為了規(guī)范個(gè)人信息保護(hù)合規(guī)審計(jì)活動(dòng)，保護(hù)個(gè)人信息權(quán)益，近日，國(guó)家網(wǎng)信辦公布了《個(gè)人信息保護(hù)合規(guī)審計(jì)管理辦法》（以下簡(jiǎn)稱(chēng)《辦法》）。《辦法》的公布實(shí)施，標(biāo)志著我國(guó)在個(gè)人信息保護(hù)領(lǐng)域邁出了堅(jiān)實(shí)而重要的一步，是對(duì)我國(guó)個(gè)人信息保護(hù)治理體系的發(fā)展和完善，對(duì)規(guī)范個(gè)人信息處理活動(dòng)、促進(jìn)個(gè)人信息合理利用具有重要意義。

《辦法》規(guī)定了開(kāi)展個(gè)人信息保護(hù)合規(guī)審計(jì)的要求，明確了個(gè)人信息保護(hù)合規(guī)審計(jì)的頻次、負(fù)責(zé)人、監(jiān)督機(jī)構(gòu)等內(nèi)容，給出了個(gè)人信息保護(hù)合規(guī)審計(jì)重點(diǎn)審查事項(xiàng)，為開(kāi)展個(gè)人信息保護(hù)合規(guī)審計(jì)工作提供了工作指引和制度保障。

一、《辦法》出臺(tái)對(duì)加強(qiáng)個(gè)人信息保護(hù)具有重要意義

黨中央高度重視個(gè)人信息保護(hù)工作，習(xí)近平總書(shū)記對(duì)加強(qiáng)個(gè)人信息保護(hù)工作提出明確要求，多次強(qiáng)調(diào)，要堅(jiān)持網(wǎng)絡(luò)安全為人民、網(wǎng)絡(luò)安全靠人民，保障個(gè)人信息安全，維護(hù)公民在網(wǎng)絡(luò)空間的合法權(quán)益?！掇k法》落實(shí)黨中央決策部署，堅(jiān)持以人民為中心的發(fā)展思想，聚焦個(gè)人信息保護(hù)領(lǐng)域的突出問(wèn)題和人民群眾的重大關(guān)切。

（一）《辦法》是落實(shí)法律重要制度建設(shè)的具體舉措。《中華人民共和國(guó)數(shù)據(jù)安全法》《中華人民共和國(guó)個(gè)人信息保護(hù)法》《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》等法律法規(guī)相繼出臺(tái)，為個(gè)人信息保護(hù)提供了基本的法律框架與制度設(shè)計(jì)。其中，《中華人民共和國(guó)個(gè)人信息保護(hù)法》提出個(gè)人信息處理者應(yīng)當(dāng)定期開(kāi)展合規(guī)審計(jì)，以及在特定情況下按照履行個(gè)人信息保護(hù)職責(zé)的部門(mén)（以下簡(jiǎn)稱(chēng)保護(hù)部門(mén)）要求委托專(zhuān)業(yè)機(jī)構(gòu)開(kāi)展合規(guī)審計(jì)?！毒W(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》提出網(wǎng)絡(luò)數(shù)據(jù)處理者應(yīng)當(dāng)定期自行或者委托專(zhuān)業(yè)機(jī)構(gòu)開(kāi)展個(gè)人信息保護(hù)合規(guī)審計(jì)?！掇k法》對(duì)上位法中的原則性規(guī)定進(jìn)行細(xì)化與落實(shí)，為個(gè)人信息保護(hù)合規(guī)審計(jì)工作提供了具體的制度保障和實(shí)施路徑，進(jìn)一步健全了我國(guó)的個(gè)人信息保護(hù)治理體系。

（二）《辦法》是加強(qiáng)個(gè)人信息保護(hù)的重要手段。數(shù)字經(jīng)濟(jì)時(shí)代，個(gè)人信息價(jià)值日益凸顯，成為社會(huì)經(jīng)濟(jì)運(yùn)行活動(dòng)必不可少的組成部分，個(gè)人信息保護(hù)已成為廣大人民群眾最關(guān)心最直接最現(xiàn)實(shí)的利益問(wèn)題之一?！掇k法》的公布，有助于個(gè)人信息處理者和保護(hù)部門(mén)在檢查、評(píng)估、認(rèn)證的基礎(chǔ)上，構(gòu)建以審計(jì)為監(jiān)督抓手的多層次個(gè)人信息保護(hù)體系，通過(guò)合規(guī)審計(jì)事項(xiàng)有效銜接各項(xiàng)個(gè)人信息保護(hù)工作，并以獨(dú)立視角審查和評(píng)價(jià)個(gè)人信息處理活動(dòng)，極大提高個(gè)人信息處理合規(guī)水平。

