为指导、规范个人信息保护合规审计活动,提高个人信息处理活动合规水平,保护个人信息权益,根据《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)等法律、行政法规和国家有关规定,国家互联网信息办公室起草了《个人信息保护合规审计管理办法(征求意见稿)》(以下简称《管理办法》)并于 2023 年 8 月 3 日公开征求意见。《管理办法》就如何落实《个人信息保护法》第五十四、第六十四条中所设定的个人信息保护合规审计义务给出了具体的实施细则,就个人信息保护合规审计的触发情景、开展方式、应尽义务、参与主体、违规责任等内容予以明确,附带的《个人信息保护合规审计参考要点》则针对开展个人信息处理合规审计时应当关注的要点内容加以细化,为个人信息处理者提供了具体参考。《管理办法》构建的个人信息保护合规审计制度流程为个人信息保护合规审计活动的组织、个人信息保护合规审计机构的管理等工作的落实打下坚实基础。
明确合规审计的两种情形
《管理办法》明确了开展个人信息保护合规审计的两种情形:一是个人信息处理者定期开展个人信息保护合规审计,二是按照履行个人信息保护职责的部门要求委托专业机构对其个人信息处理活动进行合规审计。
1、自行定期开展审计
《管理办法》规定,个人信息处理者自行开展个人信息保护合规审计,可根据实际情况,由本组织内部机构或者委托专业机构按照本办法要求开展。该规定落实了《个人信息保护法》第五十四条。
《管理办法》指出,处理超过 100 万人个人信息的个人信息处理者,应当每年至少开展一次个人信息保护合规审计;其他个人信息处理者应当每两年至少开展一次个人信息保护合规审计。
2、应监管要求审计
《管理办法》规定,个人信息处理者按照履行个人信息保护职责的部门要求开展个人信息保护合规审计的,应当在收到通知后尽快按照要求选定专业机构进行个人信息保护合规审计。该规定落实了《个人信息保护法》第六十四条。
《管理办法》指出,履行个人信息保护职责的部门在履行职责中,发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,可以要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。
明确合规审计活动的实施要求
合规审计工作时限要求:《管理办法》强调,个人信息处理者按照履行个人信息保护职责部门要求委托专业机构开展个人信息保护合规审计的,应当在 90 个工作日内完成个人信息保护合规审计;情况复杂的,报经履行个人信息保护职责的部门批准后可适当延长。
合规审计工作报告要求:个人信息处理者按照履行个人信息保护职责部门要求委托专业机构开展个人信息保护合规审计的,应当按照本办法要求组织实施个人信息保护合规审计,在实施必要合规审计程序后,及时将专业机构出具的个人信息保护合规审计报告报送履行个人信息保护职责的部门。个人信息保护合规审计报告应当由合规审计负责人、专业机构负责人签字并加盖专业机构公章。
合规审计工作整改要求:《管理办法》强调,个人信息处理者按照履行个人信息保护职责的部门要求委托专业机构开展个人信息保护合规审计的,应当按照专业机构给出的整改建议进行整改,经专业机构复核后将整改情况报送履行个人信息保护职责的部门。
合规审计工作配合要求:为保证合规审计工作顺利开展,《管理办法》强调,个人信息处理者按照履行个人信息保护职责的部门要求委托专业机构开展个人信息保护合规审计的,应当保证专业机构能够正常行使相关权限,如提供或协助查阅相关文件或资料、调查相关业务活动及所依赖的信息系统、检查、测试处理活动的相关设备设施及其他调取、质询、取证等合规审计工作所需的资料。
明确建立合规审计专业机构推荐目录
为更好发挥国家网信部门及相关单位的指导作用,《管理办法》明确指出,国家网信部门会同公安机关等国务院有关部门按照统筹规划、合理布局、择优推荐的原则建立个人信息保护合规审计专业机构推荐目录,每年组织开展个人信息保护合规审计专业机构评估评价,并根据评估评价情况动态调整个人信息保护合规审计专业机构推荐目录。同时,《管理办法》提到鼓励个人信息处理者优先选择推荐目录中的专业机构开展个人信息保护合规审计活动,并非强制企业选择,增加了制度执行的弹性。
明确合规审计内容要点
为更好指导个人信息保护合规审计工作开展,《管理办法》依据《个人信息保护法》、GB/T 35273-2020《信息安全技术 个人信息安全规范》等相关法律法规和标准文件,制定了《个人信息保护合规审计参考要点》(以下简称《要点》),《要点》列明了开展个人信息保护合规审计工作的主要控制项,涵盖了个人信息全生命周期各环节。
表 个人信息保护合规审计内容要点