個人信息保護事關廣大人民群眾的切身利益�����,事關國家數(shù)據(jù)安全����。黨的二十屆三中全會通過的《中共中央關于進一步全面深化改革、推進中國式現(xiàn)代化的決定》要求“提升數(shù)據(jù)安全治理監(jiān)管能力”��。近日����,國家網(wǎng)信辦公布《個人信息保護合規(guī)審計管理辦法》(以下簡稱《辦法》),明確了個人信息保護合規(guī)審計的具體要求���,對于完善我國個人信息保護制度體系�、提高個人信息保護水平�����、提升數(shù)據(jù)安全治理監(jiān)管能力具有重要意義�����。
一、《辦法》體現(xiàn)了政府監(jiān)管和行業(yè)自律二者并重的治理思路
推動政府監(jiān)管和行業(yè)自律形成合力���,是提升數(shù)據(jù)治理能力的現(xiàn)實需要�,也是《辦法》制定中著重考慮的問題���。一方面��,《辦法》明確了國家網(wǎng)信部門和其他履行個人信息保護職責的部門(以下統(tǒng)稱為保護部門)在個人信息保護合規(guī)審計中的監(jiān)管職責�����,即個人信息處理者有以下情形之一的:(一)發(fā)現(xiàn)個人信息處理活動存在嚴重影響個人權益或者嚴重缺乏安全措施等較大風險的��;(二)個人信息處理活動可能侵害眾多個人的權益的�����;(三)發(fā)生個人信息安全事件���,導致100萬人以上個人信息或者10萬人以上敏感個人信息泄露、篡改���、丟失�、毀損的,保護部門可以要求個人信息處理者委托專業(yè)機構對個人信息處理活動進行合規(guī)審計��。個人信息處理者應當為專業(yè)機構正常開展個人信息保護合規(guī)審計工作提供必要支持�����,承擔審計費用����,在限定時間內完成審計工作����,并將專業(yè)機構出具的審計報告報送保護部門。此外��,《辦法》還明確��,保護部門對個人信息處理者開展個人信息保護合規(guī)審計情況進行監(jiān)督檢查���。
另一方面���,《辦法》規(guī)定,個人信息處理者自行開展個人信息保護合規(guī)審計的�����,應當由個人信息處理者內部機構或者委托專業(yè)機構定期對其處理個人信息遵守法律、行政法規(guī)的情況進行合規(guī)審計����。《辦法》明確要求����,處理超過1000萬人個人信息的個人信息處理者,應當每兩年至少開展一次個人信息保護合規(guī)審計�;處理100萬人以上的個人信息的個人信息處理者應當指定個人信息保護負責人,負責個人信息處理者的個人信息保護合規(guī)審計工作�����。
二�����、《辦法》體現(xiàn)了部門主導和社會參與協(xié)同推進的治理方式
監(jiān)管部門主導和社會力量參與的協(xié)同��,是提高數(shù)據(jù)治理能力的客觀需要����,也貫穿于《辦法》的始終�����?���!掇k法》明確開展個人信息保護合規(guī)審計��,是對個人信息處理者的個人信息處理活動是否遵守法律�����、行政法規(guī)的情況進行審查和評價的監(jiān)督活動�,系為了保護個人信息權益�。一方面,《辦法》規(guī)定�����,個人信息處理者按照保護部門要求開展個人信息保護合規(guī)審計的�,應當按照保護部門要求選定專業(yè)機構。同時��,《辦法》也對保護部門的權限提出要求�����。例如,對同一個人信息安全事件或者風險�,保護部門不得重復要求個人信息處理者委托專業(yè)機構開展個人信息保護合規(guī)審計。
