近日��,國家互聯(lián)網(wǎng)信息辦公室公布《個(gè)人信息保護合規審計管理辦法》(以下簡(jiǎn)稱(chēng)《辦法》)��,自2025年5月1日起施行��。
國家互聯(lián)網(wǎng)信息辦公室有關(guān)負責人表示��,《中華人民共和國個(gè)人信息保護法》《網(wǎng)絡(luò )數據安全管理條例》對個(gè)人信息處理者開(kāi)展個(gè)人信息保護合規審計作了規定��,《辦法》對合規審計活動(dòng)的開(kāi)展���、合規審計機構的選擇����、合規審計的頻次����、個(gè)人信息處理者和專(zhuān)業(yè)機構在合規審計中的義務(wù)等作出細化規定����,旨在為個(gè)人信息處理者開(kāi)展個(gè)人信息保護合規審計提供系統性�����、針對性���、可操作性的規范�,提升個(gè)人信息處理活動(dòng)合法合規水平�,保護個(gè)人信息權益��。
《辦法》明確了個(gè)人信息處理者開(kāi)展合規審計的兩種情形���。一是個(gè)人信息處理者自行開(kāi)展合規審計的����,應當由個(gè)人信息處理者內部機構或者委托專(zhuān)業(yè)機構定期對其處理個(gè)人信息遵守法律�����、行政法規的情況進(jìn)行合規審計�����。處理超過(guò)1000萬(wàn)人個(gè)人信息的個(gè)人信息處理者�����,應當每?jì)赡曛辽匍_(kāi)展一次個(gè)人信息保護合規審計��。二是履行個(gè)人信息保護職責的部門(mén)發(fā)現個(gè)人信息處理活動(dòng)存在較大風(fēng)險���、可能侵害眾多個(gè)人的權益或者發(fā)生個(gè)人信息安全事件的���,可以要求個(gè)人信息處理者委托專(zhuān)業(yè)機構對個(gè)人信息處理活動(dòng)進(jìn)行合規審計�����。
《辦法》明確了開(kāi)展合規審計的個(gè)人信息處理者應當履行的義務(wù)�����。規定個(gè)人信息處理者按照履行個(gè)人信息保護職責的部門(mén)要求開(kāi)展合規審計的��,應當為專(zhuān)業(yè)機構正常開(kāi)展合規審計工作提供必要支持并承擔審計費用�����,在限定時(shí)間內完成合規審計��,報送合規審計報告并進(jìn)行整改���。
《辦法》明確了專(zhuān)業(yè)機構在合規審計中的義務(wù)�����。一是應當具備開(kāi)展個(gè)人信息保護合規審計的能力�����,有與服務(wù)相適應的審計人員����、場(chǎng)所����、設施和資金等���。二是應當遵守法律法規�,誠信正直����,公正客觀(guān)地作出合規審計職業(yè)判斷����,對履職中知悉的個(gè)人信息��、商業(yè)秘密��、保密商務(wù)信息等依法予以保密�����。三是不得轉委托其他機構開(kāi)展個(gè)人信息保護合規審計��。四是同一專(zhuān)業(yè)機構及其關(guān)聯(lián)機構�、同一合規審計負責人不得連續三次以上對同一審計對象開(kāi)展個(gè)人信息保護合規審計���。
《辦法》以附件形式提供了《個(gè)人信息保護合規審計指引》�����,對個(gè)人信息保護相關(guān)法律��、行政法規的關(guān)鍵要點(diǎn)作了梳理��,從合規審計的角度進(jìn)行了細化��。個(gè)人信息處理者自行開(kāi)展或者按照履行個(gè)人信息保護職責的部門(mén)要求委托專(zhuān)業(yè)機構開(kāi)展個(gè)人信息保護合規審計����,應當參照《個(gè)人信息保護合規審計指引》�����。
《辦法》同時(shí)對履行個(gè)人信息保護職責的部門(mén)的監督管理責任和個(gè)人信息處理者���、專(zhuān)業(yè)機構違反《辦法》規定的法律責任等作出了規定����。
