主要观点总结
本文详细解读了《个人信息保护合规审计管理办法》的要点,包括适用范围、审计主体与频率、监管部门要求审计的情形、专业机构要求、审计流程与报告、特殊个人信息处理者要求等方面的内容,同时对《个人信息保护合规审计指引》进行了解读。文章还强调了个人信息处理者应积极履行合规审计义务,专业机构在开展合规审计时应严格遵守相关规定,确保审计的公正性和专业性。最后,文章指出该办法的实施对于个人信息保护的重要性,并期待在个人信息保护领域取得更多积极成果。
关键观点总结
关键观点1: 《个人信息保护合规审计管理办法》的出台是我国个人信息保护领域的重要举措。
该办法进一步细化了个人信息保护合规审计的要求,为个人信息处理者提供了明确的操作指南,也为监管部门提供了有力的监管依据。
关键观点2: 个人信息处理者应高度重视《办法》的实施,积极履行合规审计义务,加强内部管理,提升个人信息保护水平。
这不仅有助于避免因违规而面临的法律风险和声誉损失,还能增强用户对企业的信任,为企业的可持续发展奠定良好基础。
关键观点3: 专业机构在开展合规审计时,要严格遵守相关规定,凭借专业能力和职业操守,确保审计的公正性和专业性。
这有助于为个人信息保护保驾护航,增强公众对个人信息保护的信心。
关键观点4: 《办法》的实施有助于营造安全、可信的数字环境,促进数字经济的健康发展。
随着《办法》的落地实施,个人信息保护将得到更有效的保障。
正文
在数字化浪潮中,个人信息的保护成为了社会各界关注的焦点。从我们日常使用的手机 APP,到各类线上线下服务,个人信息的收集、存储与使用无处不在。近年来,个人信息泄露事件频发,从大型企业的数据安全事故,到小型平台的隐私政策漏洞,都给用户的个人权益带来了严重威胁。如何有效规范个人信息处理活动,成为了亟待解决的问题。
2025 年 2 月 12 日,国家互联网信息办公室发布《个人信息保护合规审计管理办法》(以下简称《办法》),自 2025 年 5 月 1 日起施行。
《办法》的出台,旨在进一步规范个人信息保护合规审计活动,加强个人信息保护监管,切实维护广大人民群众的个人信息权益。
本文将为您详细解读《办法》要点,并分享相关点评。
一.《个人信息保护合规审计管理办法》要点解读
1.适用范围与定义
《办法》适用于在中华人民共和国境内开展的个人信息保护合规审计。明确个人信息保护合规审计,是对个人信息处理者的个人信息处理活动是否遵守法律、行政法规的情况进行审
查和评价的监督活动。这意味着无论是互联网企业、传统的金融机构,还是新兴的智能硬件厂商等,只要涉及个人信息处理,都需遵循此规定接受审计,让所有个人信息处理活动都被纳入监管的视野。
2.审计主体与频率
个人信息处理者既可以自行安排内部机构开展合规审计,也能委托专业机构来执行。
对于处理超过 1000 万人个人信息的个人信息处理者,因其掌握海量个人数据,一旦出现信息安全问题,影响范围巨大,所以要求每两年至少开展一次个人信息保护合规审计 ,以便及时发现和纠正潜在的合规风险。
3.监管部门要求审计的情形
当出现个人信息处理活动存在严重影响个人权益,比如不合理地收集、使用个人敏感信息,严重缺乏安全措施,如系统存在明显漏洞却长期未修复等较大风险;或者个人信息处理活动可能侵害众多个人的权益,像某些 APP 过度收集用户信息并批量售卖;以及发生个人信息安全事件,导致 100 万人以上个人信息或者 10 万人以上敏感个人信息泄露、篡改、丢失、毁损的情况时,国家网信部门和其他履行个人信息保护职责的部门有权要求个人信息处理者委托专业机构对个人信息处理活动进行合规审计。并且,为避免给企业造成不必要的负担,对同一个人信息安全事件或者风险,不得重复要求个人信息处理者委托专业机构开展个人信息保护合规审计。
4.专业机构要求
