AI+安全
數據安全
數據基礎設施
態勢感知
云安全
基礎安全
終端安全
商用密碼
軟件供應鏈安全
網絡空間靶場
工業互聯網安全
物聯網安全
安全托管服務
運營管理服務
解讀丨《個人信息保護合規審計管理辦法(征求意見稿)》發布
安恒信息安全咨詢講武堂
講武堂,帶兵者研究武學之所。今設“安恒信息安全咨詢講武堂”,與圈內人士共同聚焦、分享安全咨詢領域的心得體會與實踐經驗。
本期聚焦“個人信息處理者組織內部建設個人信息保護體系”提出三大建議,歡迎大家文末留言探討。
近日,國家互聯網信息辦公室發布關于《個人信息保護合規審計管理辦法(征求意見稿)》(以下簡稱《辦法》)及配套的《個人信息保護合規審計參考要點》(以下簡稱《要點》)公開征求意見的通知。該《辦法》旨在為指導、規范個人信息保護合規審計活動,提高個人信息處理活動合規水平,保護個人信息權益。以下是對《辦法》與《要點》重點內容的解讀,以及基于本次發布的相關內容,安恒信息給出了個人信息處理者組織內部建設個人信息保護體系的幾點建議。
《辦法》重點內容解讀
《辦法》共計十六條,主要是針對《個人信息保護法》第54條和第64條所確定的個人信息保護合規審計機制的細化與補充,對合規審計的觸發條件、開展要點、實施要求等做了明確規定。
個人信息保護合規審計流程涉及到個人信息處理者、專業機構、履行個人信息保護職責的部門(以下簡稱“監管部門“)三方,其中專業機構的選取可根據監管部門按照國家網信部門同公安機關等國務院有關部門建立的推薦目錄中進行選擇。
個人信息處理者可根據自身實際情況和需求,自行或委托專業機構,按照個人信息合規審計流程開展個人信息合規審計工作,并根據審計結果及時進行整改。其中具體需要關注的要點如下:
一、《辦法》明確了個人信息保護合規審計的觸發條件及審計角色界定
1、自行定期開展審計:
可由個人信息處理者本組織內部機構或委托專業機構進行
● 處理超過100萬人個人信息的個人信息處理者:每年至少開展一次個人信息保護合規審計
● 其他個人信息處理者:每二年至少開展一次個人信息保護合規審計
2、應監管要求審計:
當監管部門發現以下情況,個人信息處理者應盡快選定專業機構進行個人信息保護合規審計
●?個人信息處理活動存在較大風險
●?發生個人信息安全事件
二、《辦法》列舉了開展個人信息保護合規審計活動中的實施要求
●?實施時限:90個工作日內完成,若情況復雜,可經過監管部門批準后延長
●?報送要求:針對委托專業機構開展完成的個人信息保護合規審計活動,應及時將出具的報告進行簽字蓋章后,報送至監管部門
●?及時整改:針對委托專業機構開展完成的個人信息保護合規審計活動,應及時按照整改建議進行及時整改后,報送至監管部門
三、《辦法》規范了專業機構的執行責任與義務,并約束了其執行原則
●?執行限制:連續為同一審計對象開展個人信息保護合規審計不得超過三次
●?執行原則:誠信正直,公正客觀;不得轉包委托第三方;對獲得的信息承擔保密責任;不得惡意干擾個人信息處理者的正常經營活動;不得有出具虛假、失實報告等違規行
●?執行權限:專業機構應能夠正常行使開展合規審計工作所必需的權限,如查閱文件資料、調研系統活動、檢查設備設施、調取個人信息、訪談相關人員等
《要點》重點內容解讀
《要點》共計三十一條,列舉了個人信息保護處理活動在組織管理、全生命周期保護方面等基礎性合規義務的審查事項,協助個人信息處理者的內部組織機構或委托的專業機構在進行個人信息保護合規審計時推進實施。
《要點》面向個人信息處理活動的主要審計框架內容如下:
