Law-lib.com 2025-2-15 11:18:02 中國網(wǎng)信網(wǎng)
近日,國家互聯(lián)網(wǎng)信息辦公室公布《個(gè)人信息保護(hù)合規(guī)審計(jì)管理辦法》(以下簡(jiǎn)稱《辦法》)����。國家互聯(lián)網(wǎng)信息辦公室有關(guān)負(fù)責(zé)人就《辦法》相關(guān)問題回答了記者提問。
問1:請(qǐng)介紹一下《辦法》的出臺(tái)背景����?
答:當(dāng)前,個(gè)人信息被企業(yè)��、機(jī)構(gòu)甚至個(gè)人廣泛收集使用��,個(gè)人信息保護(hù)和個(gè)人信息利用的矛盾日益突出�����。為壓實(shí)個(gè)人信息處理者個(gè)人信息保護(hù)主體責(zé)任�����,加強(qiáng)個(gè)人信息處理活動(dòng)風(fēng)險(xiǎn)控制和監(jiān)督,《中華人民共和國個(gè)人信息保護(hù)法》《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》對(duì)個(gè)人信息處理者開展合規(guī)審計(jì)作了規(guī)定����。為有效落實(shí)法律法規(guī)要求,國家互聯(lián)網(wǎng)信息辦公室制定出臺(tái)《辦法》��,對(duì)個(gè)人信息保護(hù)合規(guī)審計(jì)活動(dòng)的開展����、合規(guī)審計(jì)機(jī)構(gòu)的選擇、合規(guī)審計(jì)的頻次��、個(gè)人信息處理者和專業(yè)機(jī)構(gòu)在合規(guī)審計(jì)中的義務(wù)等作出細(xì)化規(guī)定��,旨在為個(gè)人信息處理者開展個(gè)人信息保護(hù)合規(guī)審計(jì)提供系統(tǒng)性�����、針對(duì)性�、可操作性的規(guī)范,提升個(gè)人信息處理活動(dòng)合法合規(guī)水平�,保護(hù)個(gè)人信息權(quán)益。
問2:我國法律法規(guī)中對(duì)個(gè)人信息保護(hù)合規(guī)審計(jì)作了哪些規(guī)定�?
答:《中華人民共和國個(gè)人信息保護(hù)法》第五十四條規(guī)定,個(gè)人信息處理者應(yīng)當(dāng)定期對(duì)其處理個(gè)人信息遵守法律、行政法規(guī)的情況進(jìn)行合規(guī)審計(jì)���。第六十四條規(guī)定�,履行個(gè)人信息保護(hù)職責(zé)的部門在履行職責(zé)中�����,發(fā)現(xiàn)個(gè)人信息處理活動(dòng)存在較大風(fēng)險(xiǎn)或者發(fā)生個(gè)人信息安全事件的���,可以按照規(guī)定的權(quán)限和程序?qū)υ搨(gè)人信息處理者的法定代表人或者主要負(fù)責(zé)人進(jìn)行約談,或者要求個(gè)人信息處理者委托專業(yè)機(jī)構(gòu)對(duì)其個(gè)人信息處理活動(dòng)進(jìn)行合規(guī)審計(jì)�。《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》第二十七條規(guī)定���,網(wǎng)絡(luò)數(shù)據(jù)處理者應(yīng)當(dāng)定期自行或者委托專業(yè)機(jī)構(gòu)對(duì)其處理個(gè)人信息遵守法律���、行政法規(guī)的情況進(jìn)行合規(guī)審計(jì)。以上法律法規(guī)明確了個(gè)人信息保護(hù)合規(guī)審計(jì)的兩種情形:一是個(gè)人信息處理者自行開展合規(guī)審計(jì)��。二是按照履行個(gè)人信息保護(hù)職責(zé)的部門要求�����,委托專業(yè)機(jī)構(gòu)開展合規(guī)審計(jì)。
問3:《辦法》的主要內(nèi)容是什么���?