另一方面��,《辦法》明確第三方專業(yè)機構可參與個人信息保護合規(guī)審計���,并對其提出明確要求�����,如應當具備開展個人信息保護合規(guī)審計的能力����,有與服務相適應的審計人員�、場所、設施和資金等����。要求專業(yè)機構在從事個人信息保護合規(guī)審計活動時,遵守法律法規(guī)�����,誠信正直,公正客觀地作出合規(guī)審計職業(yè)判斷��,對在履行個人信息保護合規(guī)審計職責中獲得的個人信息�����、商業(yè)秘密��、保密商務信息等應當依法予以保密��,不得泄露或者非法向他人提供���,在合規(guī)審計工作結束后及時刪除相關信息。要求專業(yè)機構不得轉委托其他機構開展個人信息保護合規(guī)審計�。同時,《辦法》還明確應引入個人信息處理者外部人員參與監(jiān)督的要求�,提供重要互聯(lián)網(wǎng)平臺服務、用戶數(shù)量巨大�、業(yè)務類型復雜的個人信息處理者,應當成立主要由外部成員組成的獨立機構對個人信息保護合規(guī)審計情況進行監(jiān)督���。此外�,《辦法》還鼓勵社會大眾積極參與�,任何組織��、個人有權對個人信息保護合規(guī)審計中的違法活動向保護部門進行投訴�、舉報����。
值得注意的是,《辦法》明確提出����,鼓勵個人信息保護合規(guī)審計專業(yè)機構通過認證,專業(yè)機構的認證按照《中華人民共和國認證認可條例》的有關規(guī)定執(zhí)行�,這將為個人信息保護合規(guī)審計相關認證的創(chuàng)新和發(fā)展提供廣闊的空間。
三����、《辦法》體現(xiàn)了法律法規(guī)和政策舉措有效銜接的治理模式
實現(xiàn)法律法規(guī)和政策舉措的有效銜接是提升數(shù)據(jù)治理能力的必然要求,是我國數(shù)據(jù)治理的優(yōu)良傳統(tǒng)和成功經(jīng)驗�,也是《辦法》的鮮明特點?����!吨腥A人民共和國個人信息保護法》明確規(guī)定�,“個人信息處理者應當定期對其處理個人信息遵守法律、行政法規(guī)的情況進行合規(guī)審計”“履行個人信息保護職責的部門在履行職責中�����,發(fā)現(xiàn)個人信息處理活動存在較大風險或者發(fā)生個人信息安全事件的,可以按照規(guī)定的權限和程序對該個人信息處理者的法定代表人或者主要負責人進行約談����,或者要求個人信息處理者委托專業(yè)機構對其個人信息處理活動進行合規(guī)審計”?���!毒W(wǎng)絡數(shù)據(jù)安全管理條例》明確規(guī)定,“網(wǎng)絡數(shù)據(jù)處理者應當定期自行或者委托專業(yè)機構對其處理個人信息遵守法律����、行政法規(guī)的情況進行合規(guī)審計”����。
為落實上述法律、行政法規(guī)規(guī)定��,《辦法》在合規(guī)審計指引部分進一步細化了相關要求��,詳細列出了二十七個方面的審查重點��,包括對個人信息處理活動的合法性基礎進行合規(guī)審計的重點審查事項���,對個人信息處理規(guī)則進行合規(guī)審計的重點審查事項�����,對個人信息處理者履行告知個人信息處理規(guī)則義務進行合規(guī)審計的重點審查事項�����,對個人信息處理者與其他個人信息處理者共同處理個人信息進行合規(guī)審計的重點審查事項����,對個人信息處理者委托處理個人信息進行合規(guī)審計的重點審查事項,對個人信息處理者利用自動化決策處理個人信息進行合規(guī)審計的重點審查事項��,對個人信息處理者基于個人同意公開個人信息進行合規(guī)審計的重點審查事項等��,充分體現(xiàn)了法律法規(guī)與政策舉措的貫通和銜接����。
《辦法》的出臺是我國個人信息保護事業(yè)進程中的重要節(jié)點,必將為提高我國個人信息保護水平����、提升我國數(shù)據(jù)安全治理監(jiān)管能力發(fā)揮重要作用。(作者:王志成,國家網(wǎng)信辦數(shù)據(jù)與技術保障中心副主任)
