文 | 維辰
個人信息保護合規審計加速落地。
(資料圖片)
8月3日,中央網信辦就《個人信息保護合規審計管理辦法(征求意見稿)》及配套的《個人信息保護合規審計參考要點》公開征求意見,文件對個人信息保護合規審計的觸發條件、審計基準等予以細化。《辦法》擬規定,處理超過100萬人個人信息的個人信息處理者,應當每年至少開展一次合規審計;其他個人信息處理者,應當每兩年至少開展一次合規審計。
信息化時代,個人信息保護已成為廣大人民群眾最關心最直接最現實的利益問題之一。2021年11月施行的個人信息保護法,明確提出了個人信息保護合規審計。合規審計包括兩種:個人信息處理者應當定期對其處理個人信息遵守法律、行政法規的情況進行合規審計(自主審計);履行個人信息保護職責的部門在履行職責中,發現個人信息處理活動存在較大風險或者發生個人信息安全事件的,可以按照規定的權限和程序對該個人信息處理者的法定代表人或者主要負責人進行約談,或者要求個人信息處理者委托專業機構對其個人信息處理活動進行合規審計(監管審計)。
前者是相關企業定期、主動地進行自我審計,以識別和控制風險,防止個人信息保護違規行為;后者是監管部門發現了一些風險苗頭,強制性對相關企業開展審計,并要求其按要求整改。通俗地說,自律和他律雙管齊下。
當前,個人信息保護法實施不久,個人信息保護合規審計還處于探索階段,企業對合規與否、審計流程的理解判斷不一。《辦法》和《要點》延續了自主審計、監管審計的制度設計,在此基礎上還進一步明確了重點審查的事項:處理個人信息是否取得個人同意;是否符合數據出境要求等,既為個人信息保護法提供了具體的執行細則,也與《網絡安全審查辦法》等規定相呼應,將有力督促個人信息保護落實。
《辦法》對處理超過100萬人個人信息的大型企業提出了特別審計義務要求,其實不管是至少一年開展一次、還是兩年開展一次,自主審計于企業而言,大有裨益。通過“體檢”,企業可以及時找到病灶、對癥下藥,做到合規發展,方能行穩致遠。開展合規審計評估,接受社會公眾監督,也能提高公眾信任度。另外,個人信息保護法第69條規定,“處理個人信息侵害個人信息權益造成損害,個人信息處理者不能證明自己沒有過錯的,應當承擔損害賠償等侵權責任”,即必要的時候,專業機構的權威“背書”也能化身為一道“護身符”。
投訴、新聞報道曝光、內部舉報或黑灰產線索等,都有可能觸發監管審計。這也意味著,面對處于主導地位的企業,個人有了更大的聲量,對違規處理個人信息的企業形成震懾。
可以期待,以合規審計督促個人信息保護落實。
【作者】 楊悅
南方評論
關鍵詞:
責任編輯:Rex_03