Law-lib.com 2025-2-15 11:18:02 中國網(wǎng)信網(wǎng)
近日�,國家互聯(lián)網(wǎng)信息辦公室公布《個人信息保護合規(guī)審計管理辦法》(以下簡稱《辦法》)�����。國家互聯(lián)網(wǎng)信息辦公室有關(guān)負責(zé)人就《辦法》相關(guān)問題回答了記者提問����。
問1:請介紹一下《辦法》的出臺背景?
答:當(dāng)前�,個人信息被企業(yè)、機構(gòu)甚至個人廣泛收集使用�����,個人信息保護和個人信息利用的矛盾日益突出。為壓實個人信息處理者個人信息保護主體責(zé)任��,加強個人信息處理活動風(fēng)險控制和監(jiān)督���,《中華人民共和國個人信息保護法》《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例》對個人信息處理者開展合規(guī)審計作了規(guī)定���。為有效落實法律法規(guī)要求,國家互聯(lián)網(wǎng)信息辦公室制定出臺《辦法》���,對個人信息保護合規(guī)審計活動的開展��、合規(guī)審計機構(gòu)的選擇��、合規(guī)審計的頻次�����、個人信息處理者和專業(yè)機構(gòu)在合規(guī)審計中的義務(wù)等作出細化規(guī)定����,旨在為個人信息處理者開展個人信息保護合規(guī)審計提供系統(tǒng)性�、針對性、可操作性的規(guī)范�����,提升個人信息處理活動合法合規(guī)水平��,保護個人信息權(quán)益�����。
問2:我國法律法規(guī)中對個人信息保護合規(guī)審計作了哪些規(guī)定�?
答:《中華人民共和國個人信息保護法》第五十四條規(guī)定,個人信息處理者應(yīng)當(dāng)定期對其處理個人信息遵守法律��、行政法規(guī)的情況進行合規(guī)審計��。第六十四條規(guī)定����,履行個人信息保護職責(zé)的部門在履行職責(zé)中,發(fā)現(xiàn)個人信息處理活動存在較大風(fēng)險或者發(fā)生個人信息安全事件的�����,可以按照規(guī)定的權(quán)限和程序?qū)υ搨人信息處理者的法定代表人或者主要負責(zé)人進行約談���,或者要求個人信息處理者委托專業(yè)機構(gòu)對其個人信息處理活動進行合規(guī)審計���������!毒W(wǎng)絡(luò)數(shù)據(jù)安全管理條例》第二十七條規(guī)定,網(wǎng)絡(luò)數(shù)據(jù)處理者應(yīng)當(dāng)定期自行或者委托專業(yè)機構(gòu)對其處理個人信息遵守法律����、行政法規(guī)的情況進行合規(guī)審計。以上法律法規(guī)明確了個人信息保護合規(guī)審計的兩種情形:一是個人信息處理者自行開展合規(guī)審計�����。二是按照履行個人信息保護職責(zé)的部門要求��,委托專業(yè)機構(gòu)開展合規(guī)審計����。
問3:《辦法》的主要內(nèi)容是什么?
答:《辦法》主要對下列內(nèi)容進行了規(guī)定:一是明確個人信息處理者自行開展合規(guī)審計和按照履行個人信息保護職責(zé)的部門要求委托專業(yè)機構(gòu)開展合規(guī)審計的條件�,合規(guī)審計機構(gòu)的選擇和合規(guī)審計的頻次。二是明確開展合規(guī)審計的個人信息處理者應(yīng)當(dāng)履行的義務(wù)����,規(guī)定個人信息處理者按照履行個人信息保護職責(zé)的部門要求開展合規(guī)審計的���,應(yīng)當(dāng)為專業(yè)機構(gòu)正常開展合規(guī)審計工作提供必要支持并承擔(dān)審計費用,在限定時間內(nèi)完成合規(guī)審計�����,報送合規(guī)審計報告并進行整改���。三是明確專業(yè)機構(gòu)在合規(guī)審計中的義務(wù),規(guī)定專業(yè)機構(gòu)應(yīng)當(dāng)具備開展合規(guī)審計的能力��,遵守法律法規(guī)��,明確同一專業(yè)機構(gòu)及其關(guān)聯(lián)機構(gòu)����、同一合規(guī)審計負責(zé)人不得連續(xù)三次以上對同一審計對象開展個人信息保護合規(guī)審計。四是明確履行個人信息保護職責(zé)的部門對個人信息處理者開展合規(guī)審計情況進行監(jiān)督檢查��,任何組織�����、個人有權(quán)對合規(guī)審計中的違法活動向履行個人信息保護職責(zé)的部門進行投訴��、舉報,并規(guī)定個人信息處理者��、專業(yè)機構(gòu)違反《辦法》規(guī)定的法律責(zé)任����。
問4:個人信息處理者在什么情況下需要開展個人信息保護合規(guī)審計?