专业机构要具备开展个人信息保护合规审计的能力,涵盖有专业的审计人员,这些人员需熟悉个人信息保护相关法律法规和技术规范;还要有合适的场所、设施来存储和处理审计数据,以及充足的资金保障审计工作的顺利开展。鼓励相关专业机构通过认证,专业机构的认证按照《中华人民共和国认证认可条例》的有关规定执行,以此提升专业机构的权威性和公信力。同时,专业机构在从事个人信息保护合规审计活动时,要严格遵守法律法规,秉持诚信正直、公正客观的原则作出合规审计职业判断,对在履行个人信息保护合规审计职责中获得的个人信息、商业秘密、保密商务信息等依法予以保密,不得泄露或者非法向他人提供,在合规审计工作结束后及时删除相关信息。而且专业机构不得转委托其他机构开展个人信息保护合规审计,同一专业机构及其关联机构、同一合规审计负责人不得连续三次以上对同一审计对象开展个人信息保护合规审计,防止因长期合作形成利益关联,影响审计的公正性。
5.审计流程与报告
个人信息处理者按照保护部门要求开展个人信息保护合规审计时,需按照保护部门要求选定专业机构,在限定时间内完成个人信息保护合规审计;若情况复杂,报保护部门批准后,可以适当延长。完成合规审计后,应当将专业机构出具的个人信息保护合规审计报告报送保护部门。个人信息保护合规审计报告应当由专业机构主要负责人、合规审计负责人签字并加盖专业机构公章,以此确保报告的真实性和有效性。此外,还得按照保护部门要求对合规审计中发现的问题进行整改,并在整改完成后 15 个工作日内,向保护部门报送整改情况报告,形成完整的审计闭环管理。
6.特殊个人信息处理者要求
处理 100 万人以上个人信息的个人信息处理者应当指定个人信息保护负责人,负责统筹和管理个人信息保护合规审计工作,该负责人需要具备专业知识和丰富经验,以便有效应对各类合规问题。提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,因其业务的复杂性和广泛影响力,应当成立主要由外部成员组成的独立机构对个人信息保护合规审计情况进行监督,避免内部监督的局限性,增强监督的独立性和客观性。
7.监督与投诉举报
保护部门对个人信息处理者开展个人信息保护合规审计情况进行监督检查,确保个人信息处理者和专业机构严格按照规定开展审计工作。同时,任何组织、个人有权对个人信息保护合规审计中的违法活动向保护部门进行投诉、举报。收到投诉、举报的部门应当依法及时处理,并将处理结果告知投诉、举报人,充分调动社会力量参与个人信息保护监督,形成全民参与的良好氛围。
二、《个人信息保护合规审计指引》要点解读
1.合法性基础审查
着重审查基于个人同意处理个人信息的相关细节。比如,是否取得个人同意,且该同意必须是个人在充分知情的前提下自愿、明确作出;当个人信息的处理目的、处理方式、处理的个人信息种类发生变更时,是否重新取得个人同意;依照法律、行政法规规定需要取得个人单独同意或者书面同意的,是否如实获取;处理个人信息未取得个人同意的,要确认是否属于法律、行政法规规定不需要取得个人同意的情形,以此确保个人信息处理的合法性基础牢固。
2.处理规则审查
其一,要确保真实、准确、完整地告知个人信息处理者的名称或者姓名和联系方式,方便个人在需要时能及时联系到相关方。其二,以清单等便于查看的形式列明所收集的个人信息及其处理方式和种类,让个人对自身信息的使用情况一目了然。其三,处理方式需与处理目的直接相关,并且采取对个人权益影响最小的方式,避免过度收集和滥用个人信息。其四,明确个人信息保存期限或者保存期限的确定方法、到期后的处理方式,同时确保保存期限为实现处理目的所必要的最短时间,防止信息的长期留存带来安全隐患。其五,明确个人查阅、复制、转移、更正、补充、删除、限制处理个人信息以及注销账号、撤回同意的途径和方法,充分保障个人对自身信息的控制权。
3.共同处理与委托处理审查
对于个人信息处理者与其他个人信息处理者共同处理个人信息的情况,要审查是否约定各自的权利义务,包括数据的使用权限、责任划分等;是否建立个人信息权益保护机制,保障个人在共同处理过程中的合法权益;是否构建个人信息安全事件报告机制,以便在出现问题时能够及时响应和处理;以及是否涵盖其他法律、行政法规规定需要约定的权利和义务。在个人信息处理者委托处理个人信息时,要审查个人信息处理者在委托处理前,是否开展个人信息保护影响评估;与受托人签订的合同,是否明确约定了委托处理的目的、期限、方式、个人信息的种类、保护措施以及双方的权利义务等;个人信息处理者是否采取定期检查等方式,对受托人的个人信息处理活动进行监督,防止受托人违规处理个人信息。
4.信息提供与公开审查
