Law-lib.com 2025-2-15 11:18:02 中國網信網
近日,國家互聯網信息辦公室公布《個人信息保護合規審計管理辦法》(以下簡稱《辦法》)。國家互聯網信息辦公室有關負責人就《辦法》相關問題回答了記者提問。
問1:請介紹一下《辦法》的出臺背景?
答:當前,個人信息被企業、機構甚至個人廣泛收集使用,個人信息保護和個人信息利用的矛盾日益突出。為壓實個人信息處理者個人信息保護主體責任,加強個人信息處理活動風險控制和監督,《中華人民共和國個人信息保護法》《網絡數據安全管理條例》對個人信息處理者開展合規審計作了規定。為有效落實法律法規要求,國家互聯網信息辦公室制定出臺《辦法》,對個人信息保護合規審計活動的開展、合規審計機構的選擇、合規審計的頻次、個人信息處理者和專業機構在合規審計中的義務等作出細化規定,旨在為個人信息處理者開展個人信息保護合規審計提供系統性、針對性、可操作性的規范,提升個人信息處理活動合法合規水平,保護個人信息權益。
問2:我國法律法規中對個人信息保護合規審計作了哪些規定?
答:《中華人民共和國個人信息保護法》第五十四條規定,個人信息處理者應當定期對其處理個人信息遵守法律、行政法規的情況進行合規審計。第六十四條規定,履行個人信息保護職責的部門在履行職責中,發現個人信息處理活動存在較大風險或者發生個人信息安全事件的,可以按照規定的權限和程序對該個人信息處理者的法定代表人或者主要負責人進行約談,或者要求個人信息處理者委托專業機構對其個人信息處理活動進行合規審計。《網絡數據安全管理條例》第二十七條規定,網絡數據處理者應當定期自行或者委托專業機構對其處理個人信息遵守法律、行政法規的情況進行合規審計。以上法律法規明確了個人信息保護合規審計的兩種情形:一是個人信息處理者自行開展合規審計。二是按照履行個人信息保護職責的部門要求,委托專業機構開展合規審計。
問3:《辦法》的主要內容是什么?
答:《辦法》主要對下列內容進行了規定:一是明確個人信息處理者自行開展合規審計和按照履行個人信息保護職責的部門要求委托專業機構開展合規審計的條件,合規審計機構的選擇和合規審計的頻次。二是明確開展合規審計的個人信息處理者應當履行的義務,規定個人信息處理者按照履行個人信息保護職責的部門要求開展合規審計的,應當為專業機構正常開展合規審計工作提供必要支持并承擔審計費用,在限定時間內完成合規審計,報送合規審計報告并進行整改。三是明確專業機構在合規審計中的義務,規定專業機構應當具備開展合規審計的能力,遵守法律法規,明確同一專業機構及其關聯機構、同一合規審計負責人不得連續三次以上對同一審計對象開展個人信息保護合規審計。四是明確履行個人信息保護職責的部門對個人信息處理者開展合規審計情況進行監督檢查,任何組織、個人有權對合規審計中的違法活動向履行個人信息保護職責的部門進行投訴、舉報,并規定個人信息處理者、專業機構違反《辦法》規定的法律責任。
問4:個人信息處理者在什么情況下需要開展個人信息保護合規審計?
答:個人信息處理者開展個人信息保護合規審計分兩種情形:一是自行開展合規審計,即個人信息處理者應當定期對其處理個人信息遵守法律、行政法規的情況進行合規審計。處理超過1000萬人個人信息的個人信息處理者,應當每兩年至少開展一次個人信息保護合規審計。其他個人信息處理者根據自身情況合理確定定期開展個人信息保護合規審計的頻次。二是按照要求開展合規審計,即履行個人信息保護職責的部門在履行職責中,發現個人信息處理活動存在較大風險、可能侵害眾多個人的權益或者發生個人信息安全事件的,可以要求個人信息處理者委托專業機構對其個人信息處理活動進行合規審計。
問5:個人信息處理者如何選擇合規審計機構?
答:個人信息處理者自行開展合規審計時,可以選擇由內部機構自行開展,也可以委托專業機構開展。《辦法》對采取何種審計方式、是否選擇專業機構,以及選擇哪家專業機構沒有強制性要求。個人信息處理活動存在較大風險、可能侵害眾多個人的權益或者發生個人信息安全事件時,履行個人信息保護職責的部門可以要求個人信息處理者委托專業機構開展個人信息保護合規審計。
問6:《辦法》對專業機構提出了哪些要求?
答:專業機構接受個人信息處理者委托開展合規審計,應當公正客觀地作出合規審計結論,提出合規審計建議,其出具的合規審計報告是履行個人信息保護職責的部門開展監督管理工作的重要參考。《辦法》對專業機構提出以下要求:一是應當具備開展個人信息保護合規審計的能力,有與服務相適應的審計人員、場所、設施和資金等。二是應當遵守法律法規,誠信正直,公正客觀地作出合規審計職業判斷,對在履行個人信息保護合規審計職責中獲得的個人信息、商業秘密、保密商務信息等依法予以保密,不得泄露或者非法向他人提供,在合規審計工作結束后及時刪除相關信息。三是不得轉委托其他機構開展個人信息保護合規審計。四是同一專業機構及其關聯機構、同一合規審計負責人不得連續三次以上對同一審計對象開展個人信息保護合規審計。
問7:《辦法》如何對專業機構進行管理?
答:《辦法》遵循自愿性、市場化的原則,通過認證認可方式對專業機構進行監督管理。專業機構的認證按照《中華人民共和國認證認可條例》的有關規定執行。具備開展個人信息保護合規審計能力,有與服務相適應的審計人員、場所、設施和資金的專業機構,可以自愿申請相關服務能力認證。
問8:個人信息處理者按照履行個人信息保護職責的部門要求開展個人信息保護合規審計時,應當履行哪些義務?
答:《辦法》對個人信息處理者按照履行個人信息保護職責的部門要求開展個人信息保護合規審計提出以下要求:一是保障合規審計正常進行,為專業機構正常開展個人信息保護合規審計工作提供必要支持,并承擔審計費用。二是按照履行個人信息保護職責的部門要求選定專業機構,在限定時間內完成個人信息保護合規審計,情況復雜的,報履行個人信息保護職責的部門批準后,可以適當延長。三是報送合規審計報告并進行整改,個人信息處理者在完成合規審計后,應當將專業機構出具的個人信息保護合規審計報告報送履行個人信息保護職責的部門,按照履行個人信息保護職責的部門要求對合規審計中發現的問題進行整改,在整改完成后15個工作日內,向履行個人信息保護職責的部門報送整改情況報告。
問9:個人信息處理者開展個人信息保護合規審計如何適用《個人信息保護合規審計指引》?
答:《個人信息保護合規審計指引》對個人信息保護相關法律、行政法規的關鍵要點作了梳理,從合規審計的角度進行了細化,便于個人信息處理者對個人信息處理活動是否遵守法律、行政法規要求進行審查和評價。個人信息處理者自行開展或者按照履行個人信息保護職責的部門要求委托專業機構開展個人信息保護合規審計,應當參照《個人信息保護合規審計指引》。
日期:2025-2-15 11:18:02 | 關閉 |
Copyright © 1999-2021 法律圖書館
.
.