答:個人信息處理者開展個人信息保護合規(guī)審計分兩種情形:一是自行開展合規(guī)審計���,即個人信息處理者應(yīng)當(dāng)定期對其處理個人信息遵守法律�、行政法規(guī)的情況進行合規(guī)審計���。處理超過1000萬人個人信息的個人信息處理者����,應(yīng)當(dāng)每兩年至少開展一次個人信息保護合規(guī)審計�����。其他個人信息處理者根據(jù)自身情況合理確定定期開展個人信息保護合規(guī)審計的頻次����。二是按照要求開展合規(guī)審計,即履行個人信息保護職責(zé)的部門在履行職責(zé)中,發(fā)現(xiàn)個人信息處理活動存在較大風(fēng)險��、可能侵害眾多個人的權(quán)益或者發(fā)生個人信息安全事件的����,可以要求個人信息處理者委托專業(yè)機構(gòu)對其個人信息處理活動進行合規(guī)審計。
問5:個人信息處理者如何選擇合規(guī)審計機構(gòu)�?
答:個人信息處理者自行開展合規(guī)審計時,可以選擇由內(nèi)部機構(gòu)自行開展����,也可以委托專業(yè)機構(gòu)開展�。《辦法》對采取何種審計方式����、是否選擇專業(yè)機構(gòu),以及選擇哪家專業(yè)機構(gòu)沒有強制性要求���。個人信息處理活動存在較大風(fēng)險�、可能侵害眾多個人的權(quán)益或者發(fā)生個人信息安全事件時��,履行個人信息保護職責(zé)的部門可以要求個人信息處理者委托專業(yè)機構(gòu)開展個人信息保護合規(guī)審計�����。
問6:《辦法》對專業(yè)機構(gòu)提出了哪些要求?
答:專業(yè)機構(gòu)接受個人信息處理者委托開展合規(guī)審計�����,應(yīng)當(dāng)公正客觀地作出合規(guī)審計結(jié)論�����,提出合規(guī)審計建議����,其出具的合規(guī)審計報告是履行個人信息保護職責(zé)的部門開展監(jiān)督管理工作的重要參考��!掇k法》對專業(yè)機構(gòu)提出以下要求:一是應(yīng)當(dāng)具備開展個人信息保護合規(guī)審計的能力���,有與服務(wù)相適應(yīng)的審計人員��、場所��、設(shè)施和資金等�。二是應(yīng)當(dāng)遵守法律法規(guī)���,誠信正直���,公正客觀地作出合規(guī)審計職業(yè)判斷�,對在履行個人信息保護合規(guī)審計職責(zé)中獲得的個人信息����、商業(yè)秘密、保密商務(wù)信息等依法予以保密��,不得泄露或者非法向他人提供����,在合規(guī)審計工作結(jié)束后及時刪除相關(guān)信息。三是不得轉(zhuǎn)委托其他機構(gòu)開展個人信息保護合規(guī)審計���。四是同一專業(yè)機構(gòu)及其關(guān)聯(lián)機構(gòu)、同一合規(guī)審計負責(zé)人不得連續(xù)三次以上對同一審計對象開展個人信息保護合規(guī)審計�����。
問7:《辦法》如何對專業(yè)機構(gòu)進行管理��?
答:《辦法》遵循自愿性���、市場化的原則���,通過認證認可方式對專業(yè)機構(gòu)進行監(jiān)督管理���。專業(yè)機構(gòu)的認證按照《中華人民共和國認證認可條例》的有關(guān)規(guī)定執(zhí)行。具備開展個人信息保護合規(guī)審計能力���,有與服務(wù)相適應(yīng)的審計人員���、場所、設(shè)施和資金的專業(yè)機構(gòu)����,可以自愿申請相關(guān)服務(wù)能力認證。
問8:個人信息處理者按照履行個人信息保護職責(zé)的部門要求開展個人信息保護合規(guī)審計時��,應(yīng)當(dāng)履行哪些義務(wù)����?
答:《辦法》對個人信息處理者按照履行個人信息保護職責(zé)的部門要求開展個人信息保護合規(guī)審計提出以下要求:一是保障合規(guī)審計正常進行,為專業(yè)機構(gòu)正常開展個人信息保護合規(guī)審計工作提供必要支持���,并承擔(dān)審計費用��。二是按照履行個人信息保護職責(zé)的部門要求選定專業(yè)機構(gòu)��,在限定時間內(nèi)完成個人信息保護合規(guī)審計��,情況復(fù)雜的�,報履行個人信息保護職責(zé)的部門批準后,可以適當(dāng)延長�。三是報送合規(guī)審計報告并進行整改,個人信息處理者在完成合規(guī)審計后�,應(yīng)當(dāng)將專業(yè)機構(gòu)出具的個人信息保護合規(guī)審計報告報送履行個人信息保護職責(zé)的部門,按照履行個人信息保護職責(zé)的部門要求對合規(guī)審計中發(fā)現(xiàn)的問題進行整改����,在整改完成后15個工作日內(nèi),向履行個人信息保護職責(zé)的部門報送整改情況報告�����。
問9:個人信息處理者開展個人信息保護合規(guī)審計如何適用《個人信息保護合規(guī)審計指引》��?
答:《個人信息保護合規(guī)審計指引》對個人信息保護相關(guān)法律���、行政法規(guī)的關(guān)鍵要點作了梳理,從合規(guī)審計的角度進行了細化���,便于個人信息處理者對個人信息處理活動是否遵守法律�����、行政法規(guī)要求進行審查和評價���。個人信息處理者自行開展或者按照履行個人信息保護職責(zé)的部門要求委托專業(yè)機構(gòu)開展個人信息保護合規(guī)審計����,應(yīng)當(dāng)參照《個人信息保護合規(guī)審計指引》���。
日期:2025-2-15 11:18:02 | 關(guān)閉 |
