個(gè)人信息保護(hù)合規(guī)審計(jì)，將如何影響你我？

文 | 維辰

個(gè)人信息保護(hù)合規(guī)審計(jì)加速落地。

(資料圖片)

8月3日，中央網(wǎng)信辦就《個(gè)人信息保護(hù)合規(guī)審計(jì)管理辦法（征求意見稿）》及配套的《個(gè)人信息保護(hù)合規(guī)審計(jì)參考要點(diǎn)》公開征求意見，文件對(duì)個(gè)人信息保護(hù)合規(guī)審計(jì)的觸發(fā)條件、審計(jì)基準(zhǔn)等予以細(xì)化?！掇k法》擬規(guī)定，處理超過100萬人個(gè)人信息的個(gè)人信息處理者，應(yīng)當(dāng)每年至少開展一次合規(guī)審計(jì)；其他個(gè)人信息處理者，應(yīng)當(dāng)每?jī)赡曛辽匍_展一次合規(guī)審計(jì)。

信息化時(shí)代，個(gè)人信息保護(hù)已成為廣大人民群眾最關(guān)心最直接最現(xiàn)實(shí)的利益問題之一。2021年11月施行的個(gè)人信息保護(hù)法，明確提出了個(gè)人信息保護(hù)合規(guī)審計(jì)。合規(guī)審計(jì)包括兩種：個(gè)人信息處理者應(yīng)當(dāng)定期對(duì)其處理個(gè)人信息遵守法律、行政法規(guī)的情況進(jìn)行合規(guī)審計(jì)（自主審計(jì)）；履行個(gè)人信息保護(hù)職責(zé)的部門在履行職責(zé)中，發(fā)現(xiàn)個(gè)人信息處理活動(dòng)存在較大風(fēng)險(xiǎn)或者發(fā)生個(gè)人信息安全事件的，可以按照規(guī)定的權(quán)限和程序?qū)υ搨€(gè)人信息處理者的法定代表人或者主要負(fù)責(zé)人進(jìn)行約談，或者要求個(gè)人信息處理者委托專業(yè)機(jī)構(gòu)對(duì)其個(gè)人信息處理活動(dòng)進(jìn)行合規(guī)審計(jì)（監(jiān)管審計(jì)）。

前者是相關(guān)企業(yè)定期、主動(dòng)地進(jìn)行自我審計(jì)，以識(shí)別和控制風(fēng)險(xiǎn)，防止個(gè)人信息保護(hù)違規(guī)行為；后者是監(jiān)管部門發(fā)現(xiàn)了一些風(fēng)險(xiǎn)苗頭，強(qiáng)制性對(duì)相關(guān)企業(yè)開展審計(jì)，并要求其按要求整改。通俗地說，自律和他律雙管齊下。

當(dāng)前，個(gè)人信息保護(hù)法實(shí)施不久，個(gè)人信息保護(hù)合規(guī)審計(jì)還處于探索階段，企業(yè)對(duì)合規(guī)與否、審計(jì)流程的理解判斷不一?！掇k法》和《要點(diǎn)》延續(xù)了自主審計(jì)、監(jiān)管審計(jì)的制度設(shè)計(jì)，在此基礎(chǔ)上還進(jìn)一步明確了重點(diǎn)審查的事項(xiàng)：處理個(gè)人信息是否取得個(gè)人同意；是否符合數(shù)據(jù)出境要求等，既為個(gè)人信息保護(hù)法提供了具體的執(zhí)行細(xì)則，也與《網(wǎng)絡(luò)安全審查辦法》等規(guī)定相呼應(yīng)，將有力督促個(gè)人信息保護(hù)落實(shí)。

《辦法》對(duì)處理超過100萬人個(gè)人信息的大型企業(yè)提出了特別審計(jì)義務(wù)要求，其實(shí)不管是至少一年開展一次、還是兩年開展一次，自主審計(jì)于企業(yè)而言，大有裨益。通過“體檢”，企業(yè)可以及時(shí)找到病灶、對(duì)癥下藥，做到合規(guī)發(fā)展，方能行穩(wěn)致遠(yuǎn)。開展合規(guī)審計(jì)評(píng)估，接受社會(huì)公眾監(jiān)督，也能提高公眾信任度。另外，個(gè)人信息保護(hù)法第69條規(guī)定，“處理個(gè)人信息侵害個(gè)人信息權(quán)益造成損害，個(gè)人信息處理者不能證明自己沒有過錯(cuò)的，應(yīng)當(dāng)承擔(dān)損害賠償?shù)惹謾?quán)責(zé)任”，即必要的時(shí)候，專業(yè)機(jī)構(gòu)的權(quán)威“背書”也能化身為一道“護(hù)身符”。

投訴、新聞報(bào)道曝光、內(nèi)部舉報(bào)或黑灰產(chǎn)線索等，都有可能觸發(fā)監(jiān)管審計(jì)。這也意味著，面對(duì)處于主導(dǎo)地位的企業(yè)，個(gè)人有了更大的聲量，對(duì)違規(guī)處理個(gè)人信息的企業(yè)形成震懾。

可以期待，以合規(guī)審計(jì)督促個(gè)人信息保護(hù)落實(shí)。

【作者】 楊悅

南方評(píng)論

關(guān)鍵詞：

責(zé)任編輯：Rex_03