來源聲明:以下內(nèi)容轉(zhuǎn)發(fā)自《中國網(wǎng)信網(wǎng)》的在線文章《專家解讀|開展個人信息保護合規(guī)審計 提升數(shù)據(jù)安全治理監(jiān)管能力》,供廣大師生參考學習
個人信息保護事關(guān)廣大人民群眾的切身利益,事關(guān)國家數(shù)據(jù)安全。黨的二十屆三中全會通過的《中共中央關(guān)于進一步全面深化改革、推進中國式現(xiàn)代化的決定》要求“提升數(shù)據(jù)安全治理監(jiān)管能力”。近日,國家網(wǎng)信辦公布《個人信息保護合規(guī)審計管理辦法》(以下簡稱《辦法》),明確了個人信息保護合規(guī)審計的具體要求,對于完善我國個人信息保護制度體系、提高個人信息保護水平、提升數(shù)據(jù)安全治理監(jiān)管能力具有重要意義。
一、《辦法》體現(xiàn)了政府監(jiān)管和行業(yè)自律二者并重的治理思路
推動政府監(jiān)管和行業(yè)自律形成合力,是提升數(shù)據(jù)治理能力的現(xiàn)實需要,也是《辦法》制定中著重考慮的問題。一方面,《辦法》明確了國家網(wǎng)信部門和其他履行個人信息保護職責的部門(以下統(tǒng)稱為保護部門)在個人信息保護合規(guī)審計中的監(jiān)管職責,即個人信息處理者有以下情形之一的:(一)發(fā)現(xiàn)個人信息處理活動存在嚴重影響個人權(quán)益或者嚴重缺乏安全措施等較大風險的;(二)個人信息處理活動可能侵害眾多個人的權(quán)益的;(三)發(fā)生個人信息安全事件,導(dǎo)致100萬人以上個人信息或者10萬人以上敏感個人信息泄露、篡改、丟失、毀損的,保護部門可以要求個人信息處理者委托專業(yè)機構(gòu)對個人信息處理活動進行合規(guī)審計。個人信息處理者應(yīng)當為專業(yè)機構(gòu)正常開展個人信息保護合規(guī)審計工作提供必要支持,承擔審計費用,在限定時間內(nèi)完成審計工作,并將專業(yè)機構(gòu)出具的審計報告報送保護部門。此外,《辦法》還明確,保護部門對個人信息處理者開展個人信息保護合規(guī)審計情況進行監(jiān)督檢查。
另一方面,《辦法》規(guī)定,個人信息處理者自行開展個人信息保護合規(guī)審計的,應(yīng)當由個人信息處理者內(nèi)部機構(gòu)或者委托專業(yè)機構(gòu)定期對其處理個人信息遵守法律、行政法規(guī)的情況進行合規(guī)審計。《辦法》明確要求,處理超過1000萬人個人信息的個人信息處理者,應(yīng)當每兩年至少開展一次個人信息保護合規(guī)審計;處理100萬人以上的個人信息的個人信息處理者應(yīng)當指定個人信息保護負責人,負責個人信息處理者的個人信息保護合規(guī)審計工作。
二、《辦法》體現(xiàn)了部門主導(dǎo)和社會參與協(xié)同推進的治理方式
監(jiān)管部門主導(dǎo)和社會力量參與的協(xié)同,是提高數(shù)據(jù)治理能力的客觀需要,也貫穿于《辦法》的始終。《辦法》明確開展個人信息保護合規(guī)審計,是對個人信息處理者的個人信息處理活動是否遵守法律、行政法規(guī)的情況進行審查和評價的監(jiān)督活動,系為了保護個人信息權(quán)益。一方面,《辦法》規(guī)定,個人信息處理者按照保護部門要求開展個人信息保護合規(guī)審計的,應(yīng)當按照保護部門要求選定專業(yè)機構(gòu)。同時,《辦法》也對保護部門的權(quán)限提出要求。例如,對同一個人信息安全事件或者風險,保護部門不得重復(fù)要求個人信息處理者委托專業(yè)機構(gòu)開展個人信息保護合規(guī)審計。
