人信息处理者外部人员参与监督的要求,提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当成立主要由外部成员组成的独立机构对个人信息保护合规审计情况进行监督。此外,《办法》还鼓励社会大众积极参与,任何组织、个人有权对个人信息保护合规审计中的违法活动向保护部门进行投诉、举报。
值得注意的是,《办法》明确提出,鼓励个人信息保护合规审计专业机构通过认证,专业机构的认证按照《中华人民共和国认证认可条例》的有关规定执行,这将为个人信息保护合规审计相关认证的创新和发展提供广阔的空间。
三、《办法》体现了法律法规和政策举措有效衔接的治理模式
实现法律法规和政策举措的有效衔接是提升数据治理能力的必然要求,是我国数据治理的优良传统和成功经验,也是《办法》的鲜明特点。《中华人民共和国个人信息保护法》明确规定,“个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计”“履行个人信息保护职责的部门在履行职责中,发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,可以按照规定的权限和程序对该个人信息处理者的法定代表人或者主要负责人进行约谈,或者要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计”。《网络数据安全管理条例》明确规定,“网络数据处理者应当定期自行或者委托专业机构对其处理个人信息遵守法律、行政法规的情况进行合规审计”。
为落实上述法律、行政法规规定,《办法》在合规审计指引部分进一步细化了相关要求,详细列出了二十七个方面的审查重点,包括对个人信息处理活动的合法性基础进行合规审计的重点审查事项,对个人信息处理规则进行合规审计的重点审查事项,对个人信息处理者履行告知个人信息处理规则义务进行合规审计的重点审查事项,对个人信息处理者与其他个人信息处理者共同处理个人信息进行合规审计的重点审查事项,对个人信息处理者委托处理个人信息进行合规审计的重点审查事项,对个人信息处理者利用自动化决策处理个人信息进行合规审计的重点审查事项,对个人信息处理者基于个人同意公开个人信息进行合规审计的重点审查事项等,充分体现了法律法规与政策举措的贯通和衔接。
《办法》的出台是我国个人信息保护事业进程中的重要节点,必将为提高我国个人信息保护水平、提升我国数据安全治理监管能力发挥重要作用。(作者:王志成,国家网信办数据与技术保障中心副主任)
来源:中国网信网