首頁 > 關(guān)于我們 > 安恒動(dòng)態(tài) > 2023 > 正文

解讀丨《個(gè)人信息保護(hù)合規(guī)審計(jì)管理辦法（征求意見稿）》發(fā)布

閱讀量：次 文章來源：安恒信息

安恒信息安全咨詢講武堂

講武堂，帶兵者研究武學(xué)之所。今設(shè)“安恒信息安全咨詢講武堂”，與圈內(nèi)人士共同聚焦、分享安全咨詢領(lǐng)域的心得體會(huì)與實(shí)踐經(jīng)驗(yàn)。

本期聚焦“個(gè)人信息處理者組織內(nèi)部建設(shè)個(gè)人信息保護(hù)體系”提出三大建議，歡迎大家文末留言探討。

近日，國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布關(guān)于《個(gè)人信息保護(hù)合規(guī)審計(jì)管理辦法（征求意見稿）》（以下簡(jiǎn)稱《辦法》）及配套的《個(gè)人信息保護(hù)合規(guī)審計(jì)參考要點(diǎn)》（以下簡(jiǎn)稱《要點(diǎn)》）公開征求意見的通知。該《辦法》旨在為指導(dǎo)、規(guī)范個(gè)人信息保護(hù)合規(guī)審計(jì)活動(dòng)，提高個(gè)人信息處理活動(dòng)合規(guī)水平，保護(hù)個(gè)人信息權(quán)益。以下是對(duì)《辦法》與《要點(diǎn)》重點(diǎn)內(nèi)容的解讀，以及基于本次發(fā)布的相關(guān)內(nèi)容，安恒信息給出了個(gè)人信息處理者組織內(nèi)部建設(shè)個(gè)人信息保護(hù)體系的幾點(diǎn)建議。

《辦法》重點(diǎn)內(nèi)容解讀

《辦法》共計(jì)十六條，主要是針對(duì)《個(gè)人信息保護(hù)法》第54條和第64條所確定的個(gè)人信息保護(hù)合規(guī)審計(jì)機(jī)制的細(xì)化與補(bǔ)充，對(duì)合規(guī)審計(jì)的觸發(fā)條件、開展要點(diǎn)、實(shí)施要求等做了明確規(guī)定。

個(gè)人信息保護(hù)合規(guī)審計(jì)流程涉及到個(gè)人信息處理者、專業(yè)機(jī)構(gòu)、履行個(gè)人信息保護(hù)職責(zé)的部門（以下簡(jiǎn)稱“監(jiān)管部門“）三方，其中專業(yè)機(jī)構(gòu)的選取可根據(jù)監(jiān)管部門按照國(guó)家網(wǎng)信部門同公安機(jī)關(guān)等國(guó)務(wù)院有關(guān)部門建立的推薦目錄中進(jìn)行選擇。

個(gè)人信息處理者可根據(jù)自身實(shí)際情況和需求，自行或委托專業(yè)機(jī)構(gòu)，按照個(gè)人信息合規(guī)審計(jì)流程開展個(gè)人信息合規(guī)審計(jì)工作，并根據(jù)審計(jì)結(jié)果及時(shí)進(jìn)行整改。其中具體需要關(guān)注的要點(diǎn)如下：

一、《辦法》明確了個(gè)人信息保護(hù)合規(guī)審計(jì)的觸發(fā)條件及審計(jì)角色界定

1、自行定期開展審計(jì)：

可由個(gè)人信息處理者本組織內(nèi)部機(jī)構(gòu)或委托專業(yè)機(jī)構(gòu)進(jìn)行

● 處理超過100萬人個(gè)人信息的個(gè)人信息處理者：每年至少開展一次個(gè)人信息保護(hù)合規(guī)審計(jì)

● 其他個(gè)人信息處理者：每二年至少開展一次個(gè)人信息保護(hù)合規(guī)審計(jì)

2、應(yīng)監(jiān)管要求審計(jì)：

當(dāng)監(jiān)管部門發(fā)現(xiàn)以下情況，個(gè)人信息處理者應(yīng)盡快選定專業(yè)機(jī)構(gòu)進(jìn)行個(gè)人信息保護(hù)合規(guī)審計(jì)

●?個(gè)人信息處理活動(dòng)存在較大風(fēng)險(xiǎn)

●?發(fā)生個(gè)人信息安全事件

二、《辦法》列舉了開展個(gè)人信息保護(hù)合規(guī)審計(jì)活動(dòng)中的實(shí)施要求

●?實(shí)施時(shí)限：90個(gè)工作日內(nèi)完成，若情況復(fù)雜，可經(jīng)過監(jiān)管部門批準(zhǔn)后延長(zhǎng)

●?報(bào)送要求：針對(duì)委托專業(yè)機(jī)構(gòu)開展完成的個(gè)人信息保護(hù)合規(guī)審計(jì)活動(dòng)，應(yīng)及時(shí)將出具的報(bào)告進(jìn)行簽字蓋章后，報(bào)送至監(jiān)管部門

