首頁 > 關于我們 > 安恒動態(tài) > 2023 > 正文

解讀丨《個人信息保護合規(guī)審計管理辦法（征求意見稿）》發(fā)布

閱讀量：次 文章來源：安恒信息

安恒信息安全咨詢講武堂

講武堂，帶兵者研究武學之所。今設“安恒信息安全咨詢講武堂”，與圈內人士共同聚焦、分享安全咨詢領域的心得體會與實踐經驗。

本期聚焦“個人信息處理者組織內部建設個人信息保護體系”提出三大建議，歡迎大家文末留言探討。

近日，國家互聯(lián)網信息辦公室發(fā)布關于《個人信息保護合規(guī)審計管理辦法（征求意見稿）》（以下簡稱《辦法》）及配套的《個人信息保護合規(guī)審計參考要點》（以下簡稱《要點》）公開征求意見的通知。該《辦法》旨在為指導、規(guī)范個人信息保護合規(guī)審計活動，提高個人信息處理活動合規(guī)水平，保護個人信息權益。以下是對《辦法》與《要點》重點內容的解讀，以及基于本次發(fā)布的相關內容，安恒信息給出了個人信息處理者組織內部建設個人信息保護體系的幾點建議。

《辦法》重點內容解讀

《辦法》共計十六條，主要是針對《個人信息保護法》第54條和第64條所確定的個人信息保護合規(guī)審計機制的細化與補充，對合規(guī)審計的觸發(fā)條件、開展要點、實施要求等做了明確規(guī)定。

個人信息保護合規(guī)審計流程涉及到個人信息處理者、專業(yè)機構、履行個人信息保護職責的部門（以下簡稱“監(jiān)管部門“）三方，其中專業(yè)機構的選取可根據監(jiān)管部門按照國家網信部門同公安機關等國務院有關部門建立的推薦目錄中進行選擇。

個人信息處理者可根據自身實際情況和需求，自行或委托專業(yè)機構，按照個人信息合規(guī)審計流程開展個人信息合規(guī)審計工作，并根據審計結果及時進行整改。其中具體需要關注的要點如下：

一、《辦法》明確了個人信息保護合規(guī)審計的觸發(fā)條件及審計角色界定

1、自行定期開展審計：

可由個人信息處理者本組織內部機構或委托專業(yè)機構進行

● 處理超過100萬人個人信息的個人信息處理者：每年至少開展一次個人信息保護合規(guī)審計

● 其他個人信息處理者：每二年至少開展一次個人信息保護合規(guī)審計

2、應監(jiān)管要求審計：

當監(jiān)管部門發(fā)現以下情況，個人信息處理者應盡快選定專業(yè)機構進行個人信息保護合規(guī)審計

●?個人信息處理活動存在較大風險

●?發(fā)生個人信息安全事件

二、《辦法》列舉了開展個人信息保護合規(guī)審計活動中的實施要求

●?實施時限：90個工作日內完成，若情況復雜，可經過監(jiān)管部門批準后延長

●?報送要求：針對委托專業(yè)機構開展完成的個人信息保護合規(guī)審計活動，應及時將出具的報告進行簽字蓋章后，報送至監(jiān)管部門

●?及時整改：針對委托專業(yè)機構開展完成的個人信息保護合規(guī)審計活動，應及時按照整改建議進行及時整改后，報送至監(jiān)管部門

三、《辦法》規(guī)范了專業(yè)機構的執(zhí)行責任與義務，并約束了其執(zhí)行原則

●?執(zhí)行限制：連續(xù)為同一審計對象開展個人信息保護合規(guī)審計不得超過三次

●?執(zhí)行原則：誠信正直，公正客觀；不得轉包委托第三方；對獲得的信息承擔保密責任；不得惡意干擾個人信息處理者的正常經營活動；不得有出具虛假、失實報告等違規(guī)行

●?執(zhí)行權限：專業(yè)機構應能夠正常行使開展合規(guī)審計工作所必需的權限，如查閱文件資料、調研系統(tǒng)活動、檢查設備設施、調取個人信息、訪談相關人員等

《要點》重點內容解讀

《要點》共計三十一條，列舉了個人信息保護處理活動在組織管理、全生命周期保護方面等基礎性合規(guī)義務的審查事項，協(xié)助個人信息處理者的內部組織機構或委托的專業(yè)機構在進行個人信息保護合規(guī)審計時推進實施。

《要點》面向個人信息處理活動的主要審計框架內容如下：

如上圖不難看出，《要點》中相關參考條例與《個人信息保護法》《網絡數據安全管理條例（征求意見稿）》《GB/T 35273-2020 信息安全技術個人信息安全規(guī)范》中相關要求均有對比映射關系，從不同條款中都與現存的國家法律法規(guī)、標準要求進行了銜接，為個人信息保護合規(guī)審計國家層面的標準要求落點提供了細化補充與深度擴展。

