数字经济的安全基石

首页 > 关于我们 > 安恒动态 > 2023 > 正文

解读丨《个人信息保护合规审计管理办法(征求意见稿)》发布

阅读量:文章来源:2024新奥门资料


2024新奥门资料安全咨询讲武堂


讲武堂,带兵者研究武学之所。今设“2024新奥门资料安全咨询讲武堂”,与圈内人士共同聚焦、分享安全咨询领域的心得体会与实践经验。

本期聚焦“个人信息处理者组织内部建设个人信息保护体系”提出三大建议,欢迎大家文末留言探讨。



近日,国家互联网信息办公室发布关于《个人信息保护合规审计管理办法(征求意见稿)》(以下简称《办法》)及配套的《个人信息保护合规审计参考要点》(以下简称《要点》)公开征求意见的通知。该《办法》旨在为指导、规范个人信息保护合规审计活动,提高个人信息处理活动合规水平,保护个人信息权益。以下是对《办法》与《要点》重点内容的解读,以及基于本次发布的相关内容,2024新奥门资料给出了个人信息处理者组织内部建设个人信息保护体系的几点建议。



《办法》重点内容解读


《办法》共计十六条,主要是针对《个人信息保护法》第54条和第64条所确定的个人信息保护合规审计机制的细化与补充,对合规审计的触发条件、开展要点、实施要求等做了明确规定。



个人信息保护合规审计流程涉及到个人信息处理者、专业机构、履行个人信息保护职责的部门(以下简称“监管部门“)三方,其中专业机构的选取可根据监管部门按照国家网信部门同公安机关等国务院有关部门建立的推荐目录中进行选择。

个人信息处理者可根据自身实际情况和需求,自行或委托专业机构,按照个人信息合规审计流程开展个人信息合规审计工作,并根据审计结果及时进行整改。其中具体需要关注的要点如下:

一、《办法》明确了个人信息保护合规审计的触发条件及审计角色界定


1、自行定期开展审计:

可由个人信息处理者本组织内部机构或委托专业机构进行

● 处理超过100万人个人信息的个人信息处理者:每年至少开展一次个人信息保护合规审计

● 其他个人信息处理者:每二年至少开展一次个人信息保护合规审计


2、应监管要求审计:

当监管部门发现以下情况,个人信息处理者应尽快选定专业机构进行个人信息保护合规审计

● 个人信息处理活动存在较大风险

● 发生个人信息安全事件


二、《办法》列举了开展个人信息保护合规审计活动中的实施要求


● 实施时限:90个工作日内完成,若情况复杂,可经过监管部门批准后延长

● 报送要求:针对委托专业机构开展完成的个人信息保护合规审计活动,应及时将出具的报告进行签字盖章后,报送至监管部门

● 及时整改:针对委托专业机构开展完成的个人信息保护合规审计活动,应及时按照整改建议进行及时整改后,报送至监管部门


三、《办法》规范了专业机构的执行责任与义务,并约束了其执行原则


● 执行限制:连续为同一审计对象开展个人信息保护合规审计不得超过三次

● 执行原则:诚信正直,公正客观;不得转包委托第三方;对获得的信息承担保密责任;不得恶意干扰个人信息处理者的正常经营活动;不得有出具虚假、失实报告等违规行

● 执行权限:专业机构应能够正常行使开展合规审计工作所必需的权限,如查阅文件资料、调研系统活动、检查设备设施、调取个人信息、访谈相关人员等



《要点》重点内容解读


《要点》共计三十一条,列举了个人信息保护处理活动在组织管理、全生命周期保护方面等基础性合规义务的审查事项,协助个人信息处理者的内部组织机构或委托的专业机构在进行个人信息保护合规审计时推进实施。

《要点》面向个人信息处理活动的主要审计框架内容如下:



如上图不难看出,《要点》中相关参考条例与《个人信息保护法》《网络数据安全管理条例(征求意见稿)》《GB/T 35273-2020 信息安全技术 个人信息安全规范》中相关要求均有对比映射关系,从不同条款中都与现存的国家法律法规、标准要求进行了衔接,为个人信息保护合规审计国家层面的标准要求落点提供了细化补充与深度扩展。



