近日,國家互聯網信息辦公室公布《個人信息保護合規審計管理辦法》(以下簡稱《辦法》),自2025年5月1日起施行。
國家互聯網信息辦公室有關負責人表示,《中華人民共和國個人信息保護法》《網絡數據安全管理條例》對個人信息處理者開展個人信息保護合規審計作了規定,《辦法》對合規審計活動的開展、合規審計機構的選擇、合規審計的頻次、個人信息處理者和專業機構在合規審計中的義務等作出細化規定,旨在為個人信息處理者開展個人信息保護合規審計提供系統性、針對性、可操作性的規范,提升個人信息處理活動合法合規水平,保護個人信息權益。
《辦法》明確了個人信息處理者開展合規審計的兩種情形。一是個人信息處理者自行開展合規審計的,應當由個人信息處理者內部機構或者委托專業機構定期對其處理個人信息遵守法律、行政法規的情況進行合規審計。處理超過1000萬人個人信息的個人信息處理者,應當每兩年至少開展一次個人信息保護合規審計。二是履行個人信息保護職責的部門發現個人信息處理活動存在較大風險、可能侵害眾多個人的權益或者發生個人信息安全事件的,可以要求個人信息處理者委托專業機構對個人信息處理活動進行合規審計。
《辦法》明確了開展合規審計的個人信息處理者應當履行的義務。規定個人信息處理者按照履行個人信息保護職責的部門要求開展合規審計的,應當為專業機構正常開展合規審計工作提供必要支持并承擔審計費用,在限定時間內完成合規審計,報送合規審計報告并進行整改。
《辦法》明確了專業機構在合規審計中的義務。一是應當具備開展個人信息保護合規審計的能力,有與服務相適應的審計人員、場所、設施和資金等。二是應當遵守法律法規,誠信正直,公正客觀地作出合規審計職業判斷,對履職中知悉的個人信息、商業秘密、保密商務信息等依法予以保密。三是不得轉委托其他機構開展個人信息保護合規審計。四是同一專業機構及其關聯機構、同一合規審計負責人不得連續三次以上對同一審計對象開展個人信息保護合規審計。
《辦法》以附件形式提供了《個人信息保護合規審計指引》,對個人信息保護相關法律、行政法規的關鍵要點作了梳理,從合規審計的角度進行了細化。個人信息處理者自行開展或者按照履行個人信息保護職責的部門要求委托專業機構開展個人信息保護合規審計,應當參照《個人信息保護合規審計指引》。
《辦法》同時對履行個人信息保護職責的部門的監督管理責任和個人信息處理者、專業機構違反《辦法》規定的法律責任等作出了規定。
