近日,國家互聯網信息辦公室發布關于《個人信息保護合規審計管理辦法(征求意見稿)》(以下簡稱《辦法》)及配套的《個人信息保護合規審計參考要點》(以下簡稱《要點》)公開征求意見的通知����。該《辦法》旨在為指導��、規范個人信息保護合規審計活動�����,提高個人信息處理活動合規水平,保護個人信息權益�。
《辦法》共計十六條����,主要是針對《個人信息保護法》第54條和第64條所確定的個人信息保護合規審計機制的細化與補充�����,對合規審計的觸發條件���、開展要點、實施要求等做了明確規定���。
個人信息保護合規審計流程涉及到個人信息處理者、專業機構、履行個人信息保護職責的部門(以下簡稱“監管部門“)三方���,其中專業機構的選取可根據監管部門按照國家網信部門同公安機關等國務院有關部門建立的推薦目錄中進行選擇。
個人信息處理者可根據自身實際情況和需求��,自行或委托專業機構�,按照個人信息合規審計流程開展個人信息合規審計工作����,并根據審計結果及時進行整改��。
《要點》共計三十一條���,列舉了個人信息保護處理活動在組織管理���、全生命周期保護方面等基礎性合規義務的審查事項,協助個人信息處理者的內部組織機構或委托的專業機構在進行個人信息保護合規審計時推進實施����。
不難看出�����,《要點》中相關參考條例與《個人信息保護法》《網絡數據安全管理條例(征求意見稿)》《GB/T 35273-2020 信息安全技術 個人信息安全規范》中相關要求均有對比映射關系����,從不同條款中都與現存的國家法律法規�����、標準要求進行了銜接���,為個人信息保護合規審計國家層面的標準要求落點提供了細化補充與深度擴展�����。
本次發布的《辦法》與《要點》作為個人信息保護領域的實際落點����,填補了《個人信息保護法》有關規范合規審計機制的下位規范空白��,具有里程碑式的意義�。
個人信息保護合規審計不僅僅是一項法定義務���,也是個人信息處理者的自查自糾的重要手段,更是監管部門監督個人信息處理活動和專業機構開展合規審計工作的執行指引��。