另一方面,《辦法》明確第三方專業(yè)機構(gòu)可參與個人信息保護合規(guī)審計,并對其提出明確要求,如應(yīng)當具備開展個人信息保護合規(guī)審計的能力,有與服務(wù)相適應(yīng)的審計人員、場所、設(shè)施和資金等。要求專業(yè)機構(gòu)在從事個人信息保護合規(guī)審計活動時,遵守法律法規(guī),誠信正直,公正客觀地作出合規(guī)審計職業(yè)判斷,對在履行個人信息保護合規(guī)審計職責中獲得的個人信息、商業(yè)秘密、保密商務(wù)信息等應(yīng)當依法予以保密,不得泄露或者非法向他人提供,在合規(guī)審計工作結(jié)束后及時刪除相關(guān)信息。要求專業(yè)機構(gòu)不得轉(zhuǎn)委托其他機構(gòu)開展個人信息保護合規(guī)審計。同時,《辦法》還明確應(yīng)引入個人信息處理者外部人員參與監(jiān)督的要求,提供重要互聯(lián)網(wǎng)平臺服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的個人信息處理者,應(yīng)當成立主要由外部成員組成的獨立機構(gòu)對個人信息保護合規(guī)審計情況進行監(jiān)督。此外,《辦法》還鼓勵社會大眾積極參與,任何組織、個人有權(quán)對個人信息保護合規(guī)審計中的違法活動向保護部門進行投訴、舉報。
值得注意的是,《辦法》明確提出,鼓勵個人信息保護合規(guī)審計專業(yè)機構(gòu)通過認證,專業(yè)機構(gòu)的認證按照《中華人民共和國認證認可條例》的有關(guān)規(guī)定執(zhí)行,這將為個人信息保護合規(guī)審計相關(guān)認證的創(chuàng)新和發(fā)展提供廣闊的空間。
三、《辦法》體現(xiàn)了法律法規(guī)和政策舉措有效銜接的治理模式
實現(xiàn)法律法規(guī)和政策舉措的有效銜接是提升數(shù)據(jù)治理能力的必然要求,是我國數(shù)據(jù)治理的優(yōu)良傳統(tǒng)和成功經(jīng)驗,也是《辦法》的鮮明特點。《中華人民共和國個人信息保護法》明確規(guī)定,“個人信息處理者應(yīng)當定期對其處理個人信息遵守法律、行政法規(guī)的情況進行合規(guī)審計”“履行個人信息保護職責的部門在履行職責中,發(fā)現(xiàn)個人信息處理活動存在較大風險或者發(fā)生個人信息安全事件的,可以按照規(guī)定的權(quán)限和程序?qū)υ搨€人信息處理者的法定代表人或者主要負責人進行約談,或者要求個人信息處理者委托專業(yè)機構(gòu)對其個人信息處理活動進行合規(guī)審計”。《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例》明確規(guī)定,“網(wǎng)絡(luò)數(shù)據(jù)處理者應(yīng)當定期自行或者委托專業(yè)機構(gòu)對其處理個人信息遵守法律、行政法規(guī)的情況進行合規(guī)審計”。
為落實上述法律、行政法規(guī)規(guī)定,《辦法》在合規(guī)審計指引部分進一步細化了相關(guān)要求,詳細列出了二十七個方面的審查重點,包括對個人信息處理活動的合法性基礎(chǔ)進行合規(guī)審計的重點審查事項,對個人信息處理規(guī)則進行合規(guī)審計的重點審查事項,對個人信息處理者履行告知個人信息處理規(guī)則義務(wù)進行合規(guī)審計的重點審查事項,對個人信息處理者與其他個人信息處理者共同處理個人信息進行合規(guī)審計的重點審查事項,對個人信息處理者委托處理個人信息進行合規(guī)審計的重點審查事項,對個人信息處理者利用自動化決策處理個人信息進行合規(guī)審計的重點審查事項,對個人信息處理者基于個人同意公開個人信息進行合規(guī)審計的重點審查事項等,充分體現(xiàn)了法律法規(guī)與政策舉措的貫通和銜接。
《辦法》的出臺是我國個人信息保護事業(yè)進程中的重要節(jié)點,必將為提高我國個人信息保護水平、提升我國數(shù)據(jù)安全治理監(jiān)管能力發(fā)揮重要作用。(作者:王志成,國家網(wǎng)信辦數(shù)據(jù)與技術(shù)保障中心副主任)
