本文将详细阐述国家互联网信息办公室出台的关于个人信息保护合规审计相关《办法》的规定内容,包括个人信息处理者开展合规审计的情形、各方应履行的义务以及监督管理和法律责任等方面。
国家互联网信息办公室的相关负责人指出,《中华人民共和国个人信息保护法》以及《网络数据安全管理条例》已经针对个人信息处理者开展个人信息保护合规审计有所规定。而此次的《办法》更是在诸多方面作出了细致的规定,像是合规审计活动如何开展、如何选择合规审计机构、合规审计的频次,还有个人信息处理者以及专业机构在合规审计过程中所承担的义务等。这一《办法》的目的在于为个人信息处理者开展个人信息保护合规审计提供一套系统的、有针对性且具有可操作性的规范准则,以此提升个人信息处理活动在合法合规方面的水平,从而保护个人信息权益。
《办法》清晰地界定了个人信息处理者开展合规审计的两种情况。第一种情况是,当个人信息处理者自行开展合规审计时,应该由其内部机构或者委托专业机构来定期对自身处理个人信息是否遵守法律、行政法规的情况进行合规审计。如果是处理超过1000万人个人信息的个人信息处理者,那么必须每两年至少开展一次个人信息保护合规审计。第二种情况是,在履行个人信息保护职责的部门发现个人信息处理活动存在较大风险、有可能侵害众多个人的权益或者发生了个人信息安全事件时,这个部门可以要求个人信息处理者委托专业机构对个人信息处理活动进行合规审计。
《办法》还明确了开展合规审计的个人信息处理者应当履行的义务。如果个人信息处理者按照履行个人信息保护职责的部门要求开展合规审计,就需要为专业机构正常开展合规审计工作提供必要的支持并且承担审计费用,要在规定的时间内完成合规审计,报送合规审计报告并且进行整改。
《办法》对专业机构在合规审计中的义务也作出了明确规定。其一,专业机构应当具备开展个人信息保护合规审计的能力,要有与服务相适应的审计人员、场所、设施和资金等。其二,专业机构必须遵守法律法规,秉持诚信正直的态度,公正客观地作出合规审计职业判断,并且要对在履职过程中知悉的个人信息、商业秘密、保密商务信息等依法予以保密。其三,专业机构不得转委托其他机构开展个人信息保护合规审计。其四,同一专业机构及其关联机构、同一合规审计负责人不得连续三次以上对同一审计对象开展个人信息保护合规审计。
《办法》以附件形式提供了《个人信息保护合规审计指引》,对个人信息保护相关法律、行政法规的关键要点进行了梳理,从合规审计的角度加以细化。无论是个人信息处理者自行开展,还是按照履行个人信息保护职责的部门要求委托专业机构开展个人信息保护合规审计,都应当参照《个人信息保护合规审计指引》。
此外,《办法》同时对履行个人信息保护职责的部门的监督管理责任以及个人信息处理者、专业机构违反《办法》规定的法律责任等作出了规定。
本文总结了国家互联网信息办公室出台的关于个人信息保护合规审计《办法》的多方面规定,包括开展合规审计的情形、个人信息处理者和专业机构的义务、监督管理责任以及法律责任等内容,这有助于规范个人信息处理活动,保障个人信息权益。
原创文章,作者:Foster,如若转载,请注明出处:https://www.gouwuzhinan.com/archives/18442.html
