《個(gè)人信息保護(hù)合規(guī)審計(jì)管理辦法》答記者問

近日,，國(guó)家互聯(lián)網(wǎng)信息辦公室公布《個(gè)人信息保護(hù)合規(guī)審計(jì)管理辦法》（以下簡(jiǎn)稱《辦法》）。國(guó)家互聯(lián)網(wǎng)信息辦公室有關(guān)負(fù)責(zé)人就《辦法》相關(guān)問題回答了記者提問。

問1：請(qǐng)介紹一下《辦法》的出臺(tái)背景。

答：當(dāng)前，個(gè)人信息被企業(yè),、機(jī)構(gòu)甚至個(gè)人廣泛收集使用，個(gè)人信息保護(hù)和個(gè)人信息利用的矛盾日益突出,。為壓實(shí)個(gè)人信息處理者個(gè)人信息保護(hù)主體責(zé)任,，加強(qiáng)個(gè)人信息處理活動(dòng)風(fēng)險(xiǎn)控制和監(jiān)督，《中華人民共和國(guó)個(gè)人信息保護(hù)法》《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》對(duì)個(gè)人信息處理者開展合規(guī)審計(jì)作了規(guī)定,。為有效落實(shí)法律法規(guī)要求,，國(guó)家互聯(lián)網(wǎng)信息辦公室制定出臺(tái)《辦法》，對(duì)個(gè)人信息保護(hù)合規(guī)審計(jì)活動(dòng)的開展、合規(guī)審計(jì)機(jī)構(gòu)的選擇,、合規(guī)審計(jì)的頻次,、個(gè)人信息處理者和專業(yè)機(jī)構(gòu)在合規(guī)審計(jì)中的義務(wù)等作出細(xì)化規(guī)定，旨在為個(gè)人信息處理者開展個(gè)人信息保護(hù)合規(guī)審計(jì)提供系統(tǒng)性,、針對(duì)性,、可操作性的規(guī)范，提升個(gè)人信息處理活動(dòng)合法合規(guī)水平,，保護(hù)個(gè)人信息權(quán)益,。

問2：我國(guó)法律法規(guī)中對(duì)個(gè)人信息保護(hù)合規(guī)審計(jì)作了哪些規(guī)定？

答：《中華人民共和國(guó)個(gè)人信息保護(hù)法》第五十四條規(guī)定,，個(gè)人信息處理者應(yīng)當(dāng)定期對(duì)其處理個(gè)人信息遵守法律,、行政法規(guī)的情況進(jìn)行合規(guī)審計(jì)。第六十四條規(guī)定,，履行個(gè)人信息保護(hù)職責(zé)的部門在履行職責(zé)中,，發(fā)現(xiàn)個(gè)人信息處理活動(dòng)存在較大風(fēng)險(xiǎn)或者發(fā)生個(gè)人信息安全事件的，可以按照規(guī)定的權(quán)限和程序?qū)υ搨€(gè)人信息處理者的法定代表人或者主要負(fù)責(zé)人進(jìn)行約談,，或者要求個(gè)人信息處理者委托專業(yè)機(jī)構(gòu)對(duì)其個(gè)人信息處理活動(dòng)進(jìn)行合規(guī)審計(jì),。《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》第二十七條規(guī)定,，網(wǎng)絡(luò)數(shù)據(jù)處理者應(yīng)當(dāng)定期自行或者委托專業(yè)機(jī)構(gòu)對(duì)其處理個(gè)人信息遵守法律,、行政法規(guī)的情況進(jìn)行合規(guī)審計(jì)。以上法律法規(guī)明確了個(gè)人信息保護(hù)合規(guī)審計(jì)的兩種情形：一是個(gè)人信息處理者自行開展合規(guī)審計(jì),。二是按照履行個(gè)人信息保護(hù)職責(zé)的部門要求,，委托專業(yè)機(jī)構(gòu)開展合規(guī)審計(jì)。

