近日����,國家互聯(lián)網信息辦公室發(fā)布關于《個人信息保護合規(guī)審計管理辦法(征求意見稿)》(以下簡稱《辦法》)及配套的《個人信息保護合規(guī)審計參考要點》(以下簡稱《要點》)公開征求意見的通知��。該《辦法》旨在為指導、規(guī)范個人信息保護合規(guī)審計活動���,提高個人信息處理活動合規(guī)水平�����,保護個人信息權益���。
《辦法》共計十六條����,主要是針對《個人信息保護法》第54條和第64條所確定的個人信息保護合規(guī)審計機制的細化與補充��,對合規(guī)審計的觸發(fā)條件�、開展要點、實施要求等做了明確規(guī)定����。
個人信息保護合規(guī)審計流程涉及到個人信息處理者、專業(yè)機構���、履行個人信息保護職責的部門(以下簡稱“監(jiān)管部門“)三方�,其中專業(yè)機構的選取可根據監(jiān)管部門按照國家網信部門同公安機關等國務院有關部門建立的推薦目錄中進行選擇�����。
個人信息處理者可根據自身實際情況和需求�����,自行或委托專業(yè)機構����,按照個人信息合規(guī)審計流程開展個人信息合規(guī)審計工作,并根據審計結果及時進行整改��。
《要點》共計三十一條���,列舉了個人信息保護處理活動在組織管理�、全生命周期保護方面等基礎性合規(guī)義務的審查事項�,協(xié)助個人信息處理者的內部組織機構或委托的專業(yè)機構在進行個人信息保護合規(guī)審計時推進實施。
不難看出�,《要點》中相關參考條例與《個人信息保護法》《網絡數據安全管理條例(征求意見稿)》《GB/T 35273-2020 信息安全技術 個人信息安全規(guī)范》中相關要求均有對比映射關系,從不同條款中都與現存的國家法律法規(guī)��、標準要求進行了銜接��,為個人信息保護合規(guī)審計國家層面的標準要求落點提供了細化補充與深度擴展�����。
本次發(fā)布的《辦法》與《要點》作為個人信息保護領域的實際落點,填補了《個人信息保護法》有關規(guī)范合規(guī)審計機制的下位規(guī)范空白���,具有里程碑式的意義�。
個人信息保護合規(guī)審計不僅僅是一項法定義務�,也是個人信息處理者的自查自糾的重要手段,更是監(jiān)管部門監(jiān)督個人信息處理活動和專業(yè)機構開展合規(guī)審計工作的執(zhí)行指引����。
