近日����,國(guó)家互聯(lián)網(wǎng)信息辦公室公布《個(gè)人信息保護(hù)合規(guī)審計(jì)管理辦法》(以下簡(jiǎn)稱《辦法》)��,自2025年5月1日起施行��。相較于之前發(fā)布的征求意見(jiàn)稿����,《辦法》正式版堅(jiān)持了包容審慎、法治規(guī)范�����、市場(chǎng)化管理等原則,適度降低了企業(yè)的合規(guī)成本����。
近期朋友圈瘋傳的 “個(gè)保合規(guī)審計(jì)管理辦法”與個(gè)保法、網(wǎng)數(shù)條例是什么關(guān)系�����?是新規(guī)嗎����?
在此之前����,《中華人民共和國(guó)個(gè)人信息保護(hù)法》、《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》已明確規(guī)定���,個(gè)人信息處理者應(yīng)當(dāng)定期開(kāi)展個(gè)人信息保護(hù)合規(guī)審計(jì)�����。
《辦法》則對(duì)合規(guī)審計(jì)活動(dòng)的開(kāi)展���、合規(guī)審計(jì)機(jī)構(gòu)的選擇���、合規(guī)審計(jì)的頻次、個(gè)人信息處理者和專業(yè)機(jī)構(gòu)在合規(guī)審計(jì)中的義務(wù)等作出細(xì)化規(guī)定�,旨在為個(gè)人信息處理者開(kāi)展個(gè)人信息保護(hù)合規(guī)審計(jì)提供系統(tǒng)性、針對(duì)性����、可操作性的規(guī)范,提升個(gè)人信息處理活動(dòng)合法合規(guī)水平��,保護(hù)個(gè)人信息權(quán)益���。
“個(gè)保合規(guī)審計(jì)”是企業(yè)必須開(kāi)展的嗎���?
個(gè)人信息保護(hù)合規(guī)審計(jì)是所有在中國(guó)境內(nèi)處理個(gè)人信息的企業(yè)應(yīng)當(dāng)履行的合規(guī)義務(wù)。該義務(wù)明確規(guī)定于《個(gè)保法》第54條����、第64條和《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》第27條。因此�,所有在境內(nèi)處理個(gè)人信息的企業(yè)都應(yīng)定期開(kāi)展合規(guī)審計(jì),以對(duì)個(gè)人信息保護(hù)合規(guī)落實(shí)情況進(jìn)行審查、評(píng)價(jià)和監(jiān)督�����。
企業(yè)是否必須設(shè)置"個(gè)保負(fù)責(zé)人"���?
在個(gè)保法���、網(wǎng)數(shù)條例早就有明確規(guī)定,如《個(gè)人信息保護(hù)法》第52條提出了處理個(gè)人信息達(dá)到國(guó)家網(wǎng)信部門規(guī)定數(shù)量的個(gè)人信息處理者應(yīng)當(dāng)指定個(gè)人信息保護(hù)負(fù)責(zé)人的要求��?��!掇k法》正式稿將此數(shù)值確定為100萬(wàn)�����,個(gè)人信息保護(hù)負(fù)責(zé)人應(yīng)當(dāng)作為個(gè)人信息處理者自行實(shí)施自主審計(jì)中內(nèi)部機(jī)構(gòu)的成員并負(fù)責(zé)整體工作,在專業(yè)機(jī)構(gòu)負(fù)責(zé)合規(guī)審計(jì)時(shí)也需要為其提供必要的工作支持���,并在合規(guī)整改階段發(fā)揮關(guān)鍵作用�?��!掇k法》正式稿附件《個(gè)人信息保護(hù)合規(guī)審計(jì)指引》側(cè)面規(guī)定了個(gè)人信息保護(hù)負(fù)責(zé)人的任職條件和職責(zé)權(quán)限等事項(xiàng)�,包括:
1. 個(gè)人信息保護(hù)負(fù)責(zé)人應(yīng)當(dāng)具有相關(guān)的工作經(jīng)歷和專業(yè)知識(shí),熟悉個(gè)人信息保護(hù)相關(guān)法律���、行政法規(guī)����;
2. 個(gè)人信息保護(hù)負(fù)責(zé)人需具有明確清晰的職責(zé)��,被賦予充分的權(quán)限協(xié)調(diào)個(gè)人信息處理者內(nèi)部相關(guān)部門與人員�����;
3. 個(gè)人信息保護(hù)負(fù)責(zé)人在個(gè)人信息處理重大事項(xiàng)決策前應(yīng)有權(quán)提出相關(guān)意見(jiàn)和建議�;
4. 個(gè)人信息保護(hù)負(fù)責(zé)人有權(quán)對(duì)個(gè)人信息處理者內(nèi)部個(gè)人信息處理的不合規(guī)操作進(jìn)行制止和采取必要的糾正措施。
5. 個(gè)人信息處理者是否公開(kāi)個(gè)人信息保護(hù)負(fù)責(zé)人的聯(lián)系方式��,并將個(gè)人信息保護(hù)負(fù)責(zé)人的姓名�����、聯(lián)系方式等報(bào)送保護(hù)部門�。
什么情形下官方會(huì)強(qiáng)制要求企業(yè)開(kāi)展“個(gè)保合規(guī)審計(jì)"?