答:《辦法》主要對(duì)下列內(nèi)容進(jìn)行了規(guī)定:一是明確個(gè)人信息處理者自行開展合規(guī)審計(jì)和按照履行個(gè)人信息保護(hù)職責(zé)的部門要求委托專業(yè)機(jī)構(gòu)開展合規(guī)審計(jì)的條件��,合規(guī)審計(jì)機(jī)構(gòu)的選擇和合規(guī)審計(jì)的頻次�����。二是明確開展合規(guī)審計(jì)的個(gè)人信息處理者應(yīng)當(dāng)履行的義務(wù)���,規(guī)定個(gè)人信息處理者按照履行個(gè)人信息保護(hù)職責(zé)的部門要求開展合規(guī)審計(jì)的,應(yīng)當(dāng)為專業(yè)機(jī)構(gòu)正常開展合規(guī)審計(jì)工作提供必要支持并承擔(dān)審計(jì)費(fèi)用����,在限定時(shí)間內(nèi)完成合規(guī)審計(jì),報(bào)送合規(guī)審計(jì)報(bào)告并進(jìn)行整改�����。三是明確專業(yè)機(jī)構(gòu)在合規(guī)審計(jì)中的義務(wù)�����,規(guī)定專業(yè)機(jī)構(gòu)應(yīng)當(dāng)具備開展合規(guī)審計(jì)的能力��,遵守法律法規(guī),明確同一專業(yè)機(jī)構(gòu)及其關(guān)聯(lián)機(jī)構(gòu)�、同一合規(guī)審計(jì)負(fù)責(zé)人不得連續(xù)三次以上對(duì)同一審計(jì)對(duì)象開展個(gè)人信息保護(hù)合規(guī)審計(jì)。四是明確履行個(gè)人信息保護(hù)職責(zé)的部門對(duì)個(gè)人信息處理者開展合規(guī)審計(jì)情況進(jìn)行監(jiān)督檢查��,任何組織��、個(gè)人有權(quán)對(duì)合規(guī)審計(jì)中的違法活動(dòng)向履行個(gè)人信息保護(hù)職責(zé)的部門進(jìn)行投訴�、舉報(bào),并規(guī)定個(gè)人信息處理者����、專業(yè)機(jī)構(gòu)違反《辦法》規(guī)定的法律責(zé)任。
問4:個(gè)人信息處理者在什么情況下需要開展個(gè)人信息保護(hù)合規(guī)審計(jì)?
答:個(gè)人信息處理者開展個(gè)人信息保護(hù)合規(guī)審計(jì)分兩種情形:一是自行開展合規(guī)審計(jì)���,即個(gè)人信息處理者應(yīng)當(dāng)定期對(duì)其處理個(gè)人信息遵守法律、行政法規(guī)的情況進(jìn)行合規(guī)審計(jì)。處理超過1000萬人個(gè)人信息的個(gè)人信息處理者���,應(yīng)當(dāng)每?jī)赡曛辽匍_展一次個(gè)人信息保護(hù)合規(guī)審計(jì)。其他個(gè)人信息處理者根據(jù)自身情況合理確定定期開展個(gè)人信息保護(hù)合規(guī)審計(jì)的頻次�����。二是按照要求開展合規(guī)審計(jì)��,即履行個(gè)人信息保護(hù)職責(zé)的部門在履行職責(zé)中,發(fā)現(xiàn)個(gè)人信息處理活動(dòng)存在較大風(fēng)險(xiǎn)�����、可能侵害眾多個(gè)人的權(quán)益或者發(fā)生個(gè)人信息安全事件的�,可以要求個(gè)人信息處理者委托專業(yè)機(jī)構(gòu)對(duì)其個(gè)人信息處理活動(dòng)進(jìn)行合規(guī)審計(jì)。
問5:個(gè)人信息處理者如何選擇合規(guī)審計(jì)機(jī)構(gòu)�?
答:個(gè)人信息處理者自行開展合規(guī)審計(jì)時(shí),可以選擇由內(nèi)部機(jī)構(gòu)自行開展�����,也可以委托專業(yè)機(jī)構(gòu)開展����������!掇k法》對(duì)采取何種審計(jì)方式�����、是否選擇專業(yè)機(jī)構(gòu)���,以及選擇哪家專業(yè)機(jī)構(gòu)沒有強(qiáng)制性要求���。個(gè)人信息處理活動(dòng)存在較大風(fēng)險(xiǎn)��、可能侵害眾多個(gè)人的權(quán)益或者發(fā)生個(gè)人信息安全事件時(shí)��,履行個(gè)人信息保護(hù)職責(zé)的部門可以要求個(gè)人信息處理者委托專業(yè)機(jī)構(gòu)開展個(gè)人信息保護(hù)合規(guī)審計(jì)��。
問6:《辦法》對(duì)專業(yè)機(jī)構(gòu)提出了哪些要求�����?