問3：《辦法》的主要內(nèi)容是什么,？

答：《辦法》主要對(duì)下列內(nèi)容進(jìn)行了規(guī)定：一是明確個(gè)人信息處理者自行開展合規(guī)審計(jì)和按照履行個(gè)人信息保護(hù)職責(zé)的部門要求委托專業(yè)機(jī)構(gòu)開展合規(guī)審計(jì)的條件,，合規(guī)審計(jì)機(jī)構(gòu)的選擇和合規(guī)審計(jì)的頻次。二是明確開展合規(guī)審計(jì)的個(gè)人信息處理者應(yīng)當(dāng)履行的義務(wù),，規(guī)定個(gè)人信息處理者按照履行個(gè)人信息保護(hù)職責(zé)的部門要求開展合規(guī)審計(jì)的,，應(yīng)當(dāng)為專業(yè)機(jī)構(gòu)正常開展合規(guī)審計(jì)工作提供必要支持并承擔(dān)審計(jì)費(fèi)用，在限定時(shí)間內(nèi)完成合規(guī)審計(jì),，報(bào)送合規(guī)審計(jì)報(bào)告并進(jìn)行整改。三是明確專業(yè)機(jī)構(gòu)在合規(guī)審計(jì)中的義務(wù),，規(guī)定專業(yè)機(jī)構(gòu)應(yīng)當(dāng)具備開展合規(guī)審計(jì)的能力,，遵守法律法規(guī)，明確同一專業(yè)機(jī)構(gòu)及其關(guān)聯(lián)機(jī)構(gòu),、同一合規(guī)審計(jì)負(fù)責(zé)人不得連續(xù)三次以上對(duì)同一審計(jì)對(duì)象開展個(gè)人信息保護(hù)合規(guī)審計(jì),。四是明確履行個(gè)人信息保護(hù)職責(zé)的部門對(duì)個(gè)人信息處理者開展合規(guī)審計(jì)情況進(jìn)行監(jiān)督檢查，任何組織、個(gè)人有權(quán)對(duì)合規(guī)審計(jì)中的違法活動(dòng)向履行個(gè)人信息保護(hù)職責(zé)的部門進(jìn)行投訴,、舉報(bào),，并規(guī)定個(gè)人信息處理者、專業(yè)機(jī)構(gòu)違反《辦法》規(guī)定的法律責(zé)任,。

問4：個(gè)人信息處理者在什么情況下需要開展個(gè)人信息保護(hù)合規(guī)審計(jì),？

答：個(gè)人信息處理者開展個(gè)人信息保護(hù)合規(guī)審計(jì)分兩種情形：一是自行開展合規(guī)審計(jì)，即個(gè)人信息處理者應(yīng)當(dāng)定期對(duì)其處理個(gè)人信息遵守法律,、行政法規(guī)的情況進(jìn)行合規(guī)審計(jì),。處理超過1000萬人個(gè)人信息的個(gè)人信息處理者，應(yīng)當(dāng)每?jī)赡曛辽匍_展一次個(gè)人信息保護(hù)合規(guī)審計(jì),。其他個(gè)人信息處理者根據(jù)自身情況合理確定定期開展個(gè)人信息保護(hù)合規(guī)審計(jì)的頻次,。二是按照要求開展合規(guī)審計(jì)，即履行個(gè)人信息保護(hù)職責(zé)的部門在履行職責(zé)中,，發(fā)現(xiàn)個(gè)人信息處理活動(dòng)存在較大風(fēng)險(xiǎn),、可能侵害眾多個(gè)人的權(quán)益或者發(fā)生個(gè)人信息安全事件的，可以要求個(gè)人信息處理者委托專業(yè)機(jī)構(gòu)對(duì)其個(gè)人信息處理活動(dòng)進(jìn)行合規(guī)審計(jì),。

問5：個(gè)人信息處理者如何選擇合規(guī)審計(jì)機(jī)構(gòu),？

答：個(gè)人信息處理者自行開展合規(guī)審計(jì)時(shí)，可以選擇由內(nèi)部機(jī)構(gòu)自行開展,，也可以委托專業(yè)機(jī)構(gòu)開展,。《辦法》對(duì)采取何種審計(jì)方式,、是否選擇專業(yè)機(jī)構(gòu),，以及選擇哪家專業(yè)機(jī)構(gòu)沒有強(qiáng)制性要求。個(gè)人信息處理活動(dòng)存在較大風(fēng)險(xiǎn),、可能侵害眾多個(gè)人的權(quán)益或者發(fā)生個(gè)人信息安全事件時(shí),，履行個(gè)人信息保護(hù)職責(zé)的部門可以要求個(gè)人信息處理者委托專業(yè)機(jī)構(gòu)開展個(gè)人信息保護(hù)合規(guī)審計(jì)。

