10月20日,据中国信通院消息,“个人信息保护合规审计推进小组”第二批成员单位开放征集。小组近期将加快推进《关于推进个人信息保护合规审计的若干建议》的编制工作,面向成员单位发放调研问卷,收集成员单位在个人信息保护合规审计工作中所面临的挑战和需求。
据了解,9月16日,中国信通院云计算与大数据研究所联合中国内部审计协会、中国银行业协会、中国通信标准化协会移动健康工作组,召开个人信息处理者开展合规审计要求的研讨会。上述单位成立“个人信息保护合规审计推进小组”, 旨在帮助企业提升个人信息合规审计能力建设,推动促进个人信息保护法的落实。
推进小组是一个公益性组织,拟开展的工作包括搭建行业交流平台,解读分析最新政策法规、制定个人信息保护合规审计相关指南与报告、开展个人信息合规审计方法研究、组织个人信息保护合规审计人才培训等。
个人信息保护法明确规定,个人信息处理者应定期对于个人信息保护情况进行合规审计,同时履行个人信息保护职责的部门有权要求其委托专业机构对其个人信息处理活动进行合规审计。
第五十四条:个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。
第六十四条:履行个人信息保护职责的部门在履行职责中,发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,可以按照规定的权限和程序对该个人信息处理者的法定代表人或者主要负责人进行约谈,或者要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。
履行个人信息保护职责的部门在履行职责中,发现违法处理个人信息涉嫌犯罪的,应当及时移送公安机关依法处理。
在北京策略律师事务所执行主任、合伙人庞理鹏看来,个人信息保护法规定了两类审计,一种是作为个人信息处理者常规内控措施的自发性审计,另一种是作为履行个人信息保护职责的部门强制性措施的监督审计。
前者审计的核心内容是个人信息处理者审查自身的管理规定、执行架构、执行程序与法律、行政法规的符合程度,以便有效地识别和控制风险,防止个人数据保护的违规行为。
至于合规审计的频率,个保法所要求的“定期”如何解释,“有待网信部门后续明确。”庞理鹏建议,在未有明确规定及权威解释出来前,对于一般的个人信息处理者,每年应至少开展一次合规审计。
后者审计的核心内容应是围绕所发现的个人信息处理风险或者个人信息安全事件来开展,审计的事项和范围由监管部门确定,可以和个人信息处理者的常规审计相同,也可以更为集中和精干,目的是消除在监管过程中暴露出来的安全风险。
合规审计需要依据的“法律、行政法规”。图自《个人信息保护法下的“合规审计”》,作者系北京市隆安律师事务所上海分所律师苗凯 。
南都·隐私护卫队注意到,9月18日,教育部会同中央网信办、工信部等六部门联合印发通知,就做好现有线上学科类培训机构由备案改为审批工作进行部署。
通知强调,教育移动应用提供者应当建立覆盖个人信息收集、储存、传输、使用等环节的数据保障机制,储存100万人以上个人信息的线上校外培训APP,应通过个人信息保护影响评估、认证或合规审计。
彼时,有从业者咨询上述认证、合规审计如何开展,哪里可以做?
庞理鹏对南都·隐私护卫队表示,目前还没有确定哪个部门有权开展合规审计工作,许多部门都在尝试开展相关工作。
值得注意的是,个人信息保护法即将于11月1日正式实施,就针对该法确立的合规审计制度如何开展合规工作,有律师建议,企业应设置内部的个人信息处理合规审计部门或审计管理员、制定内部合规审计程序和方法、加强合规审计全流程的“痕迹管理”等。
文 / 尤一炜
声明:本文来自隐私护卫队,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。