（三）《辦法》是提升個(gè)人信息保護(hù)合規(guī)水平的有效途徑。近年來(lái)，隨著我國(guó)個(gè)人信息保護(hù)工作深入開(kāi)展，個(gè)人信息處理者的個(gè)人信息保護(hù)意識(shí)不斷提升，如何衡量、提升個(gè)人信息處理合法合規(guī)水平成為個(gè)人信息保護(hù)工作的重點(diǎn)。個(gè)人信息保護(hù)是一個(gè)持續(xù)性、迭代性、動(dòng)態(tài)性的過(guò)程，通過(guò)開(kāi)展合規(guī)審計(jì)工作，不僅關(guān)注個(gè)人信息處理者存在的實(shí)質(zhì)性違規(guī)行為，還可以發(fā)現(xiàn)解決個(gè)人信息處理者內(nèi)部合規(guī)制度和措施落實(shí)過(guò)程中存在的問(wèn)題?！掇k法》明確了重點(diǎn)審查事項(xiàng)，為個(gè)人信息保護(hù)合規(guī)審計(jì)的具體實(shí)施提供了指南，可以對(duì)個(gè)人信息保護(hù)合規(guī)落實(shí)情況進(jìn)行評(píng)價(jià)、監(jiān)督、完善，促進(jìn)個(gè)人信息處理者做好個(gè)人信息保護(hù)合規(guī)建設(shè)，提升個(gè)人信息合規(guī)水平。

二、《辦法》明確了個(gè)人信息保護(hù)合規(guī)審計(jì)的具體要求

（一）壓實(shí)個(gè)人信息處理者個(gè)人信息保護(hù)合規(guī)審計(jì)義務(wù)。《辦法》明確了個(gè)人信息處理者的個(gè)人信息保護(hù)合規(guī)審計(jì)義務(wù)。一是處理超過(guò)1000萬(wàn)人個(gè)人信息的個(gè)人信息處理者，應(yīng)當(dāng)每?jī)赡曛辽匍_(kāi)展一次個(gè)人信息保護(hù)合規(guī)審計(jì)。二是個(gè)人信息處理者按照保護(hù)部門(mén)要求開(kāi)展個(gè)人信息保護(hù)合規(guī)審計(jì)的，應(yīng)當(dāng)按要求選定專(zhuān)業(yè)機(jī)構(gòu)，并為其在限定時(shí)間內(nèi)完成合規(guī)審計(jì)工作提供必要支持，報(bào)送審計(jì)報(bào)告，對(duì)合規(guī)審計(jì)中發(fā)現(xiàn)的問(wèn)題進(jìn)行整改并在整改完成后15個(gè)工作日內(nèi)向保護(hù)部門(mén)報(bào)送整改情況報(bào)告。三是處理100萬(wàn)人以上個(gè)人信息的個(gè)人信息處理者應(yīng)當(dāng)指定個(gè)人信息保護(hù)負(fù)責(zé)人，負(fù)責(zé)個(gè)人信息保護(hù)合規(guī)審計(jì)工作。提供重要互聯(lián)網(wǎng)平臺(tái)服務(wù)、用戶(hù)數(shù)量巨大、業(yè)務(wù)類(lèi)型復(fù)雜的個(gè)人信息處理者，應(yīng)當(dāng)成立主要由外部成員組成的獨(dú)立機(jī)構(gòu)對(duì)個(gè)人信息保護(hù)合規(guī)審計(jì)情況進(jìn)行監(jiān)督。

