為指導(dǎo)、規(guī)范個人信息保護合規(guī)審計活動，國家互聯(lián)網(wǎng)信息辦公室起草了《個人信息保護合規(guī)審計管理辦法（征求意見稿）》（下文簡稱“征求意見稿”），近日向社會公開征求意見。

個人信息保護合規(guī)審計，是指對個人信息處理者的個人信息處理活動是否遵守法律、行政法規(guī)的情況進行審查和評價的監(jiān)督活動。

“征求意見稿中的內(nèi)容是對個人信息保護法合規(guī)審計相關(guān)內(nèi)容的一個補充和延伸?！敝袊ù髮W(xué)傳播法研究中心副主任朱巍說。

關(guān)于合規(guī)審計，個人信息保護法第54條規(guī)定，個人信息處理者應(yīng)當定期對其處理個人信息遵守法律、行政法規(guī)的情況進行合規(guī)審計；第64條規(guī)定，履行個人信息保護職責(zé)的部門在履行職責(zé)中，發(fā)現(xiàn)個人信息處理活動存在較大風(fēng)險或者發(fā)生個人信息安全事件的，可以按照規(guī)定的權(quán)限和程序?qū)υ搨€人信息處理者的法定代表人或者主要負責(zé)人進行約談，或者要求個人信息處理者委托專業(yè)機構(gòu)對其個人信息處理活動進行合規(guī)審計。

“征求意見稿使得合規(guī)審計的執(zhí)行更具有實操性，也提出了更為嚴格和詳細的要求?！蔽髂险ù髮W(xué)民商法學(xué)院副教授杜江涌表示，征求意見稿從審計分類、主體范圍和審計頻率、審計機構(gòu)、審計時限等方面規(guī)定了個人信息保護合規(guī)審計的具體管理辦法，以個人信息保護為核心，例如以知情同意、權(quán)益保障、處理目的等為要點進行合規(guī)審計。其中有兩個亮點值得關(guān)注，首先征求意見稿提出“處理超過100萬人個人信息的個人信息處理者，應(yīng)當每年至少開展一次個人信息保護合規(guī)審計”，另外其首次明確了對外部獨立監(jiān)管機構(gòu)的要求。

征求意見稿為何將個人信息處理者以100萬為標準進行分類？

朱巍告訴人民網(wǎng)“強觀察”欄目，目前企業(yè)采集個人信息的數(shù)量比較龐大，相較之，100萬并不是一個大數(shù)字，把這一標準具象化來形容，包括中小型企業(yè)在內(nèi)的多數(shù)互聯(lián)網(wǎng)企業(yè)，都需要接受一年至少一次的個人信息保護法合規(guī)審計。

杜江涌同樣表示，我國人口龐大，同時移動互聯(lián)網(wǎng)對居民生活的深度介入，實際上大量企業(yè)或機構(gòu)所處理的個人信息都會“輕松”超過100萬人，大量互聯(lián)網(wǎng)平臺公司都將進行年度個人信息保護合規(guī)審計。因此，100萬人次門檻的設(shè)置標準其實并不高，主要目的是更好地保護民眾的個人信息權(quán)益。

在很多情況下，合規(guī)審計工作需要企業(yè)委托專業(yè)機構(gòu)開展，對于專業(yè)機構(gòu)的妥善管理有助于保持合規(guī)審計的有效性。為此，征求意見稿對外部專業(yè)審計機構(gòu)同樣作出相關(guān)規(guī)定。

例如，征求意見稿規(guī)定，執(zhí)行個人信息保護合規(guī)審計的專業(yè)機構(gòu)應(yīng)當保持獨立性和客觀性，連續(xù)為同一審計對象開展個人信息保護合規(guī)審計不得超過三次。并且專業(yè)機構(gòu)不得轉(zhuǎn)包委托第三方開展個人信息保護合規(guī)審計。

此外，征求意見稿提出建立個人信息保護合規(guī)審計專業(yè)機構(gòu)推薦目錄，每年組織開展個人信息保護合規(guī)審計專業(yè)機構(gòu)評估評價，并根據(jù)評估評價情況動態(tài)調(diào)整個人信息保護合規(guī)審計專業(yè)機構(gòu)推薦目錄。

“征求意見稿中所規(guī)定的審計活動要求幾乎涵蓋了大型互聯(lián)網(wǎng)企業(yè)全部業(yè)務(wù)活動的各個方面，比如針對個人信息處理全流程、內(nèi)部管理制度和操作規(guī)程的審計等。然而，要落實這些規(guī)定，還需要理清一些問題?！倍沤颗e例，征求意見稿所附的個人信息保護合規(guī)審計參考要點還存在許多可以細化的部分，主要集中在審計依據(jù)、審計目標、審計范圍等方面。其次，各類根據(jù)個人信息保護法所作出的規(guī)定，尚不能滿足合規(guī)審計所需的法律依據(jù)。為了保障審計結(jié)果具有實際意義和參照價值，應(yīng)進一步完善相關(guān)法律依據(jù)。

分享讓更多人看到