對于個人信息處理者組織內部建設

個人信息保護體系的建議

本次發(fā)布的《辦法》與《要點》作為個人信息保護領域的實際落點，填補了《個人信息保護法》有關規(guī)范合規(guī)審計機制的下位規(guī)范空白，具有里程碑式的意義。

個人信息保護合規(guī)審計不僅僅是一項法定義務，也是個人信息處理者的自查自糾的重要手段，更是監(jiān)管部門監(jiān)督個人信息處理活動和專業(yè)機構開展合規(guī)審計工作的執(zhí)行指引。

因此，個人信息處理者應在日后加強內部個人信息保護合規(guī)工作，對企業(yè)組織內部的個人信息處理活動進行定期識別和充分梳理，對合規(guī)審計活動中發(fā)現的合規(guī)問題風險進行及時整改，建立完善的個人信息保護體系，逐步提升個人信息合規(guī)保護能力。

對此，安恒信息特總結了基于本次《辦法》與《要點》發(fā)布后關于個人信息保護體系建設的幾點建議：

一、依法制定適用于個人信息處理者組織內部的個人信息保護合規(guī)基線

在《個人信息保護法》《網絡數據安全管理條例（征求意見稿）》等法律法規(guī)要求企業(yè)定期進行個人信息保護合規(guī)審計之后，本次《辦法》及《要點》從審計方式、審計時限、審計內容、審計頻次等多個方面建立了清晰的指導，建議個人信息處理者組織內部可以逐一對照構建個人信息合規(guī)審計制度。

此外，未來可能會出臺專門的個人信息保護合規(guī)審計國家標準，如國家標準正式出臺，也可以對照國標將個人信息合規(guī)審計制度進一步細化。

盡管《辦法》正式版本的發(fā)布尚需時日，建議個人信息處理者組織內部應盡早根據征求意見稿的要求，并結合自身業(yè)務與管理體系特點進行優(yōu)先級建設判定，建立個人信息保護合規(guī)審計工作機制流程，并可以適當地可以針對涉及個人信息業(yè)務的移動應用/APP小程序開展相關合規(guī)檢查和快速整改。

二、針對個人信息處理者組織內部個人信息處理活動的場景定期開展影響評估工作

個人信息的保護建設往往不止停留于合規(guī)層面，隨著頻繁出現過度收集個人信息、對個人信息進行二次開發(fā)利用以及個人信息交易等嚴重侵犯個人隱私權益的現象時有發(fā)生，這些事件造成的不良影響將會進一步影響到個人信息處理者組織形象，個人信息安全問題已經成為焦點問題。

因此，針對個人信息處理者組織內部大量個人信息處理活動和某些特定風險場景，應在合規(guī)審計前定期開展個人信息影響評估工作，提早發(fā)現個人信息處理者組織在個人信息保護過程中存在的隱患，為組織在個人信息合規(guī)審計活動中的迎審工作提供有力支撐，維護個人信息處理者組織客戶的個人權益，牢牢守住不發(fā)生安全事件的底線，打破目前暫未開展常態(tài)化個人信息安全影響評估的局面，為個人信息處理者組織后續(xù)明確涉及個人信息保護的重要業(yè)務場景中找到合適的建設路徑作為鋪墊。

三、持續(xù)跟進國家立法動態(tài)，推進落實個人信息保護工作長效機制

本次《辦法》與《要點》的許多內容均是對國家目前在個人信息保護領域法律法規(guī)的立法回應?？偟膩碚f，目前國家在個人信息保護領域不僅明確了個人信息處理者的合規(guī)行為要點，在《個人信息保護法》中更設置了嚴厲的法律責任。

其中提到的遭遇暫停業(yè)務、吊銷許可與執(zhí)照、雙罰制、按照營業(yè)額百分比罰款、負責人員資格罰等處罰，將可能成為個人信息處理者組織難以承受之重。

建議相關個人信息處理者組織后續(xù)需要密切跟蹤監(jiān)管執(zhí)法案例，可定期在組織內部開展個人信息保護意識培訓，根據個人信息合規(guī)審計自查和個人信息保護影響自評估的工作成果，依據風險事項的輕重緩急進行合規(guī)整改，結合標準要求和行業(yè)實踐，實現個人信息保護機制在各類系統(tǒng)和業(yè)務流程中的落地實施，逐步形成具備可操作性的個人信息保護合規(guī)體系。

往期精彩回顧