強(qiáng)觀察丨這份征求意見稿加強(qiáng)合規(guī)審計,讓個人信息更安全
為指導(dǎo)、規(guī)范個人信息保護(hù)合規(guī)審計活動,國家互聯(lián)網(wǎng)信息辦公室起草了《個人信息保護(hù)合規(guī)審計管理辦法(征求意見稿)》(下文簡稱“征求意見稿”),近日向社會公開征求意見。
個人信息保護(hù)合規(guī)審計,是指對個人信息處理者的個人信息處理活動是否遵守法律、行政法規(guī)的情況進(jìn)行審查和評價的監(jiān)督活動。
“征求意見稿中的內(nèi)容是對個人信息保護(hù)法合規(guī)審計相關(guān)內(nèi)容的一個補(bǔ)充和延伸?!敝袊ù髮W(xué)傳播法研究中心副主任朱巍說。
關(guān)于合規(guī)審計,個人信息保護(hù)法第54條規(guī)定,個人信息處理者應(yīng)當(dāng)定期對其處理個人信息遵守法律、行政法規(guī)的情況進(jìn)行合規(guī)審計;第64條規(guī)定,履行個人信息保護(hù)職責(zé)的部門在履行職責(zé)中,發(fā)現(xiàn)個人信息處理活動存在較大風(fēng)險或者發(fā)生個人信息安全事件的,可以按照規(guī)定的權(quán)限和程序?qū)υ搨€人信息處理者的法定代表人或者主要負(fù)責(zé)人進(jìn)行約談,或者要求個人信息處理者委托專業(yè)機(jī)構(gòu)對其個人信息處理活動進(jìn)行合規(guī)審計。
“征求意見稿使得合規(guī)審計的執(zhí)行更具有實操性,也提出了更為嚴(yán)格和詳細(xì)的要求?!蔽髂险ù髮W(xué)民商法學(xué)院副教授杜江涌表示,征求意見稿從審計分類、主體范圍和審計頻率、審計機(jī)構(gòu)、審計時限等方面規(guī)定了個人信息保護(hù)合規(guī)審計的具體管理辦法,以個人信息保護(hù)為核心,例如以知情同意、權(quán)益保障、處理目的等為要點進(jìn)行合規(guī)審計。其中有兩個亮點值得關(guān)注,首先征求意見稿提出“處理超過100萬人個人信息的個人信息處理者,應(yīng)當(dāng)每年至少開展一次個人信息保護(hù)合規(guī)審計”,另外其首次明確了對外部獨立監(jiān)管機(jī)構(gòu)的要求。
征求意見稿為何將個人信息處理者以100萬為標(biāo)準(zhǔn)進(jìn)行分類?
朱巍告訴人民網(wǎng)“強(qiáng)觀察”欄目,目前企業(yè)采集個人信息的數(shù)量比較龐大,相較之,100萬并不是一個大數(shù)字,把這一標(biāo)準(zhǔn)具象化來形容,包括中小型企業(yè)在內(nèi)的多數(shù)互聯(lián)網(wǎng)企業(yè),都需要接受一年至少一次的個人信息保護(hù)法合規(guī)審計。
杜江涌同樣表示,我國人口龐大,同時移動互聯(lián)網(wǎng)對居民生活的深度介入,實際上大量企業(yè)或機(jī)構(gòu)所處理的個人信息都會“輕松”超過100萬人,大量互聯(lián)網(wǎng)平臺公司都將進(jìn)行年度個人信息保護(hù)合規(guī)審計。因此,100萬人次門檻的設(shè)置標(biāo)準(zhǔn)其實并不高,主要目的是更好地保護(hù)民眾的個人信息權(quán)益。
在很多情況下,合規(guī)審計工作需要企業(yè)委托專業(yè)機(jī)構(gòu)開展,對于專業(yè)機(jī)構(gòu)的妥善管理有助于保持合規(guī)審計的有效性。為此,征求意見稿對外部專業(yè)審計機(jī)構(gòu)同樣作出相關(guān)規(guī)定。
例如,征求意見稿規(guī)定,執(zhí)行個人信息保護(hù)合規(guī)審計的專業(yè)機(jī)構(gòu)應(yīng)當(dāng)保持獨立性和客觀性,連續(xù)為同一審計對象開展個人信息保護(hù)合規(guī)審計不得超過三次。并且專業(yè)機(jī)構(gòu)不得轉(zhuǎn)包委托第三方開展個人信息保護(hù)合規(guī)審計。
此外,征求意見稿提出建立個人信息保護(hù)合規(guī)審計專業(yè)機(jī)構(gòu)推薦目錄,每年組織開展個人信息保護(hù)合規(guī)審計專業(yè)機(jī)構(gòu)評估評價,并根據(jù)評估評價情況動態(tài)調(diào)整個人信息保護(hù)合規(guī)審計專業(yè)機(jī)構(gòu)推薦目錄。
“征求意見稿中所規(guī)定的審計活動要求幾乎涵蓋了大型互聯(lián)網(wǎng)企業(yè)全部業(yè)務(wù)活動的各個方面,比如針對個人信息處理全流程、內(nèi)部管理制度和操作規(guī)程的審計等。然而,要落實這些規(guī)定,還需要理清一些問題。”杜江涌舉例,征求意見稿所附的個人信息保護(hù)合規(guī)審計參考要點還存在許多可以細(xì)化的部分,主要集中在審計依據(jù)、審計目標(biāo)、審計范圍等方面。其次,各類根據(jù)個人信息保護(hù)法所作出的規(guī)定,尚不能滿足合規(guī)審計所需的法律依據(jù)。為了保障審計結(jié)果具有實際意義和參照價值,應(yīng)進(jìn)一步完善相關(guān)法律依據(jù)。
分享讓更多人看到