據(jù)網(wǎng)信辦網(wǎng)站消息,近日�,國(guó)家互聯(lián)網(wǎng)信息辦公室公布《個(gè)人信息保護(hù)合規(guī)審計(jì)管理辦法》(以下簡(jiǎn)稱《辦法》)。國(guó)家互聯(lián)網(wǎng)信息辦公室有關(guān)負(fù)責(zé)人就《辦法》相關(guān)問(wèn)題回答了記者提問(wèn)���。
問(wèn)1:請(qǐng)介紹一下《辦法》的出臺(tái)背景���。
答:當(dāng)前,個(gè)人信息被企業(yè)、機(jī)構(gòu)甚至個(gè)人廣泛收集使用��,個(gè)人信息保護(hù)和個(gè)人信息利用的矛盾日益突出���。為壓實(shí)個(gè)人信息處理者個(gè)人信息保護(hù)主體責(zé)任���,加強(qiáng)個(gè)人信息處理活動(dòng)風(fēng)險(xiǎn)控制和監(jiān)督,《中華人民共和國(guó)個(gè)人信息保護(hù)法》《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》對(duì)個(gè)人信息處理者開(kāi)展合規(guī)審計(jì)作了規(guī)定�。為有效落實(shí)法律法規(guī)要求,國(guó)家互聯(lián)網(wǎng)信息辦公室制定出臺(tái)《辦法》�����,對(duì)個(gè)人信息保護(hù)合規(guī)審計(jì)活動(dòng)的開(kāi)展�����、合規(guī)審計(jì)機(jī)構(gòu)的選擇����、合規(guī)審計(jì)的頻次、個(gè)人信息處理者和專業(yè)機(jī)構(gòu)在合規(guī)審計(jì)中的義務(wù)等作出細(xì)化規(guī)定�����,旨在為個(gè)人信息處理者開(kāi)展個(gè)人信息保護(hù)合規(guī)審計(jì)提供系統(tǒng)性、針對(duì)性����、可操作性的規(guī)范,提升個(gè)人信息處理活動(dòng)合法合規(guī)水平����,保護(hù)個(gè)人信息權(quán)益。
問(wèn)2:我國(guó)法律法規(guī)中對(duì)個(gè)人信息保護(hù)合規(guī)審計(jì)作了哪些規(guī)定����?
答:《中華人民共和國(guó)個(gè)人信息保護(hù)法》第五十四條規(guī)定�,個(gè)人信息處理者應(yīng)當(dāng)定期對(duì)其處理個(gè)人信息遵守法律、行政法規(guī)的情況進(jìn)行合規(guī)審計(jì)����。第六十四條規(guī)定,履行個(gè)人信息保護(hù)職責(zé)的部門在履行職責(zé)中�,發(fā)現(xiàn)個(gè)人信息處理活動(dòng)存在較大風(fēng)險(xiǎn)或者發(fā)生個(gè)人信息安全事件的,可以按照規(guī)定的權(quán)限和程序?qū)υ搨(gè)人信息處理者的法定代表人或者主要負(fù)責(zé)人進(jìn)行約談���,或者要求個(gè)人信息處理者委托專業(yè)機(jī)構(gòu)對(duì)其個(gè)人信息處理活動(dòng)進(jìn)行合規(guī)審計(jì)������!毒W(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》第二十七條規(guī)定,網(wǎng)絡(luò)數(shù)據(jù)處理者應(yīng)當(dāng)定期自行或者委托專業(yè)機(jī)構(gòu)對(duì)其處理個(gè)人信息遵守法律��、行政法規(guī)的情況進(jìn)行合規(guī)審計(jì)�。以上法律法規(guī)明確了個(gè)人信息保護(hù)合規(guī)審計(jì)的兩種情形:一是個(gè)人信息處理者自行開(kāi)展合規(guī)審計(jì)。二是按照履行個(gè)人信息保護(hù)職責(zé)的部門要求�,委托專業(yè)機(jī)構(gòu)開(kāi)展合規(guī)審計(jì)。
問(wèn)3:《辦法》的主要內(nèi)容是什么���?