●?及時(shí)整改：針對(duì)委托專業(yè)機(jī)構(gòu)開展完成的個(gè)人信息保護(hù)合規(guī)審計(jì)活動(dòng)，應(yīng)及時(shí)按照整改建議進(jìn)行及時(shí)整改后，報(bào)送至監(jiān)管部門

三、《辦法》規(guī)范了專業(yè)機(jī)構(gòu)的執(zhí)行責(zé)任與義務(wù)，并約束了其執(zhí)行原則

●?執(zhí)行限制：連續(xù)為同一審計(jì)對(duì)象開展個(gè)人信息保護(hù)合規(guī)審計(jì)不得超過三次

●?執(zhí)行原則：誠(chéng)信正直，公正客觀；不得轉(zhuǎn)包委托第三方；對(duì)獲得的信息承擔(dān)保密責(zé)任；不得惡意干擾個(gè)人信息處理者的正常經(jīng)營(yíng)活動(dòng)；不得有出具虛假、失實(shí)報(bào)告等違規(guī)行

●?執(zhí)行權(quán)限：專業(yè)機(jī)構(gòu)應(yīng)能夠正常行使開展合規(guī)審計(jì)工作所必需的權(quán)限，如查閱文件資料、調(diào)研系統(tǒng)活動(dòng)、檢查設(shè)備設(shè)施、調(diào)取個(gè)人信息、訪談相關(guān)人員等

《要點(diǎn)》重點(diǎn)內(nèi)容解讀

《要點(diǎn)》共計(jì)三十一條，列舉了個(gè)人信息保護(hù)處理活動(dòng)在組織管理、全生命周期保護(hù)方面等基礎(chǔ)性合規(guī)義務(wù)的審查事項(xiàng)，協(xié)助個(gè)人信息處理者的內(nèi)部組織機(jī)構(gòu)或委托的專業(yè)機(jī)構(gòu)在進(jìn)行個(gè)人信息保護(hù)合規(guī)審計(jì)時(shí)推進(jìn)實(shí)施。

《要點(diǎn)》面向個(gè)人信息處理活動(dòng)的主要審計(jì)框架內(nèi)容如下：

如上圖不難看出，《要點(diǎn)》中相關(guān)參考條例與《個(gè)人信息保護(hù)法》《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例（征求意見稿）》《GB/T 35273-2020 信息安全技術(shù) 個(gè)人信息安全規(guī)范》中相關(guān)要求均有對(duì)比映射關(guān)系，從不同條款中都與現(xiàn)存的國(guó)家法律法規(guī)、標(biāo)準(zhǔn)要求進(jìn)行了銜接，為個(gè)人信息保護(hù)合規(guī)審計(jì)國(guó)家層面的標(biāo)準(zhǔn)要求落點(diǎn)提供了細(xì)化補(bǔ)充與深度擴(kuò)展。

對(duì)于個(gè)人信息處理者組織內(nèi)部建設(shè)

個(gè)人信息保護(hù)體系的建議

本次發(fā)布的《辦法》與《要點(diǎn)》作為個(gè)人信息保護(hù)領(lǐng)域的實(shí)際落點(diǎn)，填補(bǔ)了《個(gè)人信息保護(hù)法》有關(guān)規(guī)范合規(guī)審計(jì)機(jī)制的下位規(guī)范空白，具有里程碑式的意義。

個(gè)人信息保護(hù)合規(guī)審計(jì)不僅僅是一項(xiàng)法定義務(wù)，也是個(gè)人信息處理者的自查自糾的重要手段，更是監(jiān)管部門監(jiān)督個(gè)人信息處理活動(dòng)和專業(yè)機(jī)構(gòu)開展合規(guī)審計(jì)工作的執(zhí)行指引。

因此，個(gè)人信息處理者應(yīng)在日后加強(qiáng)內(nèi)部個(gè)人信息保護(hù)合規(guī)工作，對(duì)企業(yè)組織內(nèi)部的個(gè)人信息處理活動(dòng)進(jìn)行定期識(shí)別和充分梳理，對(duì)合規(guī)審計(jì)活動(dòng)中發(fā)現(xiàn)的合規(guī)問題風(fēng)險(xiǎn)進(jìn)行及時(shí)整改，建立完善的個(gè)人信息保護(hù)體系，逐步提升個(gè)人信息合規(guī)保護(hù)能力。

對(duì)此，安恒信息特總結(jié)了基于本次《辦法》與《要點(diǎn)》發(fā)布后關(guān)于個(gè)人信息保護(hù)體系建設(shè)的幾點(diǎn)建議：

一、依法制定適用于個(gè)人信息處理者組織內(nèi)部的個(gè)人信息保護(hù)合規(guī)基線

在《個(gè)人信息保護(hù)法》《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例（征求意見稿）》等法律法規(guī)要求企業(yè)定期進(jìn)行個(gè)人信息保護(hù)合規(guī)審計(jì)之后，本次《辦法》及《要點(diǎn)》從審計(jì)方式、審計(jì)時(shí)限、審計(jì)內(nèi)容、審計(jì)頻次等多個(gè)方面建立了清晰的指導(dǎo)，建議個(gè)人信息處理者組織內(nèi)部可以逐一對(duì)照構(gòu)建個(gè)人信息合規(guī)審計(jì)制度。

