91精品国产99久久久久久红楼,欧美高清另类,欧美日韩中文在线观看,久久激情精品,91视频导航,亚洲欧美日韩一级,巨人精品福利官方导航

申請實習(xí)證 兩公律師轉(zhuǎn)社會律師申請 注銷人員證明申請入口 結(jié)業(yè)人員實習(xí)鑒定表申請入口 網(wǎng)上投稿 《上海律師》 ENGLISH
當(dāng)前位置: 首頁 >> 業(yè)務(wù)研究 >> 專業(yè)論文

個人信息保護合規(guī)審計義務(wù)的五大要點——《個人信息保護合規(guī)審計管理辦法(征求意見稿)》解讀

    日期:2023-12-08     作者:吳衛(wèi)明(互聯(lián)網(wǎng)與信息技術(shù)專業(yè)委員會、上海市錦天城律師事務(wù)所)劉昀東(互聯(lián)網(wǎng)與信息技術(shù)專業(yè)委員會、上海市錦天城律師事務(wù)所)

      2023年8月3日,國家互聯(lián)網(wǎng)信息辦公室(以下簡稱“國家網(wǎng)信辦”)發(fā)布《個人信息保護合規(guī)審計管理辦法(征求意見稿)》(以下簡稱《征求意見稿》),向社會公開征求意見。

     區(qū)別于《信息安全技術(shù) 個人信息安全規(guī)范》(以下簡稱《個人信息安全規(guī)范》)規(guī)定的“安全審計”,個人信息保護合規(guī)審計(以下簡稱“合規(guī)審計”)是2021年11月1日生效的《個人信息保護法》對于個人信息處理者設(shè)定的合規(guī)義務(wù),包括第五十四條規(guī)定的個人信息處理者自身應(yīng)當(dāng)履行的定期合規(guī)審計義務(wù)和第六十四條規(guī)定的基于履行個人信息保護職責(zé)的部門(以下簡稱“監(jiān)管部門”)要求的專項合規(guī)審計義務(wù)。

     自《個人信息保護法》發(fā)布以來,如何履行該法規(guī)定的合規(guī)審計義務(wù),以及個人信息矗立著如何確定審計程序、審計要點等問題,一直是各界所關(guān)注的問題?!墩髑笠庖姼濉返某雠_表明這一制度即將正式落地,為便于企業(yè)加強對《征求意見稿》重要內(nèi)容的理解,筆者特整理如下五大方面進行解讀。

一、合規(guī)審計的概念

   根據(jù)《征求意見稿》第三條的規(guī)定,合規(guī)審計是指對個人信息處理者的個人信息處理活動是否遵守法律、行政法規(guī)的情況進行審查和評價的監(jiān)督活動。

  從上述規(guī)定可以看出,合規(guī)審計是一種監(jiān)督活動,包括審查和評價兩個部分,審查和評價的對象是個人信息處理者的個人信息處理活動,審查和評價的標準是法律、行政法規(guī),評價的結(jié)果應(yīng)當(dāng)體現(xiàn)個人信息處理者是否遵守法律、行政法規(guī)的內(nèi)容。

  作為對比,《個人信息安全規(guī)范》規(guī)定的“安全審計”,審計的對象是“個人信息保護政策、相關(guān)規(guī)程和安全措施”,評價的結(jié)果體現(xiàn)的是對象的“有效性”。合規(guī)審計的對象內(nèi)涵更豐富,因為個人信息處理活動不僅包括活動本身,還包括為了開展活動而設(shè)置的制度、采用的技術(shù)措施,安全審計的對象則更為明確和具體。合規(guī)審計的評價側(cè)重于個人信息處理的“法律符合性”,安全審計的評價則側(cè)重于個人信息保護的“有效性”。但兩者并不是涇渭分明的,因為從《征求意見稿》附件《個人信息保護合規(guī)審計參考要點》(以下簡稱《參考要點》)可以看出,合規(guī)審計的其中一項參考要點是“個人信息處理者采取的技術(shù)措施的有效性”,也就是對于“法律符合性”的評價還包括了對“有效性”的評價。究其緣由,是因《個人信息保護法》第五十一條規(guī)定了個人信息處理者應(yīng)“采取相應(yīng)的加密、去標識化等安全技術(shù)措施”,從而將技術(shù)措施的實施作為了一項合規(guī)義務(wù)。

