為指導(dǎo)、規(guī)范個(gè)人信息保護(hù)合規(guī)審計(jì)活動(dòng)，國(guó)家互聯(lián)網(wǎng)信息辦公室起草了《個(gè)人信息保護(hù)合規(guī)審計(jì)管理辦法（征求意見(jiàn)稿）》（下文簡(jiǎn)稱“征求意見(jiàn)稿”），近日向社會(huì)公開(kāi)征求意見(jiàn)。

個(gè)人信息保護(hù)合規(guī)審計(jì)，是指對(duì)個(gè)人信息處理者的個(gè)人信息處理活動(dòng)是否遵守法律、行政法規(guī)的情況進(jìn)行審查和評(píng)價(jià)的監(jiān)督活動(dòng)。

“征求意見(jiàn)稿中的內(nèi)容是對(duì)個(gè)人信息保護(hù)法合規(guī)審計(jì)相關(guān)內(nèi)容的一個(gè)補(bǔ)充和延伸?！敝袊?guó)政法大學(xué)傳播法研究中心副主任朱巍說(shuō)。

關(guān)于合規(guī)審計(jì)，個(gè)人信息保護(hù)法第54條規(guī)定，個(gè)人信息處理者應(yīng)當(dāng)定期對(duì)其處理個(gè)人信息遵守法律、行政法規(guī)的情況進(jìn)行合規(guī)審計(jì)；第64條規(guī)定，履行個(gè)人信息保護(hù)職責(zé)的部門在履行職責(zé)中，發(fā)現(xiàn)個(gè)人信息處理活動(dòng)存在較大風(fēng)險(xiǎn)或者發(fā)生個(gè)人信息安全事件的，可以按照規(guī)定的權(quán)限和程序?qū)υ搨€(gè)人信息處理者的法定代表人或者主要負(fù)責(zé)人進(jìn)行約談，或者要求個(gè)人信息處理者委托專業(yè)機(jī)構(gòu)對(duì)其個(gè)人信息處理活動(dòng)進(jìn)行合規(guī)審計(jì)。

“征求意見(jiàn)稿使得合規(guī)審計(jì)的執(zhí)行更具有實(shí)操性，也提出了更為嚴(yán)格和詳細(xì)的要求?！蔽髂险ù髮W(xué)民商法學(xué)院副教授杜江涌表示，征求意見(jiàn)稿從審計(jì)分類、主體范圍和審計(jì)頻率、審計(jì)機(jī)構(gòu)、審計(jì)時(shí)限等方面規(guī)定了個(gè)人信息保護(hù)合規(guī)審計(jì)的具體管理辦法，以個(gè)人信息保護(hù)為核心，例如以知情同意、權(quán)益保障、處理目的等為要點(diǎn)進(jìn)行合規(guī)審計(jì)。其中有兩個(gè)亮點(diǎn)值得關(guān)注，首先征求意見(jiàn)稿提出“處理超過(guò)100萬(wàn)人個(gè)人信息的個(gè)人信息處理者，應(yīng)當(dāng)每年至少開(kāi)展一次個(gè)人信息保護(hù)合規(guī)審計(jì)”，另外其首次明確了對(duì)外部獨(dú)立監(jiān)管機(jī)構(gòu)的要求。

征求意見(jiàn)稿為何將個(gè)人信息處理者以100萬(wàn)為標(biāo)準(zhǔn)進(jìn)行分類？

朱巍告訴人民網(wǎng)“強(qiáng)觀察”欄目，目前企業(yè)采集個(gè)人信息的數(shù)量比較龐大，相較之，100萬(wàn)并不是一個(gè)大數(shù)字，把這一標(biāo)準(zhǔn)具象化來(lái)形容，包括中小型企業(yè)在內(nèi)的多數(shù)互聯(lián)網(wǎng)企業(yè)，都需要接受一年至少一次的個(gè)人信息保護(hù)法合規(guī)審計(jì)。

杜江涌同樣表示，我國(guó)人口龐大，同時(shí)移動(dòng)互聯(lián)網(wǎng)對(duì)居民生活的深度介入，實(shí)際上大量企業(yè)或機(jī)構(gòu)所處理的個(gè)人信息都會(huì)“輕松”超過(guò)100萬(wàn)人，大量互聯(lián)網(wǎng)平臺(tái)公司都將進(jìn)行年度個(gè)人信息保護(hù)合規(guī)審計(jì)。因此，100萬(wàn)人次門檻的設(shè)置標(biāo)準(zhǔn)其實(shí)并不高，主要目的是更好地保護(hù)民眾的個(gè)人信息權(quán)益。

在很多情況下，合規(guī)審計(jì)工作需要企業(yè)委托專業(yè)機(jī)構(gòu)開(kāi)展，對(duì)于專業(yè)機(jī)構(gòu)的妥善管理有助于保持合規(guī)審計(jì)的有效性。為此，征求意見(jiàn)稿對(duì)外部專業(yè)審計(jì)機(jī)構(gòu)同樣作出相關(guān)規(guī)定。

例如，征求意見(jiàn)稿規(guī)定，執(zhí)行個(gè)人信息保護(hù)合規(guī)審計(jì)的專業(yè)機(jī)構(gòu)應(yīng)當(dāng)保持獨(dú)立性和客觀性，連續(xù)為同一審計(jì)對(duì)象開(kāi)展個(gè)人信息保護(hù)合規(guī)審計(jì)不得超過(guò)三次。并且專業(yè)機(jī)構(gòu)不得轉(zhuǎn)包委托第三方開(kāi)展個(gè)人信息保護(hù)合規(guī)審計(jì)。

此外，征求意見(jiàn)稿提出建立個(gè)人信息保護(hù)合規(guī)審計(jì)專業(yè)機(jī)構(gòu)推薦目錄，每年組織開(kāi)展個(gè)人信息保護(hù)合規(guī)審計(jì)專業(yè)機(jī)構(gòu)評(píng)估評(píng)價(jià)，并根據(jù)評(píng)估評(píng)價(jià)情況動(dòng)態(tài)調(diào)整個(gè)人信息保護(hù)合規(guī)審計(jì)專業(yè)機(jī)構(gòu)推薦目錄。

“征求意見(jiàn)稿中所規(guī)定的審計(jì)活動(dòng)要求幾乎涵蓋了大型互聯(lián)網(wǎng)企業(yè)全部業(yè)務(wù)活動(dòng)的各個(gè)方面，比如針對(duì)個(gè)人信息處理全流程、內(nèi)部管理制度和操作規(guī)程的審計(jì)等。然而，要落實(shí)這些規(guī)定，還需要理清一些問(wèn)題?！倍沤颗e例，征求意見(jiàn)稿所附的個(gè)人信息保護(hù)合規(guī)審計(jì)參考要點(diǎn)還存在許多可以細(xì)化的部分，主要集中在審計(jì)依據(jù)、審計(jì)目標(biāo)、審計(jì)范圍等方面。其次，各類根據(jù)個(gè)人信息保護(hù)法所作出的規(guī)定，尚不能滿足合規(guī)審計(jì)所需的法律依據(jù)。為了保障審計(jì)結(jié)果具有實(shí)際意義和參照價(jià)值，應(yīng)進(jìn)一步完善相關(guān)法律依據(jù)。

分享讓更多人看到