近日,国家互联网信息办公室公布《个人信息保护合规审计管理办法》(以下简称《办法》),自2025年5月1日起施行。相较于之前发布的征求意见稿,《办法》正式版坚持了包容审慎、法治规范、市场化管理等原则,适度降低了企业的合规成本。
近期朋友圈疯传的 “个保合规审计管理办法”与个保法、网数条例是什么关系?是新规吗?
在此之前,《中华人民共和国个人信息保护法》、《网络数据安全管理条例》已明确规定,个人信息处理者应当定期开展个人信息保护合规审计。
《办法》则对合规审计活动的开展、合规审计机构的选择、合规审计的频次、个人信息处理者和专业机构在合规审计中的义务等作出细化规定,旨在为个人信息处理者开展个人信息保护合规审计提供系统性、针对性、可操作性的规范,提升个人信息处理活动合法合规水平,保护个人信息权益。
“个保合规审计”是企业必须开展的吗?
个人信息保护合规审计是所有在中国境内处理个人信息的企业应当履行的合规义务。该义务明确规定于《个保法》第54条、第64条和《网络数据安全管理条例》第27条。因此,所有在境内处理个人信息的企业都应定期开展合规审计,以对个人信息保护合规落实情况进行审查、评价和监督。
企业是否必须设置"个保负责人"?
在个保法、网数条例早就有明确规定,如《个人信息保护法》第52条提出了处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人的要求。《办法》正式稿将此数值确定为100万,个人信息保护负责人应当作为个人信息处理者自行实施自主审计中内部机构的成员并负责整体工作,在专业机构负责合规审计时也需要为其提供必要的工作支持,并在合规整改阶段发挥关键作用。《办法》正式稿附件《个人信息保护合规审计指引》侧面规定了个人信息保护负责人的任职条件和职责权限等事项,包括:
1. 个人信息保护负责人应当具有相关的工作经历和专业知识,熟悉个人信息保护相关法律、行政法规;
2. 个人信息保护负责人需具有明确清晰的职责,被赋予充分的权限协调个人信息处理者内部相关部门与人员;
3. 个人信息保护负责人在个人信息处理重大事项决策前应有权提出相关意见和建议;
4. 个人信息保护负责人有权对个人信息处理者内部个人信息处理的不合规操作进行制止和采取必要的纠正措施。
5. 个人信息处理者是否公开个人信息保护负责人的联系方式,并将个人信息保护负责人的姓名、联系方式等报送保护部门。
什么情形下官方会强制要求企业开展“个保合规审计"?
《办法》第5条中有明确规定,监管机关有权在发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。该等情形包括:
1. 发现个人信息处理活动存在严重影响个人权益或者严重缺乏安全措施等较大风险的;
2. 个人信息处理活动可能侵害众多个人的权益的;
3. 发生个人信息安全事件,导致100万人以上个人信息或者10万人以上敏感个人信息泄露、篡改、丢失、毁损的。
没有风险或事件的企业,是不是就可以“接着奏乐接着舞”?
《个保法》第54条及《网络数据安全管理条例》第27条仅要求合规审计应“定期”开展,但未明确具体开展的频率。《办法》根据个人信息处理者的处理活动规模,进一步要求处理超过1000万人个人信息的个人信息处理者,应当每两年至少开展一次个人信息保护合规审计。但对于处理个人信息数量低于1000万人的个人信息处理者,《办法》并未设置强制性的合规审计开展频率的要求。
对此,企业在判断自行开展合规审计的频率时,建议关注和考虑以下事项:
1. “1000万人个人信息”的计算范围。《办法》中并未明确“1000万人个人信息”的计算标准,企业在实际业务场景中可能有不同的数据处理身份,对于企业作为数据处理的受托方时所处理的个人信息规模是否要纳入“1000万人个人信息”的计算范围,有待监管部门的进一步细化。
2. 处理未成年人个人信息的特别审计要求。根据《未成年人网络保护条例》第37条,个人信息处理者应当自行或者委托专业机构每年对其处理未成年人个人信息遵守法律、行政法规的情况进行合规审计,并将审计情况及时报告网信等部门。因此,企业需要结合自身的业务模式和个人信息处理活动,关注触发未成年人个人信息的定期合规审计要求。
3. 对于信息处理规模少于1000万人个人信息的企业,建议企业结合以下因素:自身处理个人信息的规模和敏感程度、数据资产分类分级结果、统一的安全策略执行情况、数据安全风险评估结果、面临的内外监管合规要求等,设置合理的审计计划与进一步完善体系。
企业可以采取哪些安全技术手段去应对《办法》的相关规定与要求?
在《办法》附件《个人信息保护合规审计指引》第 20 条中提及,个人信息处理者应当采取与所处理个人信息规模、类型相适应的安全技术措施,并对个人信息处理者采取的技术措施的有效性进行评价。建议企业可采取的安全技术有:
1. 采取数据加密、脱敏、去标识化等安全技术措施,确保个人信息在数据存储、使用与共享环节下的安全,降低敏感数据泄露风险;
2. 采取访问控制、权限管理等安全技术手段,如通过最小权限原则设置有关人员查阅、复制、传输个人信息等的操作权限,实现分级访问控制,减少个人信息在处理过程中未经授权的访问和滥用风险。
3. 采取日志审计与数据安全风险监测等安全技术,记录并留存个人信息等敏感数据的全链路日志(如访问、修改、删除等行为),部署数据安全风险监测系统,对全域数据资产、数据访问进行全方位的风险监测,实时阻断与预警异常操作行为,降低数据泄露风险。
