本文将对国家互联网信息办公室公布的自2025年5月1日起施行的《个人信息保护合规审计管理办法》进行详细解读,包括该办法出台的意义、对个人信息处理者开展合规审计的情形、个人信息处理者的义务、专业机构的义务等多方面内容。
近期,国家互联网信息办公室公布了《个人信息保护合规审计管理办法》(以下简称为《办法》),这一办法将会在2025年5月1日开始施行。
国家互联网信息办公室相关负责人提到,《中华人民共和国个人信息保护法》以及《网络数据安全管理条例》当中,已经对个人信息处理者开展个人信息保护合规审计有所规定。而此次的《办法》则是进一步细化了合规审计活动如何开展、怎样选择合规审计机构、合规审计的频次、个人信息处理者和专业机构在合规审计之中需要承担的义务等多方面内容。其目的在于为个人信息处理者开展个人信息保护合规审计提供一套系统的、有针对性的且具有可操作性的规范准则,从而提升个人信息处理活动的合法合规程度,保护个人信息权益。
《办法》清晰地界定了个人信息处理者开展合规审计的两种情况。一方面,如果是个人信息处理者自行开展合规审计的话,那么就应当由个人信息处理者内部的机构或者委托专业机构,定期对其处理个人信息时遵守法律、行政法规的情况进行合规审计。要是个人信息处理者处理的个人信息超过1000万人,那么这样的个人信息处理者就应当每两年至少开展一次个人信息保护合规审计。另一方面,履行个人信息保护职责的部门如果发现个人信息处理活动存在较大风险、有可能侵害众多个人的权益或者发生了个人信息安全事件的话,就可以要求个人信息处理者委托专业机构对个人信息处理活动进行合规审计。
《办法》也明确了开展合规审计的个人信息处理者应履行的义务。规定当个人信息处理者按照履行个人信息保护职责的部门的要求开展合规审计时,应当为专业机构正常开展合规审计工作提供必要的支持,并且承担审计费用,要在限定的时间内完成合规审计,报送合规审计报告并且进行整改。
《办法》还明确了专业机构在合规审计中的义务。其一,专业机构应当具备开展个人信息保护合规审计的能力,要有与服务相适应的审计人员、场所、设施和资金等。其二,专业机构应当遵守法律法规,秉持诚信正直的态度,公正客观地作出合规审计的职业判断,对于在履职过程中知悉的个人信息、商业秘密、保密商务信息等要依法予以保密。其三,专业机构不得转委托其他机构开展个人信息保护合规审计。其四,同一专业机构及其关联机构、同一合规审计负责人不得连续三次以上对同一审计对象开展个人信息保护合规审计。
《办法》以附件的形式提供了《个人信息保护合规审计指引》,该指引梳理了个人信息保护相关法律、行政法规的关键要点,并且从合规审计的角度进行了细化。个人信息处理者无论是自行开展还是按照履行个人信息保护职责的部门要求委托专业机构开展个人信息保护合规审计,都应当参照《个人信息保护合规审计指引》。
《办法》同时对履行个人信息保护职责的部门的监督管理责任以及个人信息处理者、专业机构违反《办法》规定的法律责任等作出了规定。
本文详细解读了即将于2025年5月1日施行的《个人信息保护合规审计管理办法》。该办法从多个方面对个人信息保护合规审计进行了规定,包括个人信息处理者开展合规审计的情形、各自的义务以及专业机构的相关要求等,这有助于提升个人信息处理活动的合法合规性,保障个人信息权益。
原创文章,作者:Wonderful,如若转载,请注明出处:https://www.gouwuzhinan.com/archives/18173.html