《辦法》第5條中有明確規(guī)定��,監(jiān)管機(jī)關(guān)有權(quán)在發(fā)現(xiàn)個(gè)人信息處理活動(dòng)存在較大風(fēng)險(xiǎn)或者發(fā)生個(gè)人信息安全事件的,要求個(gè)人信息處理者委托專業(yè)機(jī)構(gòu)對(duì)其個(gè)人信息處理活動(dòng)進(jìn)行合規(guī)審計(jì)��。該等情形包括:
1. 發(fā)現(xiàn)個(gè)人信息處理活動(dòng)存在嚴(yán)重影響個(gè)人權(quán)益或者嚴(yán)重缺乏安全措施等較大風(fēng)險(xiǎn)的���;
2. 個(gè)人信息處理活動(dòng)可能侵害眾多個(gè)人的權(quán)益的���;
3. 發(fā)生個(gè)人信息安全事件,導(dǎo)致100萬(wàn)人以上個(gè)人信息或者10萬(wàn)人以上敏感個(gè)人信息泄露�、篡改、丟失���、毀損的�。
沒(méi)有風(fēng)險(xiǎn)或事件的企業(yè)�����,是不是就可以“接著奏樂(lè)接著舞”�����?
《個(gè)保法》第54條及《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》第27條僅要求合規(guī)審計(jì)應(yīng)“定期”開(kāi)展���,但未明確具體開(kāi)展的頻率。《辦法》根據(jù)個(gè)人信息處理者的處理活動(dòng)規(guī)模��,進(jìn)一步要求處理超過(guò)1000萬(wàn)人個(gè)人信息的個(gè)人信息處理者��,應(yīng)當(dāng)每?jī)赡曛辽匍_(kāi)展一次個(gè)人信息保護(hù)合規(guī)審計(jì)����。但對(duì)于處理個(gè)人信息數(shù)量低于1000萬(wàn)人的個(gè)人信息處理者,《辦法》并未設(shè)置強(qiáng)制性的合規(guī)審計(jì)開(kāi)展頻率的要求�。
對(duì)此,企業(yè)在判斷自行開(kāi)展合規(guī)審計(jì)的頻率時(shí)��,建議關(guān)注和考慮以下事項(xiàng):
1. “1000萬(wàn)人個(gè)人信息”的計(jì)算范圍�。《辦法》中并未明確“1000萬(wàn)人個(gè)人信息”的計(jì)算標(biāo)準(zhǔn),企業(yè)在實(shí)際業(yè)務(wù)場(chǎng)景中可能有不同的數(shù)據(jù)處理身份���,對(duì)于企業(yè)作為數(shù)據(jù)處理的受托方時(shí)所處理的個(gè)人信息規(guī)模是否要納入“1000萬(wàn)人個(gè)人信息”的計(jì)算范圍��,有待監(jiān)管部門的進(jìn)一步細(xì)化��。
2. 處理未成年人個(gè)人信息的特別審計(jì)要求��。根據(jù)《未成年人網(wǎng)絡(luò)保護(hù)條例》第37條���,個(gè)人信息處理者應(yīng)當(dāng)自行或者委托專業(yè)機(jī)構(gòu)每年對(duì)其處理未成年人個(gè)人信息遵守法律���、行政法規(guī)的情況進(jìn)行合規(guī)審計(jì),并將審計(jì)情況及時(shí)報(bào)告網(wǎng)信等部門���。因此�����,企業(yè)需要結(jié)合自身的業(yè)務(wù)模式和個(gè)人信息處理活動(dòng)�,關(guān)注觸發(fā)未成年人個(gè)人信息的定期合規(guī)審計(jì)要求���。
3. 對(duì)于信息處理規(guī)模少于1000萬(wàn)人個(gè)人信息的企業(yè)���,建議企業(yè)結(jié)合以下因素:自身處理個(gè)人信息的規(guī)模和敏感程度、數(shù)據(jù)資產(chǎn)分類分級(jí)結(jié)果����、統(tǒng)一的安全策略執(zhí)行情況、數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估結(jié)果��、面臨的內(nèi)外監(jiān)管合規(guī)要求等�����,設(shè)置合理的審計(jì)計(jì)劃與進(jìn)一步完善體系���。
企業(yè)可以采取哪些安全技術(shù)手段去應(yīng)對(duì)《辦法》的相關(guān)規(guī)定與要求�?
在《辦法》附件《個(gè)人信息保護(hù)合規(guī)審計(jì)指引》第 20 條中提及����,個(gè)人信息處理者應(yīng)當(dāng)采取與所處理個(gè)人信息規(guī)模、類型相適應(yīng)的安全技術(shù)措施��,并對(duì)個(gè)人信息處理者采取的技術(shù)措施的有效性進(jìn)行評(píng)價(jià)�。建議企業(yè)可采取的安全技術(shù)有:
1. 采取數(shù)據(jù)加密、脫敏���、去標(biāo)識(shí)化等安全技術(shù)措施�,確保個(gè)人信息在數(shù)據(jù)存儲(chǔ)�、使用與共享環(huán)節(jié)下的安全,降低敏感數(shù)據(jù)泄露風(fēng)險(xiǎn)����;
2. 采取訪問(wèn)控制、權(quán)限管理等安全技術(shù)手段���,如通過(guò)最小權(quán)限原則設(shè)置有關(guān)人員查閱����、復(fù)制、傳輸個(gè)人信息等的操作權(quán)限��,實(shí)現(xiàn)分級(jí)訪問(wèn)控制�,減少個(gè)人信息在處理過(guò)程中未經(jīng)授權(quán)的訪問(wèn)和濫用風(fēng)險(xiǎn)。
3. 采取日志審計(jì)與數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè)等安全技術(shù)��,記錄并留存?zhèn)€人信息等敏感數(shù)據(jù)的全鏈路日志(如訪問(wèn)��、修改����、刪除等行為),部署數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè)系統(tǒng)�,對(duì)全域數(shù)據(jù)資產(chǎn)、數(shù)據(jù)訪問(wèn)進(jìn)行全方位的風(fēng)險(xiǎn)監(jiān)測(cè)�,實(shí)時(shí)阻斷與預(yù)警異常操作行為,降低數(shù)據(jù)泄露風(fēng)險(xiǎn)�����。