二、合規(guī)審計的主體和啟動條件

   如前文所述,《個人信息保護法》第五十四條和第六十四條規(guī)定了兩類合規(guī)審計的發(fā)起情形?!墩髑笠庖姼濉穭t基于該等規(guī)定進行了細化。

   對于定期合規(guī)審計義務(wù),在定期的頻率上作出了細化,區(qū)分了兩類主體(《征求意見稿》第四條),即:

b5593cfd15fd681ea38901095186d2f0

   對于專項合規(guī)審計義務(wù),《征求意見稿》延續(xù)了《個人信息保護法》第六十四條的規(guī)定,即在監(jiān)管部門發(fā)現(xiàn)個人信息處理活動存在較大風(fēng)險或者發(fā)生個人信息安全事件的,可以要求個人信息處理者委托專業(yè)機構(gòu)對其個人信息處理活動進行合規(guī)審計(《征求意見稿》第六條)。需要注意的是,根據(jù)《個人信息保護法》第六十條的規(guī)定,國家網(wǎng)信部門、國務(wù)院有關(guān)部門、縣級以上地方政府有關(guān)部門都屬于監(jiān)管部門,所以可能要求個人信息處理者開展專項合規(guī)審計的監(jiān)管部門并不是單一部門。

   對于具體開展合規(guī)審計工作的主體,《征求意見稿》也延續(xù)了《個人信息保護法》的規(guī)定,即:

c1fe460d6330ec9cdb64d05b347284d7

   雖然《征求意見稿》與《個人信息保護法》一樣,沒有明確規(guī)定專業(yè)機構(gòu)的資質(zhì)或類型,但是設(shè)置了推薦目錄制度,規(guī)定國家網(wǎng)信部門會同公安機關(guān)等國務(wù)院有關(guān)部門建立個人信息保護合規(guī)審計專業(yè)機構(gòu)推薦目錄,鼓勵個人信息處理者優(yōu)先選擇推薦目錄中的專業(yè)機構(gòu)開展合規(guī)審計活動(《征求意見稿》第十三條)。

三、專項合規(guī)審計要求

   相較于定期合規(guī)審計,《征求意見稿》對專項合規(guī)審計作出了更詳細的要求,包括特定期限、報告形式、配合義務(wù)、整改義務(wù)等,具體包括:

  第一,專項合規(guī)審計中選定專業(yè)機構(gòu)的期限?!墩髑笠庖姼濉返谄邨l規(guī)定,個人信息處理者接到監(jiān)管部門的通知后應(yīng)當(dāng)盡快按照要求選定專業(yè)機構(gòu)進行個人信息保護合規(guī)審計。值得注意的是,這里并沒有對“盡快”的期限作出明確規(guī)定,如果制度進入執(zhí)行階段,可能需要監(jiān)管部門根據(jù)實際情況在通知中設(shè)定期限。另外此處的表述方式也提示了監(jiān)管部門是可以作出“要求”的。

   第二,合規(guī)審計報告的報送期限和形式要求?!墩髑笠庖姼濉返谑畻l規(guī)定, 個人信息處理者應(yīng)當(dāng)在實施必要合規(guī)審計程序后,及時將專業(yè)機構(gòu)出具的個人信息保護合規(guī)審計報告報送監(jiān)管部門。個人信息保護合規(guī)審計報告應(yīng)當(dāng)由合規(guī)審計負責(zé)人、專業(yè)機構(gòu)負責(zé)人簽字并加蓋專業(yè)機構(gòu)公章。和第七條類似,這里僅規(guī)定期限為“及時”。另外,對于合規(guī)審計應(yīng)當(dāng)形成的成果及簽署方式都做出了明確規(guī)定。

   第三,專項合規(guī)審計的完成期限?!墩髑笠庖姼濉返诰艞l明確規(guī)定了個人信息處理者應(yīng)當(dāng)在90個工作日內(nèi)完成個人信息保護合規(guī)審計,但也規(guī)定了調(diào)整程序,即在情況復(fù)雜的前提下,報經(jīng)監(jiān)管部門批準后可適當(dāng)延長。這里給予了監(jiān)管部門一定裁量權(quán)限,也可以在一定程度降低因為時間所限對于審計情況全面性的影響。但是90個工作日的起算時點是通知之日還是選定專業(yè)機構(gòu)之日,可能有待正式版文件細化或者通過監(jiān)管部門的通知予以明確。結(jié)合上述規(guī)定,我們傾向于按照通知之日起算。

