个人信息保护合规审计加速落地。
8月3日,中央网信办就《个人信息保护合规审计管理办法(征求意见稿)》及配套的《个人信息保护合规审计参考要点》公开征求意见,文件对个人信息保护合规审计的触发条件、审计基准等予以细化。《办法》拟规定,处理超过100万人个人信息的个人信息处理者,应当每年至少开展一次合规审计;其他个人信息处理者,应当每两年至少开展一次合规审计。
信息化时代,个人信息保护已成为广大人民群众最关心最直接最现实的利益问题之一。2021年11月施行的个人信息保护法,明确提出了个人信息保护合规审计。合规审计包括两种:个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计(自主审计);履行个人信息保护职责的部门在履行职责中,发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,可以按照规定的权限和程序对该个人信息处理者的法定代表人或者主要负责人进行约谈,或者要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计(监管审计)。
前者是相关企业定期、主动地进行自我审计,以识别和控制风险,防止个人信息保护违规行为;后者是监管部门发现了一些风险苗头,强制性对相关企业开展审计,并要求其按要求整改。通俗地说,自律和他律双管齐下。
当前,个人信息保护法实施不久,个人信息保护合规审计还处于探索阶段,企业对合规与否、审计流程的理解判断不一。《办法》和《要点》延续了自主审计、监管审计的制度设计,在此基础上还进一步明确了重点审查的事项:处理个人信息是否取得个人同意;是否符合数据出境要求等,既为个人信息保护法提供了具体的执行细则,也与《网络安全审查办法》等规定相呼应,将有力督促个人信息保护落实。
《办法》对处理超过100万人个人信息的大型企业提出了特别审计义务要求,其实不管是至少一年开展一次、还是两年开展一次,自主审计于企业而言,大有裨益。通过“体检”,企业可以及时找到病灶、对症下药,做到合规发展,方能行稳致远。开展合规审计评估,接受社会公众监督,也能提高公众信任度。另外,个人信息保护法第69条规定,“处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任”,即必要的时候,专业机构的权威“背书”也能化身为一道“护身符”。
投诉、新闻报道曝光、内部举报或黑灰产线索等,都有可能触发监管审计。这也意味着,面对处于主导地位的企业,个人有了更大的声量,对违规处理个人信息的企业形成震慑。
可以期待,以合规审计督促个人信息保护落实。