（二）規(guī)范專(zhuān)業(yè)機(jī)構(gòu)個(gè)人信息保護(hù)合規(guī)審計(jì)管理機(jī)制。《辦法》為個(gè)人信息處理者按照保護(hù)部門(mén)要求開(kāi)展個(gè)人信息保護(hù)合規(guī)審計(jì)提供了基本依據(jù)。一是明確了保護(hù)部門(mén)可以要求個(gè)人信息處理者委托專(zhuān)業(yè)機(jī)構(gòu)對(duì)其個(gè)人信息處理活動(dòng)進(jìn)行合規(guī)審計(jì)的情形。二是提出了專(zhuān)業(yè)機(jī)構(gòu)能力要求，鼓勵(lì)相關(guān)專(zhuān)業(yè)機(jī)構(gòu)通過(guò)認(rèn)證。三是明確了審計(jì)報(bào)告簽字蓋章要求。四是要求專(zhuān)業(yè)機(jī)構(gòu)在開(kāi)展合規(guī)審計(jì)時(shí)，做到遵守法律法規(guī)、誠(chéng)信正直、公正客觀、保守秘密，不得轉(zhuǎn)委托其他機(jī)構(gòu)。五是要求同一專(zhuān)業(yè)機(jī)構(gòu)及其關(guān)聯(lián)機(jī)構(gòu)、同一合規(guī)審計(jì)負(fù)責(zé)人不得連續(xù)三次以上對(duì)同一審計(jì)對(duì)象開(kāi)展個(gè)人信息保護(hù)合規(guī)審計(jì)，確保了合規(guī)審計(jì)的公正性。

（三）明確個(gè)人信息保護(hù)合規(guī)審計(jì)重點(diǎn)審查事項(xiàng)。《辦法》以附件形式提供了《個(gè)人信息保護(hù)合規(guī)審計(jì)指引》，明確了個(gè)人信息保護(hù)合規(guī)審計(jì)重點(diǎn)審查事項(xiàng)，對(duì)上位法要求進(jìn)行了細(xì)化，涵蓋面全、實(shí)施性強(qiáng)，確保個(gè)人信息保護(hù)合規(guī)審計(jì)實(shí)施可以有章可循，有效評(píng)價(jià)個(gè)人信息處理活動(dòng)合規(guī)水平。一是對(duì)個(gè)人信息處理的合法性基礎(chǔ)、處理規(guī)則，處理敏感個(gè)人信息、不滿十四周歲未成年人個(gè)人信息等個(gè)人信息處理規(guī)則要求提出了重點(diǎn)審查事項(xiàng)。二是對(duì)向境外提供個(gè)人信息的要求提出了重點(diǎn)審查事項(xiàng)。三是對(duì)個(gè)人信息刪除權(quán)保障、個(gè)人行使權(quán)利的申請(qǐng)受理和響應(yīng)、個(gè)人信息處理規(guī)則解釋說(shuō)明等個(gè)人在個(gè)人信息處理活動(dòng)中的權(quán)利要求提出了重點(diǎn)審查事項(xiàng)。四是對(duì)管理制度、安全技術(shù)措施、培訓(xùn)計(jì)劃、個(gè)人信息保護(hù)負(fù)責(zé)人、個(gè)人信息保護(hù)影響評(píng)估、個(gè)人信息安全事件應(yīng)急預(yù)案及相應(yīng)處置等個(gè)人信息處理者的義務(wù)要求提出了重點(diǎn)審查事項(xiàng)。

《辦法》實(shí)施需要充分發(fā)揮國(guó)家標(biāo)準(zhǔn)的支撐作用，個(gè)人信息保護(hù)國(guó)家標(biāo)準(zhǔn)是我國(guó)個(gè)人信息保護(hù)治理體系的重要組成部分，也是落實(shí)《辦法》的重要支撐。全國(guó)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)作為網(wǎng)絡(luò)和數(shù)據(jù)安全國(guó)家標(biāo)準(zhǔn)的統(tǒng)一歸口技術(shù)組織，支撐保障有關(guān)政策法規(guī)，研制了個(gè)人信息安全規(guī)范、個(gè)人信息安全影響評(píng)估指南等個(gè)人信息保護(hù)重點(diǎn)標(biāo)準(zhǔn)，并正在研制一批個(gè)人信息保護(hù)合規(guī)審計(jì)重點(diǎn)標(biāo)準(zhǔn)和實(shí)踐指南，為《辦法》的落地實(shí)施提供有力支撐。下一步，將持續(xù)發(fā)揮國(guó)家標(biāo)準(zhǔn)在《辦法》實(shí)施過(guò)程中的重要支撐作用，加強(qiáng)個(gè)人信息保護(hù)合規(guī)審計(jì)領(lǐng)域的技術(shù)交流，推廣個(gè)人信息保護(hù)合規(guī)審計(jì)優(yōu)秀實(shí)踐案例，為業(yè)界提供示范參考。

作者：范科峰　中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院副院長(zhǎng)

(來(lái)源："網(wǎng)信浙江”)

(鏈接：https://mp.weixin.qq.com/s/83NRNe-Y__IpL-625hjBZA）