   第四,個人信息處理者對專業(yè)機構(gòu)的配合義務(wù)。為降低個人信息處理者作為委托者對于專業(yè)機構(gòu)的限制,《征求意見稿》第八條明確規(guī)定了個人信息處理者應(yīng)當(dāng)保證專業(yè)機構(gòu)能夠正常行使下列權(quán)限:

(一)要求提供或者協(xié)助查閱相關(guān)文件或資料;

(二)進入個人信息處理活動相關(guān)場所;

(三)觀察場所內(nèi)發(fā)生的個人信息處理活動;

(四)調(diào)查相關(guān)業(yè)務(wù)活動及所依賴的信息系統(tǒng);

(五)檢查、測試個人信息處理活動相關(guān)設(shè)備設(shè)施;

(六)調(diào)取、查閱個人信息處理活動相關(guān)數(shù)據(jù)或信息;

(七)訪談與個人信息處理活動有關(guān)的人員;

(八)就相關(guān)問題進行調(diào)查、質(zhì)詢和取證;

(九)其他開展合規(guī)審計工作所必需的權(quán)限?!?/span>

  換一個角度理解,上述權(quán)限也可以推導(dǎo)出專業(yè)機構(gòu)開展合規(guī)審計工作應(yīng)當(dāng)考慮的審計方法。

  第五,個人信息處理者的整改義務(wù)?!墩髑笠庖姼濉返谑粭l規(guī)定,個人信息處理者應(yīng)當(dāng)按照專業(yè)機構(gòu)給出的整改建議進行整改,經(jīng)專業(yè)機構(gòu)復(fù)核后將整改情況報送監(jiān)管部門。這意味著專項合規(guī)審計工作中專業(yè)機構(gòu)的任務(wù)不僅僅包括單純的審查和評價,在發(fā)現(xiàn)合規(guī)問題后還應(yīng)當(dāng)給予企業(yè)整改建議,并對整改情況進行復(fù)核。

  關(guān)于整改的期限,按照一般理解和實踐經(jīng)驗,整改建議應(yīng)當(dāng)是在完成合規(guī)審計報告時形成的,而整改的時間則根據(jù)整改工作涉及的具體方面不同可能產(chǎn)生巨大差別,如果將整改時間也包含在《征求意見稿》第九條規(guī)定的90個工作日內(nèi),可能會缺乏可操作性,但是由于第九條亦規(guī)定了完成期限的調(diào)整程序,所以也不排除90個工作日確實包括了整改期限的可能性。這一點亦有待正式版文件細化或者通過監(jiān)管部門的通知予以明確。

四、專業(yè)機構(gòu)工作要求

  《征求意見稿》對專業(yè)機構(gòu)的合規(guī)審計工作要求并沒有區(qū)分合規(guī)審計的類型,目前看來是具有泛用性的,即無論是定期合規(guī)審計還是專項合規(guī)審計,專業(yè)機構(gòu)均需要遵守如下規(guī)范:

  第一,專業(yè)機構(gòu)的工作原則?!墩髑笠庖姼濉返谑臈l第一款規(guī)定專業(yè)機構(gòu)應(yīng)當(dāng)誠信正直,公正客觀地作出合規(guī)審計職業(yè)判斷,第十二條規(guī)定專業(yè)機構(gòu)保持獨立性和客觀性,這些均可以作為專業(yè)機構(gòu)的合規(guī)審計工作原則。

  同時,第十二條針對如何保持獨立性和客觀性還作出了細化的次數(shù)限制,即不得連續(xù)為同一審計對象開展個人信息保護合規(guī)審計超過三次。

  第二,專業(yè)機構(gòu)不得轉(zhuǎn)包?!墩髑笠庖姼濉返谑臈l第二款規(guī)定,專業(yè)機構(gòu)不得轉(zhuǎn)包委托第三方開展合規(guī)審計。該規(guī)定可以理解為對專業(yè)機構(gòu)獨立性要求的延伸。