对于个人信息处理者组织内部建设

个人信息保护体系的建议


本次发布的《办法》与《要点》作为个人信息保护领域的实际落点,填补了《个人信息保护法》有关规范合规审计机制的下位规范空白,具有里程碑式的意义。

个人信息保护合规审计不仅仅是一项法定义务,也是个人信息处理者的自查自纠的重要手段,更是监管部门监督个人信息处理活动和专业机构开展合规审计工作的执行指引。

因此,个人信息处理者应在日后加强内部个人信息保护合规工作,对企业组织内部的个人信息处理活动进行定期识别和充分梳理,对合规审计活动中发现的合规问题风险进行及时整改,建立完善的个人信息保护体系,逐步提升个人信息合规保护能力。

对此,2024新奥门资料特总结了基于本次《办法》与《要点》发布后关于个人信息保护体系建设的几点建议:


一、依法制定适用于个人信息处理者组织内部的个人信息保护合规基线


在《个人信息保护法》《网络数据安全管理条例(征求意见稿)》等法律法规要求企业定期进行个人信息保护合规审计之后,本次《办法》及《要点》从审计方式、审计时限、审计内容、审计频次等多个方面建立了清晰的指导,建议个人信息处理者组织内部可以逐一对照构建个人信息合规审计制度。

此外,未来可能会出台专门的个人信息保护合规审计国家标准,如国家标准正式出台,也可以对照国标将个人信息合规审计制度进一步细化。

尽管《办法》正式版本的发布尚需时日,建议个人信息处理者组织内部应尽早根据征求意见稿的要求,并结合自身业务与管理体系特点进行优先级建设判定,建立个人信息保护合规审计工作机制流程,并可以适当地可以针对涉及个人信息业务的移动应用/APP小程序开展相关合规检查和快速整改。


二、针对个人信息处理者组织内部个人信息处理活动的场景定期开展影响评估工作


个人信息的保护建设往往不止停留于合规层面,随着频繁出现过度收集个人信息、对个人信息进行二次开发利用以及个人信息交易等严重侵犯个人隐私权益的现象时有发生,这些事件造成的不良影响将会进一步影响到个人信息处理者组织形象,个人信息安全问题已经成为焦点问题。

因此,针对个人信息处理者组织内部大量个人信息处理活动和某些特定风险场景,应在合规审计前定期开展个人信息影响评估工作,提早发现个人信息处理者组织在个人信息保护过程中存在的隐患,为组织在个人信息合规审计活动中的迎审工作提供有力支撑,维护个人信息处理者组织客户的个人权益,牢牢守住不发生安全事件的底线,打破目前暂未开展常态化个人信息安全影响评估的局面,为个人信息处理者组织后续明确涉及个人信息保护的重要业务场景中找到合适的建设路径作为铺垫。


三、持续跟进国家立法动态,推进落实个人信息保护工作长效机制


本次《办法》与《要点》的许多内容均是对国家目前在个人信息保护领域法律法规的立法回应。总的来说,目前国家在个人信息保护领域不仅明确了个人信息处理者的合规行为要点,在《个人信息保护法》中更设置了严厉的法律责任。

其中提到的遭遇暂停业务、吊销许可与执照、双罚制、按照营业额百分比罚款、负责人员资格罚等处罚,将可能成为个人信息处理者组织难以承受之重。

建议相关个人信息处理者组织后续需要密切跟踪监管执法案例,可定期在组织内部开展个人信息保护意识培训,根据个人信息合规审计自查和个人信息保护影响自评估的工作成果,依据风险事项的轻重缓急进行合规整改,结合标准要求和行业实践,实现个人信息保护机制在各类系统和业务流程中的落地实施,逐步形成具备可操作性的个人信息保护合规体系。




往期精彩回顾




高校数据泄露事件频发!教育行业数据安全建设究竟怎么做?

2023-08-18

七年磨一剑,这才是云安全资源池3.0时代该有的样子

2023-08-17

一图解读2024新奥门资料2023半年财报

2023-08-16


关闭

客服在线咨询入口,期待与您交流

线上咨询
联系我们

咨询电话:400-6059-110

产品试用

即刻预约免费试用,我们将在24小时内联系您

微信咨询
2024新奥门资料联系方式