据“网信中国”微信公众号消息,国家网信办就《个人信息保护合规审计管理办法(征求意见稿)》公开征求意见。其中提出,处理超过100万人个人信息的个人信息处理者,应当每年至少开展一次个人信息保护合规审计;其他个人信息处理者应当每二年至少开展一次个人信息保护合规审计。
《个人信息保护法》自2021年11月施行以来,有关部门监管力度不断加强,公众个人信息保护意识显著提升,相关企业滥用个人信息等问题得到很大改善。不过,违法违规收集使用个人信息现象仍时有发生。今年5月,四川省消保委发布消费者个人信息保护情况调查报告。调查显示,72.24%的受访者表示个人信息曾被泄露。
加强个人信息保护,除了强化法治宣传,厘清个人在个人信息处理活动中的权利,明确个人信息处理者的义务外,合规审计不失为一件预防和控制风险的利器。合规审计,是审计机构和审计人员依据国家法律、法规和财经制度对被审计单位的生产经营管理活动及其有关资料是否合规所进行的一种经济监督活动,目的在于揭露和查处被审计单位的违法、违规行为,促使其经济活动符合国家法律、法规、方针政策及内部控制制度等要求的审计。
《个人信息保护法》第五十四条明确规定:个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。此次,国家网信办发布《个人信息保护合规审计管理办法(征求意见稿)》,就是为了汇聚民智民力,更好地指导、规范个人信息保护合规审计活动。
纵观征求意见稿,一方面对于开展合规审计的条件进行了规定。个人信息处理者每年或每二年定期开展个人信息保护合规审计,有关部门发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,也可以要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。另一方面,制定了个人信息保护合规审计参考要点。除了首先审查“是否取得个人同意”“是否为个人提供便捷的撤回同意的方式”等个人信息处理活动的合法性基础条件,参考要点还对应当重点审查的十七个方面内容提出了具体要求,具有很强的针对性和指导性。
按照《审计法》,审计机关有权要求被审计提供电子数据等资料,被审计单位不得拒绝、拖延、谎报,被审计单位负责人应当对提供资料的及时性、真实性和完整性负责。这意味着个人信息处理者不管是否情愿,其处理个人信息的行为都将被置于审计的“聚光灯”下审视。再者,合规审计并非走走过场,审计机关可以根据审计决定,对违反财经法纪的单位和个人,予以经济制裁。相关责任人需要移送有关主管机关、单位处理、处罚的,审计机关可以依法移送。
事实上,合规审计不仅有助于保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,对相关企业来说也有利于预防和控制风险,提高企业的合规水平,减轻企业的法律风险,增强企业的可持续发展能力。广大个人信息处理者应当正确看待合规审计,定期或按要求委托专业机构对其个人信息处理活动是否遵守法律、行政法规的情况进行审查和评价,以此为契机倒逼自身增强合规意识,依法合规经营。
文/张淳艺
图源/视觉中国
编辑/王涵