近日，國家互聯(lián)網(wǎng)信息辦公室發(fā)布關(guān)于《個人信息保護合規(guī)審計管理辦法（征求意見稿）》（以下簡稱《辦法》）及配套的《個人信息保護合規(guī)審計參考要點》（以下簡稱《要點》）公開征求意見的通知。該《辦法》旨在為指導(dǎo)、規(guī)范個人信息保護合規(guī)審計活動，提高個人信息處理活動合規(guī)水平，保護個人信息權(quán)益。以下是對《辦法》與《要點》重點內(nèi)容的解讀，以及基于本次發(fā)布的相關(guān)內(nèi)容，安恒信息給出了個人信息處理者組織內(nèi)部建設(shè)個人信息保護體系的幾點建議。

一、《辦法》明確了個人信息保護合規(guī)審計的觸發(fā)條件及審計角色界定

可由個人信息處理者本組織內(nèi)部機構(gòu)或委托專業(yè)機構(gòu)進行

● 處理超過100萬人個人信息的個人信息處理者：每年至少開展一次個人信息保護合規(guī)審計

● 其他個人信息處理者：每二年至少開展一次個人信息保護合規(guī)審計

當(dāng)監(jiān)管部門發(fā)現(xiàn)以下情況，個人信息處理者應(yīng)盡快選定專業(yè)機構(gòu)進行個人信息保護合規(guī)審計

●?個人信息處理活動存在較大風(fēng)險

●?發(fā)生個人信息安全事件

二、《辦法》列舉了開展個人信息保護合規(guī)審計活動中的實施要求

●?實施時限：90個工作日內(nèi)完成，若情況復(fù)雜，可經(jīng)過監(jiān)管部門批準后延長

●?報送要求：針對委托專業(yè)機構(gòu)開展完成的個人信息保護合規(guī)審計活動，應(yīng)及時將出具的報告進行簽字蓋章后，報送至監(jiān)管部門

●?及時整改：針對委托專業(yè)機構(gòu)開展完成的個人信息保護合規(guī)審計活動，應(yīng)及時按照整改建議進行及時整改后，報送至監(jiān)管部門

三、《辦法》規(guī)范了專業(yè)機構(gòu)的執(zhí)行責(zé)任與義務(wù)，并約束了其執(zhí)行原則

●?執(zhí)行限制：連續(xù)為同一審計對象開展個人信息保護合規(guī)審計不得超過三次

●?執(zhí)行原則：誠信正直，公正客觀；不得轉(zhuǎn)包委托第三方；對獲得的信息承擔(dān)保密責(zé)任；不得惡意干擾個人信息處理者的正常經(jīng)營活動；不得有出具虛假、失實報告等違規(guī)行

●?執(zhí)行權(quán)限：專業(yè)機構(gòu)應(yīng)能夠正常行使開展合規(guī)審計工作所必需的權(quán)限，如查閱文件資料、調(diào)研系統(tǒng)活動、檢查設(shè)備設(shè)施、調(diào)取個人信息、訪談相關(guān)人員等

一、依法制定適用于個人信息處理者組織內(nèi)部的個人信息保護合規(guī)基線

在《個人信息保護法》《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例（征求意見稿）》等法律法規(guī)要求企業(yè)定期進行個人信息保護合規(guī)審計之后，本次《辦法》及《要點》從審計方式、審計時限、審計內(nèi)容、審計頻次等多個方面建立了清晰的指導(dǎo)，建議個人信息處理者組織內(nèi)部可以逐一對照構(gòu)建個人信息合規(guī)審計制度。

此外，未來可能會出臺專門的個人信息保護合規(guī)審計國家標準，如國家標準正式出臺，也可以對照國標將個人信息合規(guī)審計制度進一步細化。

盡管《辦法》正式版本的發(fā)布尚需時日，建議個人信息處理者組織內(nèi)部應(yīng)盡早根據(jù)征求意見稿的要求，并結(jié)合自身業(yè)務(wù)與管理體系特點進行優(yōu)先級建設(shè)判定，建立個人信息保護合規(guī)審計工作機制流程，并可以適當(dāng)?shù)乜梢葬槍ι婕皞€人信息業(yè)務(wù)的移動應(yīng)用/APP小程序開展相關(guān)合規(guī)檢查和快速整改。

二、針對個人信息處理者組織內(nèi)部個人信息處理活動的場景定期開展影響評估工作

個人信息的保護建設(shè)往往不止停留于合規(guī)層面，隨著頻繁出現(xiàn)過度收集個人信息、對個人信息進行二次開發(fā)利用以及個人信息交易等嚴重侵犯個人隱私權(quán)益的現(xiàn)象時有發(fā)生，這些事件造成的不良影響將會進一步影響到個人信息處理者組織形象，個人信息安全問題已經(jīng)成為焦點問題。

因此，針對個人信息處理者組織內(nèi)部大量個人信息處理活動和某些特定風(fēng)險場景，應(yīng)在合規(guī)審計前定期開展個人信息影響評估工作，提早發(fā)現(xiàn)個人信息處理者組織在個人信息保護過程中存在的隱患，為組織在個人信息合規(guī)審計活動中的迎審工作提供有力支撐，維護個人信息處理者組織客戶的個人權(quán)益，牢牢守住不發(fā)生安全事件的底線，打破目前暫未開展常態(tài)化個人信息安全影響評估的局面，為個人信息處理者組織后續(xù)明確涉及個人信息保護的重要業(yè)務(wù)場景中找到合適的建設(shè)路徑作為鋪墊。

三、持續(xù)跟進國家立法動態(tài)，推進落實個人信息保護工作長效機制

本次《辦法》與《要點》的許多內(nèi)容均是對國家目前在個人信息保護領(lǐng)域法律法規(guī)的立法回應(yīng)?？偟膩碚f，目前國家在個人信息保護領(lǐng)域不僅明確了個人信息處理者的合規(guī)行為要點，在《個人信息保護法》中更設(shè)置了嚴厲的法律責(zé)任。

其中提到的遭遇暫停業(yè)務(wù)、吊銷許可與執(zhí)照、雙罰制、按照營業(yè)額百分比罰款、負責(zé)人員資格罰等處罰，將可能成為個人信息處理者組織難以承受之重。

建議相關(guān)個人信息處理者組織后續(xù)需要密切跟蹤監(jiān)管執(zhí)法案例，可定期在組織內(nèi)部開展個人信息保護意識培訓(xùn)，根據(jù)個人信息合規(guī)審計自查和個人信息保護影響自評估的工作成果，依據(jù)風(fēng)險事項的輕重緩急進行合規(guī)整改，結(jié)合標準要求和行業(yè)實踐，實現(xiàn)個人信息保護機制在各類系統(tǒng)和業(yè)務(wù)流程中的落地實施，逐步形成具備可操作性的個人信息保護合規(guī)體系。