近日��,國家互聯(lián)網(wǎng)信息辦公室發(fā)布關(guān)于《個人信息保護(hù)合規(guī)審計(jì)管理辦法(征求意見稿)》(以下簡稱《辦法》)及配套的《個人信息保護(hù)合規(guī)審計(jì)參考要點(diǎn)》(以下簡稱《要點(diǎn)》)公開征求意見的通知���。該《辦法》旨在為指導(dǎo)���、規(guī)范個人信息保護(hù)合規(guī)審計(jì)活動,提高個人信息處理活動合規(guī)水平����,保護(hù)個人信息權(quán)益�����。
《辦法》共計(jì)十六條��,主要是針對《個人信息保護(hù)法》第54條和第64條所確定的個人信息保護(hù)合規(guī)審計(jì)機(jī)制的細(xì)化與補(bǔ)充����,對合規(guī)審計(jì)的觸發(fā)條件��、開展要點(diǎn)�����、實(shí)施要求等做了明確規(guī)定����。
個人信息保護(hù)合規(guī)審計(jì)流程涉及到個人信息處理者、專業(yè)機(jī)構(gòu)�、履行個人信息保護(hù)職責(zé)的部門(以下簡稱“監(jiān)管部門“)三方,其中專業(yè)機(jī)構(gòu)的選取可根據(jù)監(jiān)管部門按照國家網(wǎng)信部門同公安機(jī)關(guān)等國務(wù)院有關(guān)部門建立的推薦目錄中進(jìn)行選擇�����。
個人信息處理者可根據(jù)自身實(shí)際情況和需求,自行或委托專業(yè)機(jī)構(gòu)�,按照個人信息合規(guī)審計(jì)流程開展個人信息合規(guī)審計(jì)工作,并根據(jù)審計(jì)結(jié)果及時進(jìn)行整改�����。
《要點(diǎn)》共計(jì)三十一條��,列舉了個人信息保護(hù)處理活動在組織管理��、全生命周期保護(hù)方面等基礎(chǔ)性合規(guī)義務(wù)的審查事項(xiàng)��,協(xié)助個人信息處理者的內(nèi)部組織機(jī)構(gòu)或委托的專業(yè)機(jī)構(gòu)在進(jìn)行個人信息保護(hù)合規(guī)審計(jì)時推進(jìn)實(shí)施���。
不難看出�,《要點(diǎn)》中相關(guān)參考條例與《個人信息保護(hù)法》《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例(征求意見稿)》《GB/T 35273-2020 信息安全技術(shù) 個人信息安全規(guī)范》中相關(guān)要求均有對比映射關(guān)系�,從不同條款中都與現(xiàn)存的國家法律法規(guī)����、標(biāo)準(zhǔn)要求進(jìn)行了銜接,為個人信息保護(hù)合規(guī)審計(jì)國家層面的標(biāo)準(zhǔn)要求落點(diǎn)提供了細(xì)化補(bǔ)充與深度擴(kuò)展�����。
本次發(fā)布的《辦法》與《要點(diǎn)》作為個人信息保護(hù)領(lǐng)域的實(shí)際落點(diǎn),填補(bǔ)了《個人信息保護(hù)法》有關(guān)規(guī)范合規(guī)審計(jì)機(jī)制的下位規(guī)范空白����,具有里程碑式的意義。
個人信息保護(hù)合規(guī)審計(jì)不僅僅是一項(xiàng)法定義務(wù)�,也是個人信息處理者的自查自糾的重要手段,更是監(jiān)管部門監(jiān)督個人信息處理活動和專業(yè)機(jī)構(gòu)開展合規(guī)審計(jì)工作的執(zhí)行指引����。