答:《辦法》主要對(duì)下列內(nèi)容進(jìn)行了規(guī)定:一是明確個(gè)人信息處理者自行開(kāi)展合規(guī)審計(jì)和按照履行個(gè)人信息保護(hù)職責(zé)的部門要求委托專業(yè)機(jī)構(gòu)開(kāi)展合規(guī)審計(jì)的條件���,合規(guī)審計(jì)機(jī)構(gòu)的選擇和合規(guī)審計(jì)的頻次。二是明確開(kāi)展合規(guī)審計(jì)的個(gè)人信息處理者應(yīng)當(dāng)履行的義務(wù)��,規(guī)定個(gè)人信息處理者按照履行個(gè)人信息保護(hù)職責(zé)的部門要求開(kāi)展合規(guī)審計(jì)的����,應(yīng)當(dāng)為專業(yè)機(jī)構(gòu)正常開(kāi)展合規(guī)審計(jì)工作提供必要支持并承擔(dān)審計(jì)費(fèi)用,在限定時(shí)間內(nèi)完成合規(guī)審計(jì)�����,報(bào)送合規(guī)審計(jì)報(bào)告并進(jìn)行整改��。三是明確專業(yè)機(jī)構(gòu)在合規(guī)審計(jì)中的義務(wù),規(guī)定專業(yè)機(jī)構(gòu)應(yīng)當(dāng)具備開(kāi)展合規(guī)審計(jì)的能力�,遵守法律法規(guī),明確同一專業(yè)機(jī)構(gòu)及其關(guān)聯(lián)機(jī)構(gòu)���、同一合規(guī)審計(jì)負(fù)責(zé)人不得連續(xù)三次以上對(duì)同一審計(jì)對(duì)象開(kāi)展個(gè)人信息保護(hù)合規(guī)審計(jì)�。四是明確履行個(gè)人信息保護(hù)職責(zé)的部門對(duì)個(gè)人信息處理者開(kāi)展合規(guī)審計(jì)情況進(jìn)行監(jiān)督檢查���,任何組織�、個(gè)人有權(quán)對(duì)合規(guī)審計(jì)中的違法活動(dòng)向履行個(gè)人信息保護(hù)職責(zé)的部門進(jìn)行投訴�、舉報(bào),并規(guī)定個(gè)人信息處理者��、專業(yè)機(jī)構(gòu)違反《辦法》規(guī)定的法律責(zé)任����。
問(wèn)4:個(gè)人信息處理者在什么情況下需要開(kāi)展個(gè)人信息保護(hù)合規(guī)審計(jì)����?
答:個(gè)人信息處理者開(kāi)展個(gè)人信息保護(hù)合規(guī)審計(jì)分兩種情形:一是自行開(kāi)展合規(guī)審計(jì),即個(gè)人信息處理者應(yīng)當(dāng)定期對(duì)其處理個(gè)人信息遵守法律��、行政法規(guī)的情況進(jìn)行合規(guī)審計(jì)��。處理超過(guò)1000萬(wàn)人個(gè)人信息的個(gè)人信息處理者,應(yīng)當(dāng)每?jī)赡曛辽匍_(kāi)展一次個(gè)人信息保護(hù)合規(guī)審計(jì)��。其他個(gè)人信息處理者根據(jù)自身情況合理確定定期開(kāi)展個(gè)人信息保護(hù)合規(guī)審計(jì)的頻次����。二是按照要求開(kāi)展合規(guī)審計(jì),即履行個(gè)人信息保護(hù)職責(zé)的部門在履行職責(zé)中���,發(fā)現(xiàn)個(gè)人信息處理活動(dòng)存在較大風(fēng)險(xiǎn)���、可能侵害眾多個(gè)人的權(quán)益或者發(fā)生個(gè)人信息安全事件的,可以要求個(gè)人信息處理者委托專業(yè)機(jī)構(gòu)對(duì)其個(gè)人信息處理活動(dòng)進(jìn)行合規(guī)審計(jì)����。
問(wèn)5:個(gè)人信息處理者如何選擇合規(guī)審計(jì)機(jī)構(gòu)?
答:個(gè)人信息處理者自行開(kāi)展合規(guī)審計(jì)時(shí)�,可以選擇由內(nèi)部機(jī)構(gòu)自行開(kāi)展,也可以委托專業(yè)機(jī)構(gòu)開(kāi)展�������!掇k法》對(duì)采取何種審計(jì)方式��、是否選擇專業(yè)機(jī)構(gòu),以及選擇哪家專業(yè)機(jī)構(gòu)沒(méi)有強(qiáng)制性要求�。個(gè)人信息處理活動(dòng)存在較大風(fēng)險(xiǎn)、可能侵害眾多個(gè)人的權(quán)益或者發(fā)生個(gè)人信息安全事件時(shí)�����,履行個(gè)人信息保護(hù)職責(zé)的部門可以要求個(gè)人信息處理者委托專業(yè)機(jī)構(gòu)開(kāi)展個(gè)人信息保護(hù)合規(guī)審計(jì)��。
問(wèn)6:《辦法》對(duì)專業(yè)機(jī)構(gòu)提出了哪些要求����?
