配资公司 《个人信息保护合规审计管理办法》5月起施行,相关负责人答问
据网信中国官微配资公司,近日,国家互联网信息办公室公布《个人信息保护合规审计管理办法》(以下简称《办法》),自2025年5月1日起施行。
国家互联网信息办公室有关负责人表示,《中华人民共和国个人信息保护法》《网络数据安全管理条例》对个人信息处理者开展个人信息保护合规审计作了规定,《办法》对合规审计活动的开展、合规审计机构的选择、合规审计的频次、个人信息处理者和专业机构在合规审计中的义务等作出细化规定,旨在为个人信息处理者开展个人信息保护合规审计提供系统性、针对性、可操作性的规范,提升个人信息处理活动合法合规水平,保护个人信息权益。
《办法》明确了个人信息处理者开展合规审计的两种情形。一是个人信息处理者自行开展合规审计的,应当由个人信息处理者内部机构或者委托专业机构定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。处理超过1000万人个人信息的个人信息处理者,应当每两年至少开展一次个人信息保护合规审计。二是履行个人信息保护职责的部门发现个人信息处理活动存在较大风险、可能侵害众多个人的权益或者发生个人信息安全事件的,可以要求个人信息处理者委托专业机构对个人信息处理活动进行合规审计。
《办法》明确了开展合规审计的个人信息处理者应当履行的义务。规定个人信息处理者按照履行个人信息保护职责的部门要求开展合规审计的,应当为专业机构正常开展合规审计工作提供必要支持并承担审计费用,在限定时间内完成合规审计,报送合规审计报告并进行整改。
《办法》明确了专业机构在合规审计中的义务。一是应当具备开展个人信息保护合规审计的能力,有与服务相适应的审计人员、场所、设施和资金等。二是应当遵守法律法规,诚信正直,公正客观地作出合规审计职业判断,对履职中知悉的个人信息、商业秘密、保密商务信息等依法予以保密。三是不得转委托其他机构开展个人信息保护合规审计。四是同一专业机构及其关联机构、同一合规审计负责人不得连续三次以上对同一审计对象开展个人信息保护合规审计。
《办法》以附件形式提供了《个人信息保护合规审计指引》,对个人信息保护相关法律、行政法规的关键要点作了梳理,从合规审计的角度进行了细化。个人信息处理者自行开展或者按照履行个人信息保护职责的部门要求委托专业机构开展个人信息保护合规审计,应当参照《个人信息保护合规审计指引》。
《办法》同时对履行个人信息保护职责的部门的监督管理责任和个人信息处理者、专业机构违反《办法》规定的法律责任等作出了规定。
《个人信息保护合规审计管理办法》答记者问
近日,国家互联网信息办公室公布《个人信息保护合规审计管理办法》(以下简称《办法》)。国家互联网信息办公室有关负责人就《办法》相关问题回答了记者提问。
问1:请介绍一下《办法》的出台背景?
答:当前,个人信息被企业、机构甚至个人广泛收集使用,个人信息保护和个人信息利用的矛盾日益突出。为压实个人信息处理者个人信息保护主体责任,加强个人信息处理活动风险控制和监督,《中华人民共和国个人信息保护法》《网络数据安全管理条例》对个人信息处理者开展合规审计作了规定。为有效落实法律法规要求,国家互联网信息办公室制定出台《办法》,对个人信息保护合规审计活动的开展、合规审计机构的选择、合规审计的频次、个人信息处理者和专业机构在合规审计中的义务等作出细化规定,旨在为个人信息处理者开展个人信息保护合规审计提供系统性、针对性、可操作性的规范,提升个人信息处理活动合法合规水平,保护个人信息权益。
问2:我国法律法规中对个人信息保护合规审计作了哪些规定?
答:《中华人民共和国个人信息保护法》第五十四条规定,个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。第六十四条规定,履行个人信息保护职责的部门在履行职责中,发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,可以按照规定的权限和程序对该个人信息处理者的法定代表人或者主要负责人进行约谈,或者要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。《网络数据安全管理条例》第二十七条规定,网络数据处理者应当定期自行或者委托专业机构对其处理个人信息遵守法律、行政法规的情况进行合规审计。以上法律法规明确了个人信息保护合规审计的两种情形:一是个人信息处理者自行开展合规审计。二是按照履行个人信息保护职责的部门要求,委托专业机构开展合规审计。
问3:《办法》的主要内容是什么?
答:《办法》主要对下列内容进行了规定:一是明确个人信息处理者自行开展合规审计和按照履行个人信息保护职责的部门要求委托专业机构开展合规审计的条件,合规审计机构的选择和合规审计的频次。二是明确开展合规审计的个人信息处理者应当履行的义务,规定个人信息处理者按照履行个人信息保护职责的部门要求开展合规审计的,应当为专业机构正常开展合规审计工作提供必要支持并承担审计费用,在限定时间内完成合规审计,报送合规审计报告并进行整改。三是明确专业机构在合规审计中的义务,规定专业机构应当具备开展合规审计的能力,遵守法律法规,明确同一专业机构及其关联机构、同一合规审计负责人不得连续三次以上对同一审计对象开展个人信息保护合规审计。四是明确履行个人信息保护职责的部门对个人信息处理者开展合规审计情况进行监督检查,任何组织、个人有权对合规审计中的违法活动向履行个人信息保护职责的部门进行投诉、举报,并规定个人信息处理者、专业机构违反《办法》规定的法律责任。
问4:个人信息处理者在什么情况下需要开展个人信息保护合规审计?