問6：《辦法》對(duì)專業(yè)機(jī)構(gòu)提出了哪些要求,？

答：專業(yè)機(jī)構(gòu)接受個(gè)人信息處理者委托開展合規(guī)審計(jì),，應(yīng)當(dāng)公正客觀地作出合規(guī)審計(jì)結(jié)論，提出合規(guī)審計(jì)建議,，其出具的合規(guī)審計(jì)報(bào)告是履行個(gè)人信息保護(hù)職責(zé)的部門開展監(jiān)督管理工作的重要參考,。《辦法》對(duì)專業(yè)機(jī)構(gòu)提出以下要求：一是應(yīng)當(dāng)具備開展個(gè)人信息保護(hù)合規(guī)審計(jì)的能力,，有與服務(wù)相適應(yīng)的審計(jì)人員,、場(chǎng)所、設(shè)施和資金等,。二是應(yīng)當(dāng)遵守法律法規(guī),，誠(chéng)信正直,，公正客觀地作出合規(guī)審計(jì)職業(yè)判斷，對(duì)在履行個(gè)人信息保護(hù)合規(guī)審計(jì)職責(zé)中獲得的個(gè)人信息,、商業(yè)秘密,、保密商務(wù)信息等依法予以保密，不得泄露或者非法向他人提供,，在合規(guī)審計(jì)工作結(jié)束后及時(shí)刪除相關(guān)信息,。三是不得轉(zhuǎn)委托其他機(jī)構(gòu)開展個(gè)人信息保護(hù)合規(guī)審計(jì)。四是同一專業(yè)機(jī)構(gòu)及其關(guān)聯(lián)機(jī)構(gòu),、同一合規(guī)審計(jì)負(fù)責(zé)人不得連續(xù)三次以上對(duì)同一審計(jì)對(duì)象開展個(gè)人信息保護(hù)合規(guī)審計(jì),。

問7：《辦法》如何對(duì)專業(yè)機(jī)構(gòu)進(jìn)行管理？

答：《辦法》遵循自愿性,、市場(chǎng)化的原則,，通過認(rèn)證認(rèn)可方式對(duì)專業(yè)機(jī)構(gòu)進(jìn)行監(jiān)督管理。專業(yè)機(jī)構(gòu)的認(rèn)證按照《中華人民共和國(guó)認(rèn)證認(rèn)可條例》的有關(guān)規(guī)定執(zhí)行,。具備開展個(gè)人信息保護(hù)合規(guī)審計(jì)能力,，有與服務(wù)相適應(yīng)的審計(jì)人員、場(chǎng)所,、設(shè)施和資金的專業(yè)機(jī)構(gòu),，可以自愿申請(qǐng)相關(guān)服務(wù)能力認(rèn)證。

問8：個(gè)人信息處理者按照履行個(gè)人信息保護(hù)職責(zé)的部門要求開展個(gè)人信息保護(hù)合規(guī)審計(jì)時(shí),，應(yīng)當(dāng)履行哪些義務(wù),？

答：《辦法》對(duì)個(gè)人信息處理者按照履行個(gè)人信息保護(hù)職責(zé)的部門要求開展個(gè)人信息保護(hù)合規(guī)審計(jì)提出以下要求：一是保障合規(guī)審計(jì)正常進(jìn)行，為專業(yè)機(jī)構(gòu)正常開展個(gè)人信息保護(hù)合規(guī)審計(jì)工作提供必要支持,，并承擔(dān)審計(jì)費(fèi)用,。二是按照履行個(gè)人信息保護(hù)職責(zé)的部門要求選定專業(yè)機(jī)構(gòu)，在限定時(shí)間內(nèi)完成個(gè)人信息保護(hù)合規(guī)審計(jì),，情況復(fù)雜的,，報(bào)履行個(gè)人信息保護(hù)職責(zé)的部門批準(zhǔn)后，可以適當(dāng)延長(zhǎng),。三是報(bào)送合規(guī)審計(jì)報(bào)告并進(jìn)行整改,，個(gè)人信息處理者在完成合規(guī)審計(jì)后，應(yīng)當(dāng)將專業(yè)機(jī)構(gòu)出具的個(gè)人信息保護(hù)合規(guī)審計(jì)報(bào)告報(bào)送履行個(gè)人信息保護(hù)職責(zé)的部門,，按照履行個(gè)人信息保護(hù)職責(zé)的部門要求對(duì)合規(guī)審計(jì)中發(fā)現(xiàn)的問題進(jìn)行整改,，在整改完成后15個(gè)工作日內(nèi)，向履行個(gè)人信息保護(hù)職責(zé)的部門報(bào)送整改情況報(bào)告,。

問9：個(gè)人信息處理者開展個(gè)人信息保護(hù)合規(guī)審計(jì)如何適用《個(gè)人信息保護(hù)合規(guī)審計(jì)指引》,？

答：《個(gè)人信息保護(hù)合規(guī)審計(jì)指引》對(duì)個(gè)人信息保護(hù)相關(guān)法律、行政法規(guī)的關(guān)鍵要點(diǎn)作了梳理,，從合規(guī)審計(jì)的角度進(jìn)行了細(xì)化,，便于個(gè)人信息處理者對(duì)個(gè)人信息處理活動(dòng)是否遵守法律、行政法規(guī)要求進(jìn)行審查和評(píng)價(jià),。個(gè)人信息處理者自行開展或者按照履行個(gè)人信息保護(hù)職責(zé)的部門要求委托專業(yè)機(jī)構(gòu)開展個(gè)人信息保護(hù)合規(guī)審計(jì),，應(yīng)當(dāng)參照《個(gè)人信息保護(hù)合規(guī)審計(jì)指引》。