《办法》共计十六条,主要是针对《个人信息保护法》第54条和第64条所确定的个人信息保护合规审计机制的细化与补充,对合规审计的触发条件、开展要点、实施要求等做了明确规定。
近日,国家互联网信息办公室发布关于《个人信息保护合规审计管理办法(征求意见稿)》(以下简称《办法》)及配套的《个人信息保护合规审计参考要点》(以下简称《要点》)公开征求意见的通知。该《办法》旨在为指导、规范个人信息保护合规审计活动,提高个人信息处理活动合规水平,保护个人信息权益。
《办法》共计十六条,主要是针对《个人信息保护法》第54条和第64条所确定的个人信息保护合规审计机制的细化与补充,对合规审计的触发条件、开展要点、实施要求等做了明确规定。
个人信息保护合规审计流程涉及到个人信息处理者、专业机构、履行个人信息保护职责的部门(以下简称“监管部门“)三方,其中专业机构的选取可根据监管部门按照国家网信部门同公安机关等国务院有关部门建立的推荐目录中进行选择。
个人信息处理者可根据自身实际情况和需求,自行或委托专业机构,按照个人信息合规审计流程开展个人信息合规审计工作,并根据审计结果及时进行整改。
《要点》共计三十一条,列举了个人信息保护处理活动在组织管理、全生命周期保护方面等基础性合规义务的审查事项,协助个人信息处理者的内部组织机构或委托的专业机构在进行个人信息保护合规审计时推进实施。
不难看出,《要点》中相关参考条例与《个人信息保护法》《网络数据安全管理条例(征求意见稿)》《GB/T 35273-2020 信息安全技术 个人信息安全规范》中相关要求均有对比映射关系,从不同条款中都与现存的国家法律法规、标准要求进行了衔接,为个人信息保护合规审计国家层面的标准要求落点提供了细化补充与深度扩展。
本次发布的《办法》与《要点》作为个人信息保护领域的实际落点,填补了《个人信息保护法》有关规范合规审计机制的下位规范空白,具有里程碑式的意义。
个人信息保护合规审计不仅仅是一项法定义务,也是个人信息处理者的自查自纠的重要手段,更是监管部门监督个人信息处理活动和专业机构开展合规审计工作的执行指引。