如上圖不難看出,《要點》中相關參考條例與《個人信息保護法》《網絡數據安全管理條例(征求意見稿)》《GB/T 35273-2020 信息安全技術 個人信息安全規范》中相關要求均有對比映射關系,從不同條款中都與現存的國家法律法規、標準要求進行了銜接,為個人信息保護合規審計國家層面的標準要求落點提供了細化補充與深度擴展。
對于個人信息處理者組織內部建設
個人信息保護體系的建議
本次發布的《辦法》與《要點》作為個人信息保護領域的實際落點,填補了《個人信息保護法》有關規范合規審計機制的下位規范空白,具有里程碑式的意義。
個人信息保護合規審計不僅僅是一項法定義務,也是個人信息處理者的自查自糾的重要手段,更是監管部門監督個人信息處理活動和專業機構開展合規審計工作的執行指引。
因此,個人信息處理者應在日后加強內部個人信息保護合規工作,對企業組織內部的個人信息處理活動進行定期識別和充分梳理,對合規審計活動中發現的合規問題風險進行及時整改,建立完善的個人信息保護體系,逐步提升個人信息合規保護能力。
對此,安恒信息特總結了基于本次《辦法》與《要點》發布后關于個人信息保護體系建設的幾點建議:
一、依法制定適用于個人信息處理者組織內部的個人信息保護合規基線
在《個人信息保護法》《網絡數據安全管理條例(征求意見稿)》等法律法規要求企業定期進行個人信息保護合規審計之后,本次《辦法》及《要點》從審計方式、審計時限、審計內容、審計頻次等多個方面建立了清晰的指導,建議個人信息處理者組織內部可以逐一對照構建個人信息合規審計制度。
此外,未來可能會出臺專門的個人信息保護合規審計國家標準,如國家標準正式出臺,也可以對照國標將個人信息合規審計制度進一步細化。
盡管《辦法》正式版本的發布尚需時日,建議個人信息處理者組織內部應盡早根據征求意見稿的要求,并結合自身業務與管理體系特點進行優先級建設判定,建立個人信息保護合規審計工作機制流程,并可以適當地可以針對涉及個人信息業務的移動應用/APP小程序開展相關合規檢查和快速整改。
二、針對個人信息處理者組織內部個人信息處理活動的場景定期開展影響評估工作
個人信息的保護建設往往不止停留于合規層面,隨著頻繁出現過度收集個人信息、對個人信息進行二次開發利用以及個人信息交易等嚴重侵犯個人隱私權益的現象時有發生,這些事件造成的不良影響將會進一步影響到個人信息處理者組織形象,個人信息安全問題已經成為焦點問題。
因此,針對個人信息處理者組織內部大量個人信息處理活動和某些特定風險場景,應在合規審計前定期開展個人信息影響評估工作,提早發現個人信息處理者組織在個人信息保護過程中存在的隱患,為組織在個人信息合規審計活動中的迎審工作提供有力支撐,維護個人信息處理者組織客戶的個人權益,牢牢守住不發生安全事件的底線,打破目前暫未開展常態化個人信息安全影響評估的局面,為個人信息處理者組織后續明確涉及個人信息保護的重要業務場景中找到合適的建設路徑作為鋪墊。
三、持續跟進國家立法動態,推進落實個人信息保護工作長效機制
本次《辦法》與《要點》的許多內容均是對國家目前在個人信息保護領域法律法規的立法回應。總的來說,目前國家在個人信息保護領域不僅明確了個人信息處理者的合規行為要點,在《個人信息保護法》中更設置了嚴厲的法律責任。
其中提到的遭遇暫停業務、吊銷許可與執照、雙罰制、按照營業額百分比罰款、負責人員資格罰等處罰,將可能成為個人信息處理者組織難以承受之重。
建議相關個人信息處理者組織后續需要密切跟蹤監管執法案例,可定期在組織內部開展個人信息保護意識培訓,根據個人信息合規審計自查和個人信息保護影響自評估的工作成果,依據風險事項的輕重緩急進行合規整改,結合標準要求和行業實踐,實現個人信息保護機制在各類系統和業務流程中的落地實施,逐步形成具備可操作性的個人信息保護合規體系。
往期精彩回顧
2023-08-18