当个人信息处理者向其他个人信息处理者提供其处理的个人信息时,基于个人同意处理个人信息的,是否取得个人的单独同意;是否向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,法律、行政法规规定应当保密或者不需要告知的除外;是否事前进行个人信息保护影响评估。在基于个人同意公开个人信息时,审查个人信息处理者公开其处理的个人信息前是否取得个人单独同意,且该授权是否真实、有效,是否存在违背个人意愿将个人信息予以公开的情况;个人信息处理者公开个人信息前,是否进行个人信息保护影响评估,避免公开行为对个人权益造成损害。
5. 自动化决策与敏感信息处理审查
针对个人信息处理者利用自动化决策处理个人信息的情况,需审查自动化决策的透明度、结果公平公正性,防止算法歧视;审查是否事前告知个人相关信息及影响,是否进行个人信息保护影响评估;是否提供保障机制,方便个人拒绝不利决定并要求说明;信息推送时是否提供非个性化选项或便捷拒绝方式;是否防止不合理差别待遇等。处理敏感个人信息时,基于个人同意处理的,处理生物识别等敏感信息是否事前取得单独同意;处理不满十四周岁未成年人信息是否取得监护人同意;处理目的、方式、范围是否合法正当必要;是否进行影响评估、告知必要性及影响;需书面同意的是否取得;是否遵守限制性规定,保障敏感信息安全。
6. 未成年人信息与境外提供审查
处理不满十四周岁未成年人个人信息,审查是否制定专门规则,考虑其特殊权益;是否向其及监护人告知处理目的等信息;是否存在强制同意处理非必要信息行为。向境外提供个人信息方面,关键信息基础设施运营者向境外提供个人信息是否经国家网信部门安全评估;关键信息基础设施运营者以外的数据处理者按不同提供数量,审查是否经评估、认证、签订标准合同备案或符合其他条件;向外国司法或执法机构提供境内个人信息是否经主管机关批准;是否向限制清单内组织和个人提供,把控跨境流动风险。
7. 个人权利保障与内部管理审查
保障个人权利方面,审查是否建立便捷申请受理和处理机制,及时响应个人行使查阅等权利的申请,拒绝时说明理由;是否提供解释个人信息处理规则的便捷方式,在合理时间内通俗易懂说明。内部管理上,审查个人信息保护方针等是否合规;组织架构等是否与责任适配;是否对个人信息分类;是否建立应急响应等制度;是否制定投诉举报流程、操作权限、教育培训计划、履职评价和违法处理责任制度等。同时,审查是否采取适配的安全技术措施保障信息保密性等;是否加密、去标识化降低可识别性;是否合理确定操作权限。审查教育培训计划实施情况,包括是否按计划对各类人员开展教育、考核;培训内容等是否满足需求。审查个人信息保护负责人履职情况,包括专业能力、职责权限、决策参与权、违规制止权,以及联系方式公开和报送情况。审查个人信息保护影响评估开展情况,包括重大活动前是否评估;处理目的等是否合法正当必要;个人权益影响及安全风险、保护措施是否评估。审查应急预案的全面、有效、可执行性,包括风险评估预测、应对措施、人员培训演练情况。审查安全事件应急响应处置情况,包括查明影响、原因,提出防危害扩大措施;及时通知保护部门和个人;降低损失和危害风险。审查重要平台的平台规则,包括是否抵触法规、个人信息保护条款有效性、执行情况。审查其社会责任报告,包括组织架构等各类个人信息保护相关事项披露情况。
《个人信息保护合规审计管理办法》的发布,是我国个人信息保护领域的又一重要举措。它进一步细化了个人信息保护合规审计的要求,为个人信息处理者提供了明确的操作指南,也为监管部门提供了有力的监管依据。
对于个人信息处理者而言,应高度重视《办法》的实施,积极履行合规审计义务,加强内部管理,提升个人信息保护水平。这不仅有助于避免因违规而面临的法律风险和声誉损失,还能增强用户对企业的信任,为企业的可持续发展奠定良好基础。同时,专业机构在开展合规审计时,要严格遵守相关规定,凭借专业能力和职业操守,确保审计的公正性和专业性,为个人信息保护保驾护航。
从社会层面来看,《办法》的实施有助于增强公众对个人信息保护的信心,营造安全、可信的数字环境,促进数字经济的健康发展。未来,随着《办法》的落地实施,个人信息保护将得到更有效的保障,我们期待在个人信息保护领域取得更多积极成果,让每个人的个人信息都能得到妥善的保护 。
点击“
阅读原文
”查看官方通知
