产业研究
位置: 首页  >  产业研究  >  个人信息保护合规审计系列解读(一):中国立法动向与国际实践观察
个人信息保护合规审计系列解读(一):中国立法动向与国际实践观察
2024-05-21 15:22:32 作者:刘能斌、刘境棠 
关键词:个人信息保护 
前言


我国《个人信息保护法》明确企业应当定期或应监管机构要求开展个人信息保护合规审计。个人信息保护合规审计,作为保障企业和组织在处理个人信息时遵守法律法规的重要机制正在逐步落地,成为各方关注的重点。


赛博研究院将围绕“个人信息保护合规审计”进行专题系列解读,通过多角度、多层次的分析,为企业、行业从业人员及公众提供参考。本文将比较国内与国际,分析中、美、欧、英等国家与地区在相关领域立法和实践的异同点。

2023年9月5日,委员会指定Apple为其操作系统 iOS、浏览器 Safari 和 App Store的看门人。同一天,欧盟委员会启动了一项市场调查,以评估苹果的iPadOS尽管没有达到DMA中规定的数量门槛,但是否构成企业用户接触最终用户的重要门户,因此应被指定为看门人。


个人信息保护合规审计的依据

2023年8月3日,国家网信办发布了《个人信息保护合规审计管理办法(征求意见稿)》(简称“《征求意见稿》”),该征求意见稿明确指出,“处理超过100万人个人信息的个人信息处理者,应当每年至少开展一次个人信息保护合规审计;其他个人信息处理者应当每二年至少开展一次个人信息保护合规审计。”此条规定既明确了个人信息处理者开展个人信息保护合规审计的法定义务,同时对于处理规模不同的个人信息处理者区分了开展个人信息保护合规审计的频次

《个人信息保护法》(简称“《个保法》”)第54条、64条对个人信息处理者自行合规审计和监管机构强制要求审计做出了规定。囿于《个保法》篇章结构和篇幅容量限制,个人信息保护合规审计的具体规定已无法通过《个保法》承载,有关个人信息保护合规审计的具体规定办法和审计参考要点有赖于后续行政法规、部门规章、国家标准等的制定予以落实。为指导、规范个人信息保护合规审计活动,提高个人信息处理活动的合规水平,保护个人信息权益,国家网信办起草了《征求意见稿》,旨在细化《个保法》对个人信息保护合规审计的有关要求,以落地该项法律规定。

个人信息保护合规审计的域外观察

在其他国家和地区,一些国家和地区已经有流程相对规范、执行标准相对细致的有关个人信息保护合规审计(数据保护审计)的操作规范或指引,值得我们观察与思考。
1、美国
由于美国为联邦制国家,各州立法司法相对独立,各州针对个人信息保护都有不同的立法,其中针对数据的保护也有不同的审计要求。其中最典型的就是以《加州消费者隐私法(CCPA)》为基础进行修改和拓展的《加州隐私权法案(CPRA)》,该法案对那些处理消费者个人信息并对具备潜在重大风险的企业,应当每年进行一次网络安全审计(Cybersecurity Audit),包括确定审计的范围,并建立一个确保审计彻底和独立的流程,在确定个人信息处理活动何时可能对个人信息安全造成较大风险时,应当考虑企业的规模、复杂性,以及处理活动的性质和范围。法案仅对企业开展网络安全审计工作明确了要求和目标,并未指出具体如何开展网络安全风险审计。
为此,美国政府问责办公室(U.S. Government Accountability Office,简称“GAO”)[1]于2023年9月发布了《网络安全项目审计指南》(Cybersecurity Program Audit Guide)[2]。该指南旨在为网络分析师和审计人员提供一套方法、技术和审计程序,以评估网络安全项目和系统的各个组成部分。其全文共分为六个部分,分别为资产和风险管理、配置管理、身份和访问管理、持续监控和日志记录、事件响应、应急方案与恢复。GAO鼓励美国联邦与其他政府组织使用该指南评估网络安全项目,但其作为推荐性指南,并无强制效力。

2、欧盟
不同于美国,欧盟有较为统一的有关个人信息保护的立法成果和实施标准——《通用数据保护条例》(General Data Protection Regulation,简称“GDPR”)。GDPR是全球数据立法中较早提出“数据保护审计(Data Protection Audit)”要求的。在GDPR中,数据保护审计共在四处出现:

在GDPR的框架下,数据保护审计的作用是评估数据控制者和处理者所进行的个人信息处理活动是否符合GDPR及相关数据保护规定。企业可以通过合规审计证明自身个人信息处理行为的合法合规性,同时监管部门也可以要求企业以审计的方式监督其个人信息处理行为。其中,监管部门强制企业开展数据保护审计的权力,归属于欧盟数据保护监管局(European Data Protection Supervisor,简称“EDPS”)。2021年12月,EDPS针对数据保护审计发布了《EDPS审计指南》(EDPS Audit Guidelines),在该指南中明确了数据保护审计的定义、审计对象、审计启动条件、监管机构权力、审计程序、异议救济、公开性等内容。尽管该指南并不具备强制性,但为欧盟及其成员国开展有关监管活动提供了指引。

    观看完整精彩内容请至:https://mp.weixin.qq.com/s?__biz=MzUzODYyMDIzNw==&mid=2247509200&idx=1&sn=fbe09077aa90d0b45c4978ed45b53b48&chksm=fad61cf2cda195e4cca2a94f94670e42a928981fda641c90b1a9bb74f6f88ff5f3cd05b2b470&token=1823195224&lang=zh_CN#rd
< 上一篇:#
> 下一篇:#