答:个人信息处理者开展个人信息保护合规审计分两种情形:一是自行开展合规审计,即个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。处理超过1000万人个人信息的个人信息处理者,应当每两年至少开展一次个人信息保护合规审计。其他个人信息处理者根据自身情况合理确定定期开展个人信息保护合规审计的频次。二是按照要求开展合规审计,即履行个人信息保护职责的部门在履行职责中,发现个人信息处理活动存在较大风险、可能侵害众多个人的权益或者发生个人信息安全事件的,可以要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。
问5:个人信息处理者如何选择合规审计机构?
答:个人信息处理者自行开展合规审计时,可以选择由内部机构自行开展,也可以委托专业机构开展。《办法》对采取何种审计方式、是否选择专业机构,以及选择哪家专业机构没有强制性要求。个人信息处理活动存在较大风险、可能侵害众多个人的权益或者发生个人信息安全事件时,履行个人信息保护职责的部门可以要求个人信息处理者委托专业机构开展个人信息保护合规审计。
问6:《办法》对专业机构提出了哪些要求?
答:专业机构接受个人信息处理者委托开展合规审计,应当公正客观地作出合规审计结论,提出合规审计建议,其出具的合规审计报告是履行个人信息保护职责的部门开展监督管理工作的重要参考。《办法》对专业机构提出以下要求:一是应当具备开展个人信息保护合规审计的能力,有与服务相适应的审计人员、场所、设施和资金等。二是应当遵守法律法规,诚信正直,公正客观地作出合规审计职业判断,对在履行个人信息保护合规审计职责中获得的个人信息、商业秘密、保密商务信息等依法予以保密,不得泄露或者非法向他人提供,在合规审计工作结束后及时删除相关信息。三是不得转委托其他机构开展个人信息保护合规审计。四是同一专业机构及其关联机构、同一合规审计负责人不得连续三次以上对同一审计对象开展个人信息保护合规审计。
问7:《办法》如何对专业机构进行管理?
答:《办法》遵循自愿性、市场化的原则,通过认证认可方式对专业机构进行监督管理。专业机构的认证按照《中华人民共和国认证认可条例》的有关规定执行。具备开展个人信息保护合规审计能力,有与服务相适应的审计人员、场所、设施和资金的专业机构,可以自愿申请相关服务能力认证。
问8:个人信息处理者按照履行个人信息保护职责的部门要求开展个人信息保护合规审计时,应当履行哪些义务?
答:《办法》对个人信息处理者按照履行个人信息保护职责的部门要求开展个人信息保护合规审计提出以下要求:一是保障合规审计正常进行,为专业机构正常开展个人信息保护合规审计工作提供必要支持,并承担审计费用。二是按照履行个人信息保护职责的部门要求选定专业机构,在限定时间内完成个人信息保护合规审计,情况复杂的,报履行个人信息保护职责的部门批准后,可以适当延长。三是报送合规审计报告并进行整改,个人信息处理者在完成合规审计后,应当将专业机构出具的个人信息保护合规审计报告报送履行个人信息保护职责的部门,按照履行个人信息保护职责的部门要求对合规审计中发现的问题进行整改,在整改完成后15个工作日内,向履行个人信息保护职责的部门报送整改情况报告。
问9:个人信息处理者开展个人信息保护合规审计如何适用《个人信息保护合规审计指引》?
答:《个人信息保护合规审计指引》对个人信息保护相关法律、行政法规的关键要点作了梳理,从合规审计的角度进行了细化,便于个人信息处理者对个人信息处理活动是否遵守法律、行政法规要求进行审查和评价。个人信息处理者自行开展或者按照履行个人信息保护职责的部门要求委托专业机构开展个人信息保护合规审计,应当参照《个人信息保护合规审计指引》。
举报 相关阅读
一财社论:加快个人隐私保护立法立规进程维护公共安全和保护个人隐私和个人信息权益被放在了平等地位上,尽力实现两者的平衡和社会效益最大化。
223 02-11 21:00
国家网信办就《个人信息出境个人信息保护认证办法(征求意见稿)》公开征求意见自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息)或者不满1万人敏感个人信息。
49 01-03 17:34
加快数据分类分级流通意义何在︱法经兵言数据规范有序流通的法治前提是建立健全数据权属制度,明确数据全生命周期的产权配置,并以此为基础优化数据的开发方式和保护范式。
50 2024-11-11 22:01
壹快评丨反洗钱工作应当充分尊重个人隐私任何单位的背书,都不能免除银行金融机构过分行为的相关责任,包括对隐私权的侵犯和信息泄露。
242 2024-11-04 17:01
广州互联网法院发布五年规划,保障网络用户数字权益《规划》针对网络流量造假等新型司法问题配资公司,聚焦数字社会治理领域,提出8个方面40个要点的司法治理方案。
20 2024-10-30 21:36 一财最热 点击关闭