  第三,專業(yè)機構(gòu)的保密責(zé)任和數(shù)據(jù)安全責(zé)任?!墩髑笠庖姼濉返谑臈l第三款規(guī)定,專業(yè)機構(gòu)在履行合規(guī)審計職責(zé)中獲得的信息,只能用于合規(guī)審計的需要,不得用于其他用途;專業(yè)機構(gòu)應(yīng)當(dāng)對獲得的信息承擔(dān)保密責(zé)任;專業(yè)機構(gòu)應(yīng)當(dāng)采取相應(yīng)技術(shù)措施和其他必要措施,保障數(shù)據(jù)安全。個人信息處理者需要對所處理的個人承擔(dān)個人信息保護責(zé)任和數(shù)據(jù)安全責(zé)任,專業(yè)機構(gòu)作為審計外包機構(gòu),對個人信息處理者承擔(dān)保密責(zé)任和數(shù)據(jù)安全責(zé)任也是應(yīng)有之義。

  第四,專業(yè)機構(gòu)不得惡意干擾正常經(jīng)營活動?!墩髑笠庖姼濉返谑臈l第四款規(guī)定,專業(yè)機構(gòu)在履行合規(guī)審計職責(zé)時不得惡意干擾個人信息處理者的正常經(jīng)營活動。需要注意的是適用條件有“惡意”和“正?!钡那疤?,一方面需要防范個人信息處理者濫用該條款阻礙合規(guī)審計工作的開展,同時也需要防范專業(yè)機構(gòu)在進行審計過程中濫用相應(yīng)的職權(quán)。但是,考慮到專業(yè)機構(gòu)和個人信息處理者在地位上的不對等性,而是否構(gòu)成“惡意”的邊界也并不清晰,因此,對于“惡意”的認定標準,尚需進一步予以明確。

  第五,專業(yè)機構(gòu)的違規(guī)后果?!墩髑笠庖姼濉返谑臈l第五款規(guī)定,專業(yè)機構(gòu)有出具虛假、失實報告等違規(guī)行為的,個人信息處理者及相關(guān)方可向監(jiān)管部門進行投訴,經(jīng)監(jiān)管部門核實的,永久禁止列入推薦目錄。前面幾點提到了專業(yè)機構(gòu)開展合規(guī)審計工作的合規(guī)要求,相對應(yīng)的,這里提到了違反合規(guī)要求的法律后果。需要注意的是,投訴的發(fā)起主體不僅包括個人信息處理者,還包括“相關(guān)方”。同時,這里提到的違規(guī)行為明確列出的是“出具虛假、失實報告”,不難理解這是因為該行為是違反了專業(yè)機構(gòu)在合規(guī)審計工作中的核心要求,雖然明確的后果是剝奪其列入推薦目錄的資格,但可能引發(fā)的進一步后果是個人信息處理者如果選擇該專業(yè)機構(gòu),其合規(guī)審計結(jié)果將不再為監(jiān)管機構(gòu)所接受。而且,由于專業(yè)機構(gòu)類型的不同,其違規(guī)行為還可能觸犯相應(yīng)行業(yè)監(jiān)管規(guī)則、自律規(guī)則,承擔(dān)相應(yīng)不利后果。

五、合規(guī)審計要點

  從《參考要點》的名稱和其第一條規(guī)定可以看出其列出的內(nèi)容不是全部合規(guī)審計要點,但是如果在合規(guī)審計過程未對《參考要點》明確列出的要點進行審查和評價,可能會被視為遺漏,影響合規(guī)審計報告被接受的程度。

  為方便查看要點內(nèi)容,筆者根據(jù)《參考要點》的規(guī)定對審查方面、重點審查事項整理成表格如下。需要注意作為大型互聯(lián)網(wǎng)平臺運營者的個人信息處理者(對應(yīng)《個人信息保護法》第五十八條規(guī)定的“提供重要互聯(lián)網(wǎng)平臺服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的個人信息處理者”)具有特別的合規(guī)義務(wù)。

7870aa26f90f40934d8015667487818d

15fa2d525784ac719f3a822d1b0c17f2

221c765893722b48d9adef8006e0e656

ef14f6cc020148bedf0221b34d6da8ec

ef14f6cc020148bedf0221b34d6da8ec

e7aedf71ac99f583024bf7e99cb06e65

3b1766a898aad282b369b326b125b513



[版權(quán)聲明] 滬ICP備17030485號-1 

滬公網(wǎng)安備 31010402007129號

技術(shù)服務(wù):上海同道信息技術(shù)有限公司   

     技術(shù)電話:400-052-9602(9:00-11:30,13:30-17:30)

 技術(shù)支持郵箱 :12345@homolo.com

上海市律師協(xié)會版權(quán)所有 ?2017-2024