答:專業(yè)機(jī)構(gòu)接受個(gè)人信息處理者委托開展合規(guī)審計(jì)�����,應(yīng)當(dāng)公正客觀地作出合規(guī)審計(jì)結(jié)論,提出合規(guī)審計(jì)建議����,其出具的合規(guī)審計(jì)報(bào)告是履行個(gè)人信息保護(hù)職責(zé)的部門開展監(jiān)督管理工作的重要參考���!掇k法》對(duì)專業(yè)機(jī)構(gòu)提出以下要求:一是應(yīng)當(dāng)具備開展個(gè)人信息保護(hù)合規(guī)審計(jì)的能力�����,有與服務(wù)相適應(yīng)的審計(jì)人員����、場(chǎng)所、設(shè)施和資金等�����。二是應(yīng)當(dāng)遵守法律法規(guī)����,誠信正直,公正客觀地作出合規(guī)審計(jì)職業(yè)判斷����,對(duì)在履行個(gè)人信息保護(hù)合規(guī)審計(jì)職責(zé)中獲得的個(gè)人信息、商業(yè)秘密���、保密商務(wù)信息等依法予以保密��,不得泄露或者非法向他人提供����,在合規(guī)審計(jì)工作結(jié)束后及時(shí)刪除相關(guān)信息。三是不得轉(zhuǎn)委托其他機(jī)構(gòu)開展個(gè)人信息保護(hù)合規(guī)審計(jì)���。四是同一專業(yè)機(jī)構(gòu)及其關(guān)聯(lián)機(jī)構(gòu)���、同一合規(guī)審計(jì)負(fù)責(zé)人不得連續(xù)三次以上對(duì)同一審計(jì)對(duì)象開展個(gè)人信息保護(hù)合規(guī)審計(jì)。
問7:《辦法》如何對(duì)專業(yè)機(jī)構(gòu)進(jìn)行管理����?
答:《辦法》遵循自愿性、市場(chǎng)化的原則�����,通過認(rèn)證認(rèn)可方式對(duì)專業(yè)機(jī)構(gòu)進(jìn)行監(jiān)督管理���。專業(yè)機(jī)構(gòu)的認(rèn)證按照《中華人民共和國認(rèn)證認(rèn)可條例》的有關(guān)規(guī)定執(zhí)行�。具備開展個(gè)人信息保護(hù)合規(guī)審計(jì)能力�����,有與服務(wù)相適應(yīng)的審計(jì)人員��、場(chǎng)所�、設(shè)施和資金的專業(yè)機(jī)構(gòu),可以自愿申請(qǐng)相關(guān)服務(wù)能力認(rèn)證����。
問8:個(gè)人信息處理者按照履行個(gè)人信息保護(hù)職責(zé)的部門要求開展個(gè)人信息保護(hù)合規(guī)審計(jì)時(shí),應(yīng)當(dāng)履行哪些義務(wù)�����?
答:《辦法》對(duì)個(gè)人信息處理者按照履行個(gè)人信息保護(hù)職責(zé)的部門要求開展個(gè)人信息保護(hù)合規(guī)審計(jì)提出以下要求:一是保障合規(guī)審計(jì)正常進(jìn)行���,為專業(yè)機(jī)構(gòu)正常開展個(gè)人信息保護(hù)合規(guī)審計(jì)工作提供必要支持��,并承擔(dān)審計(jì)費(fèi)用��。二是按照履行個(gè)人信息保護(hù)職責(zé)的部門要求選定專業(yè)機(jī)構(gòu)�����,在限定時(shí)間內(nèi)完成個(gè)人信息保護(hù)合規(guī)審計(jì)����,情況復(fù)雜的����,報(bào)履行個(gè)人信息保護(hù)職責(zé)的部門批準(zhǔn)后����,可以適當(dāng)延長(zhǎng)����。三是報(bào)送合規(guī)審計(jì)報(bào)告并進(jìn)行整改,個(gè)人信息處理者在完成合規(guī)審計(jì)后��,應(yīng)當(dāng)將專業(yè)機(jī)構(gòu)出具的個(gè)人信息保護(hù)合規(guī)審計(jì)報(bào)告報(bào)送履行個(gè)人信息保護(hù)職責(zé)的部門����,按照履行個(gè)人信息保護(hù)職責(zé)的部門要求對(duì)合規(guī)審計(jì)中發(fā)現(xiàn)的問題進(jìn)行整改,在整改完成后15個(gè)工作日內(nèi)����,向履行個(gè)人信息保護(hù)職責(zé)的部門報(bào)送整改情況報(bào)告。
問9:個(gè)人信息處理者開展個(gè)人信息保護(hù)合規(guī)審計(jì)如何適用《個(gè)人信息保護(hù)合規(guī)審計(jì)指引》��?
答:《個(gè)人信息保護(hù)合規(guī)審計(jì)指引》對(duì)個(gè)人信息保護(hù)相關(guān)法律�����、行政法規(guī)的關(guān)鍵要點(diǎn)作了梳理����,從合規(guī)審計(jì)的角度進(jìn)行了細(xì)化,便于個(gè)人信息處理者對(duì)個(gè)人信息處理活動(dòng)是否遵守法律���、行政法規(guī)要求進(jìn)行審查和評(píng)價(jià)�。個(gè)人信息處理者自行開展或者按照履行個(gè)人信息保護(hù)職責(zé)的部門要求委托專業(yè)機(jī)構(gòu)開展個(gè)人信息保護(hù)合規(guī)審計(jì)�����,應(yīng)當(dāng)參照《個(gè)人信息保護(hù)合規(guī)審計(jì)指引》�����。
日期:2025-2-15 11:18:02 | 關(guān)閉 |