答:專業(yè)機(jī)構(gòu)接受個(gè)人信息處理者委托開(kāi)展合規(guī)審計(jì),應(yīng)當(dāng)公正客觀地作出合規(guī)審計(jì)結(jié)論�����,提出合規(guī)審計(jì)建議�,其出具的合規(guī)審計(jì)報(bào)告是履行個(gè)人信息保護(hù)職責(zé)的部門開(kāi)展監(jiān)督管理工作的重要參考������!掇k法》對(duì)專業(yè)機(jī)構(gòu)提出以下要求:一是應(yīng)當(dāng)具備開(kāi)展個(gè)人信息保護(hù)合規(guī)審計(jì)的能力,有與服務(wù)相適應(yīng)的審計(jì)人員�、場(chǎng)所��、設(shè)施和資金等�����。二是應(yīng)當(dāng)遵守法律法規(guī)�,誠(chéng)信正直���,公正客觀地作出合規(guī)審計(jì)職業(yè)判斷����,對(duì)在履行個(gè)人信息保護(hù)合規(guī)審計(jì)職責(zé)中獲得的個(gè)人信息�����、商業(yè)秘密�����、保密商務(wù)信息等依法予以保密�,不得泄露或者非法向他人提供,在合規(guī)審計(jì)工作結(jié)束后及時(shí)刪除相關(guān)信息��。三是不得轉(zhuǎn)委托其他機(jī)構(gòu)開(kāi)展個(gè)人信息保護(hù)合規(guī)審計(jì)。四是同一專業(yè)機(jī)構(gòu)及其關(guān)聯(lián)機(jī)構(gòu)����、同一合規(guī)審計(jì)負(fù)責(zé)人不得連續(xù)三次以上對(duì)同一審計(jì)對(duì)象開(kāi)展個(gè)人信息保護(hù)合規(guī)審計(jì)。
問(wèn)7:《辦法》如何對(duì)專業(yè)機(jī)構(gòu)進(jìn)行管理�����?
答:《辦法》遵循自愿性�����、市場(chǎng)化的原則���,通過(guò)認(rèn)證認(rèn)可方式對(duì)專業(yè)機(jī)構(gòu)進(jìn)行監(jiān)督管理�����。專業(yè)機(jī)構(gòu)的認(rèn)證按照《中華人民共和國(guó)認(rèn)證認(rèn)可條例》的有關(guān)規(guī)定執(zhí)行����。具備開(kāi)展個(gè)人信息保護(hù)合規(guī)審計(jì)能力���,有與服務(wù)相適應(yīng)的審計(jì)人員、場(chǎng)所、設(shè)施和資金的專業(yè)機(jī)構(gòu)��,可以自愿申請(qǐng)相關(guān)服務(wù)能力認(rèn)證����。
問(wèn)8:個(gè)人信息處理者按照履行個(gè)人信息保護(hù)職責(zé)的部門要求開(kāi)展個(gè)人信息保護(hù)合規(guī)審計(jì)時(shí),應(yīng)當(dāng)履行哪些義務(wù)���?
答:《辦法》對(duì)個(gè)人信息處理者按照履行個(gè)人信息保護(hù)職責(zé)的部門要求開(kāi)展個(gè)人信息保護(hù)合規(guī)審計(jì)提出以下要求:一是保障合規(guī)審計(jì)正常進(jìn)行���,為專業(yè)機(jī)構(gòu)正常開(kāi)展個(gè)人信息保護(hù)合規(guī)審計(jì)工作提供必要支持,并承擔(dān)審計(jì)費(fèi)用����。二是按照履行個(gè)人信息保護(hù)職責(zé)的部門要求選定專業(yè)機(jī)構(gòu),在限定時(shí)間內(nèi)完成個(gè)人信息保護(hù)合規(guī)審計(jì)��,情況復(fù)雜的��,報(bào)履行個(gè)人信息保護(hù)職責(zé)的部門批準(zhǔn)后�,可以適當(dāng)延長(zhǎng)。三是報(bào)送合規(guī)審計(jì)報(bào)告并進(jìn)行整改���,個(gè)人信息處理者在完成合規(guī)審計(jì)后�,應(yīng)當(dāng)將專業(yè)機(jī)構(gòu)出具的個(gè)人信息保護(hù)合規(guī)審計(jì)報(bào)告報(bào)送履行個(gè)人信息保護(hù)職責(zé)的部門,按照履行個(gè)人信息保護(hù)職責(zé)的部門要求對(duì)合規(guī)審計(jì)中發(fā)現(xiàn)的問(wèn)題進(jìn)行整改��,在整改完成后15個(gè)工作日內(nèi)��,向履行個(gè)人信息保護(hù)職責(zé)的部門報(bào)送整改情況報(bào)告���。
問(wèn)9:個(gè)人信息處理者開(kāi)展個(gè)人信息保護(hù)合規(guī)審計(jì)如何適用《個(gè)人信息保護(hù)合規(guī)審計(jì)指引》���?
答:《個(gè)人信息保護(hù)合規(guī)審計(jì)指引》對(duì)個(gè)人信息保護(hù)相關(guān)法律、行政法規(guī)的關(guān)鍵要點(diǎn)作了梳理����,從合規(guī)審計(jì)的角度進(jìn)行了細(xì)化,便于個(gè)人信息處理者對(duì)個(gè)人信息處理活動(dòng)是否遵守法律�、行政法規(guī)要求進(jìn)行審查和評(píng)價(jià)。個(gè)人信息處理者自行開(kāi)展或者按照履行個(gè)人信息保護(hù)職責(zé)的部門要求委托專業(yè)機(jī)構(gòu)開(kāi)展個(gè)人信息保護(hù)合規(guī)審計(jì)����,應(yīng)當(dāng)參照《個(gè)人信息保護(hù)合規(guī)審計(jì)指引》。
查看原圖
粵公網(wǎng)安備 44010602001889號(hào)