為指導、規范個(gè)人信息保護合規審計活動(dòng)，國家互聯(lián)網(wǎng)信息辦公室起草了《個(gè)人信息保護合規審計管理辦法（征求意見(jiàn)稿）》（下文簡(jiǎn)稱(chēng)“征求意見(jiàn)稿”），近日向社會(huì )公開(kāi)征求意見(jiàn)。

個(gè)人信息保護合規審計，是指對個(gè)人信息處理者的個(gè)人信息處理活動(dòng)是否遵守法律、行政法規的情況進(jìn)行審查和評價(jià)的監督活動(dòng)。

“征求意見(jiàn)稿中的內容是對個(gè)人信息保護法合規審計相關(guān)內容的一個(gè)補充和延伸?！敝袊ù髮W(xué)傳播法研究中心副主任朱巍說(shuō)。

關(guān)于合規審計，個(gè)人信息保護法第54條規定，個(gè)人信息處理者應當定期對其處理個(gè)人信息遵守法律、行政法規的情況進(jìn)行合規審計；第64條規定，履行個(gè)人信息保護職責的部門(mén)在履行職責中，發(fā)現個(gè)人信息處理活動(dòng)存在較大風(fēng)險或者發(fā)生個(gè)人信息安全事件的，可以按照規定的權限和程序對該個(gè)人信息處理者的法定代表人或者主要負責人進(jìn)行約談，或者要求個(gè)人信息處理者委托專(zhuān)業(yè)機構對其個(gè)人信息處理活動(dòng)進(jìn)行合規審計。

“征求意見(jiàn)稿使得合規審計的執行更具有實(shí)操性，也提出了更為嚴格和詳細的要求?！蔽髂险ù髮W(xué)民商法學(xué)院副教授杜江涌表示，征求意見(jiàn)稿從審計分類(lèi)、主體范圍和審計頻率、審計機構、審計時(shí)限等方面規定了個(gè)人信息保護合規審計的具體管理辦法，以個(gè)人信息保護為核心，例如以知情同意、權益保障、處理目的等為要點(diǎn)進(jìn)行合規審計。其中有兩個(gè)亮點(diǎn)值得關(guān)注，首先征求意見(jiàn)稿提出“處理超過(guò)100萬(wàn)人個(gè)人信息的個(gè)人信息處理者，應當每年至少開(kāi)展一次個(gè)人信息保護合規審計”，另外其首次明確了對外部獨立監管機構的要求。

征求意見(jiàn)稿為何將個(gè)人信息處理者以100萬(wàn)為標準進(jìn)行分類(lèi)？

朱巍告訴人民網(wǎng)“強觀(guān)察”欄目，目前企業(yè)采集個(gè)人信息的數量比較龐大，相較之，100萬(wàn)并不是一個(gè)大數字，把這一標準具象化來(lái)形容，包括中小型企業(yè)在內的多數互聯(lián)網(wǎng)企業(yè)，都需要接受一年至少一次的個(gè)人信息保護法合規審計。

杜江涌同樣表示，我國人口龐大，同時(shí)移動(dòng)互聯(lián)網(wǎng)對居民生活的深度介入，實(shí)際上大量企業(yè)或機構所處理的個(gè)人信息都會(huì )“輕松”超過(guò)100萬(wàn)人，大量互聯(lián)網(wǎng)平臺公司都將進(jìn)行年度個(gè)人信息保護合規審計。因此，100萬(wàn)人次門(mén)檻的設置標準其實(shí)并不高，主要目的是更好地保護民眾的個(gè)人信息權益。

在很多情況下，合規審計工作需要企業(yè)委托專(zhuān)業(yè)機構開(kāi)展，對于專(zhuān)業(yè)機構的妥善管理有助于保持合規審計的有效性。為此，征求意見(jiàn)稿對外部專(zhuān)業(yè)審計機構同樣作出相關(guān)規定。

例如，征求意見(jiàn)稿規定，執行個(gè)人信息保護合規審計的專(zhuān)業(yè)機構應當保持獨立性和客觀(guān)性，連續為同一審計對象開(kāi)展個(gè)人信息保護合規審計不得超過(guò)三次。并且專(zhuān)業(yè)機構不得轉包委托第三方開(kāi)展個(gè)人信息保護合規審計。

此外，征求意見(jiàn)稿提出建立個(gè)人信息保護合規審計專(zhuān)業(yè)機構推薦目錄，每年組織開(kāi)展個(gè)人信息保護合規審計專(zhuān)業(yè)機構評估評價(jià)，并根據評估評價(jià)情況動(dòng)態(tài)調整個(gè)人信息保護合規審計專(zhuān)業(yè)機構推薦目錄。

“征求意見(jiàn)稿中所規定的審計活動(dòng)要求幾乎涵蓋了大型互聯(lián)網(wǎng)企業(yè)全部業(yè)務(wù)活動(dòng)的各個(gè)方面，比如針對個(gè)人信息處理全流程、內部管理制度和操作規程的審計等。然而，要落實(shí)這些規定，還需要理清一些問(wèn)題?！倍沤颗e例，征求意見(jiàn)稿所附的個(gè)人信息保護合規審計參考要點(diǎn)還存在許多可以細化的部分，主要集中在審計依據、審計目標、審計范圍等方面。其次，各類(lèi)根據個(gè)人信息保護法所作出的規定，尚不能滿(mǎn)足合規審計所需的法律依據。為了保障審計結果具有實(shí)際意義和參照價(jià)值，應進(jìn)一步完善相關(guān)法律依據。

分享讓更多人看到