此外，未來可能會(huì)出臺(tái)專門的個(gè)人信息保護(hù)合規(guī)審計(jì)國(guó)家標(biāo)準(zhǔn)，如國(guó)家標(biāo)準(zhǔn)正式出臺(tái)，也可以對(duì)照國(guó)標(biāo)將個(gè)人信息合規(guī)審計(jì)制度進(jìn)一步細(xì)化。

盡管《辦法》正式版本的發(fā)布尚需時(shí)日，建議個(gè)人信息處理者組織內(nèi)部應(yīng)盡早根據(jù)征求意見稿的要求，并結(jié)合自身業(yè)務(wù)與管理體系特點(diǎn)進(jìn)行優(yōu)先級(jí)建設(shè)判定，建立個(gè)人信息保護(hù)合規(guī)審計(jì)工作機(jī)制流程，并可以適當(dāng)?shù)乜梢葬槍?duì)涉及個(gè)人信息業(yè)務(wù)的移動(dòng)應(yīng)用/APP小程序開展相關(guān)合規(guī)檢查和快速整改。

二、針對(duì)個(gè)人信息處理者組織內(nèi)部個(gè)人信息處理活動(dòng)的場(chǎng)景定期開展影響評(píng)估工作

個(gè)人信息的保護(hù)建設(shè)往往不止停留于合規(guī)層面，隨著頻繁出現(xiàn)過度收集個(gè)人信息、對(duì)個(gè)人信息進(jìn)行二次開發(fā)利用以及個(gè)人信息交易等嚴(yán)重侵犯?jìng)€(gè)人隱私權(quán)益的現(xiàn)象時(shí)有發(fā)生，這些事件造成的不良影響將會(huì)進(jìn)一步影響到個(gè)人信息處理者組織形象，個(gè)人信息安全問題已經(jīng)成為焦點(diǎn)問題。

因此，針對(duì)個(gè)人信息處理者組織內(nèi)部大量個(gè)人信息處理活動(dòng)和某些特定風(fēng)險(xiǎn)場(chǎng)景，應(yīng)在合規(guī)審計(jì)前定期開展個(gè)人信息影響評(píng)估工作，提早發(fā)現(xiàn)個(gè)人信息處理者組織在個(gè)人信息保護(hù)過程中存在的隱患，為組織在個(gè)人信息合規(guī)審計(jì)活動(dòng)中的迎審工作提供有力支撐，維護(hù)個(gè)人信息處理者組織客戶的個(gè)人權(quán)益，牢牢守住不發(fā)生安全事件的底線，打破目前暫未開展常態(tài)化個(gè)人信息安全影響評(píng)估的局面，為個(gè)人信息處理者組織后續(xù)明確涉及個(gè)人信息保護(hù)的重要業(yè)務(wù)場(chǎng)景中找到合適的建設(shè)路徑作為鋪墊。

三、持續(xù)跟進(jìn)國(guó)家立法動(dòng)態(tài)，推進(jìn)落實(shí)個(gè)人信息保護(hù)工作長(zhǎng)效機(jī)制

本次《辦法》與《要點(diǎn)》的許多內(nèi)容均是對(duì)國(guó)家目前在個(gè)人信息保護(hù)領(lǐng)域法律法規(guī)的立法回應(yīng)?？偟膩碚f，目前國(guó)家在個(gè)人信息保護(hù)領(lǐng)域不僅明確了個(gè)人信息處理者的合規(guī)行為要點(diǎn)，在《個(gè)人信息保護(hù)法》中更設(shè)置了嚴(yán)厲的法律責(zé)任。

其中提到的遭遇暫停業(yè)務(wù)、吊銷許可與執(zhí)照、雙罰制、按照營(yíng)業(yè)額百分比罰款、負(fù)責(zé)人員資格罰等處罰，將可能成為個(gè)人信息處理者組織難以承受之重。

建議相關(guān)個(gè)人信息處理者組織后續(xù)需要密切跟蹤監(jiān)管執(zhí)法案例，可定期在組織內(nèi)部開展個(gè)人信息保護(hù)意識(shí)培訓(xùn)，根據(jù)個(gè)人信息合規(guī)審計(jì)自查和個(gè)人信息保護(hù)影響自評(píng)估的工作成果，依據(jù)風(fēng)險(xiǎn)事項(xiàng)的輕重緩急進(jìn)行合規(guī)整改，結(jié)合標(biāo)準(zhǔn)要求和行業(yè)實(shí)踐，實(shí)現(xiàn)個(gè)人信息保護(hù)機(jī)制在各類系統(tǒng)和業(yè)務(wù)流程中的落地實(shí)施，逐步形成具備可操作性的個(gè)人信息保護(hù)合規(guī)體系。

往期精彩回顧