個(gè)保合規(guī)審計(jì)新規(guī)：審查信息刪除、文件硬盤數(shù)據(jù)銷毀等27類事項(xiàng)

2月14日，國家網(wǎng)信辦公布《個(gè)人信息保護(hù)合規(guī)審計(jì)管理辦法》（下稱《辦法》，并附《個(gè)人信息保護(hù)合規(guī)審計(jì)指引》（下稱《指引》），定于今年5月1日起施行。《辦法》明確了自行開展以及按照相關(guān)保護(hù)部門要求開展個(gè)人信息保護(hù)合規(guī)審計(jì)的兩種情形及要求，并規(guī)定處理超過1000萬人個(gè)人信息的個(gè)人信息處理者，應(yīng)當(dāng)每兩年至少開展一次個(gè)人信息保護(hù)合規(guī)審計(jì)。

首先《辦法》給出定義，個(gè)人信息保護(hù)合規(guī)審計(jì)是指對個(gè)人信息處理者的個(gè)人信息處理活動是否遵守法律、行政法規(guī)的情況進(jìn)行審查和評價(jià)的監(jiān)督活動。

近年來，《個(gè)人信息保護(hù)法》《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》等法律法規(guī)相繼出臺，為個(gè)人信息保護(hù)提供了基本的法律框架與制度設(shè)計(jì)，并對個(gè)人信息處理者開展合規(guī)審計(jì)作出規(guī)定。《辦法》則對前述上位法中的原則性規(guī)定進(jìn)行了細(xì)化與落實(shí)。

《辦法》明確了兩種個(gè)人信息處理者開展合規(guī)審計(jì)的情形。

一是個(gè)人信息處理者自行開展個(gè)人信息保護(hù)合規(guī)審計(jì)的，應(yīng)當(dāng)由個(gè)人信息處理者內(nèi)部機(jī)構(gòu)或者委托專業(yè)機(jī)構(gòu)定期對其處理個(gè)人信息遵守法律、行政法規(guī)的情況進(jìn)行合規(guī)審計(jì)。處理超過1000萬人個(gè)人信息的個(gè)人信息處理者，應(yīng)當(dāng)每兩年至少開展一次個(gè)人信息保護(hù)合規(guī)審計(jì)。處理100萬人以上個(gè)人信息的個(gè)人信息處理者應(yīng)當(dāng)指定個(gè)人信息保護(hù)負(fù)責(zé)人，負(fù)責(zé)個(gè)人信息處理者的個(gè)人信息保護(hù)合規(guī)審計(jì)工作。

二是某些情形下，國家網(wǎng)信部門和其他履行個(gè)人信息保護(hù)職責(zé)的部門，要求個(gè)人信息處理者委托專業(yè)機(jī)構(gòu)對個(gè)人信息處理活動進(jìn)行合規(guī)審計(jì)。值得注意的是，對同一個(gè)人信息安全事件或者風(fēng)險(xiǎn)，不得重復(fù)要求個(gè)人信息處理者委托專業(yè)機(jī)構(gòu)開展個(gè)人信息保護(hù)合規(guī)審計(jì)。　　

具體而言，上述情形包括三種——發(fā)現(xiàn)個(gè)人信息處理活動存在嚴(yán)重影響個(gè)人權(quán)益或者嚴(yán)重缺乏安全措施等較大風(fēng)險(xiǎn)的；個(gè)人信息處理活動可能侵害眾多個(gè)人的權(quán)益的；發(fā)生個(gè)人信息安全事件，導(dǎo)致100萬人以上個(gè)人信息或者10萬人以上敏感個(gè)人信息泄露、篡改、丟失、毀損的。

此外，個(gè)人信息處理者按照保護(hù)部門要求開展個(gè)人信息保護(hù)合規(guī)審計(jì)的，應(yīng)當(dāng)為專業(yè)機(jī)構(gòu)正常開展個(gè)人信息保護(hù)合規(guī)審計(jì)工作提供必要支持，并承擔(dān)審計(jì)費(fèi)用。完成合規(guī)審計(jì)后，其應(yīng)當(dāng)按照保護(hù)部門要求對合規(guī)審計(jì)中發(fā)現(xiàn)的問題進(jìn)行整改。在整改完成后15個(gè)工作日內(nèi)，向保護(hù)部門報(bào)送整改情況報(bào)告。

對于從事合規(guī)審計(jì)活動的專業(yè)機(jī)構(gòu)提出了哪些要求？《辦法》明確，專業(yè)機(jī)構(gòu)應(yīng)當(dāng)公正客觀地作出合規(guī)審計(jì)職業(yè)判斷，對在履行個(gè)人信息保護(hù)合規(guī)審計(jì)職責(zé)中獲得的個(gè)人信息、商業(yè)秘密、保密商務(wù)信息等應(yīng)當(dāng)依法予以保密，在合規(guī)審計(jì)工作結(jié)束后及時(shí)刪除相關(guān)信息；不得轉(zhuǎn)委托其他機(jī)構(gòu)開展個(gè)人信息保護(hù)合規(guī)審計(jì)。需要注意的是，同一專業(yè)機(jī)構(gòu)及其關(guān)聯(lián)機(jī)構(gòu)、同一合規(guī)審計(jì)負(fù)責(zé)人不得連續(xù)三次以上對同一審計(jì)對象開展個(gè)人信息保護(hù)合規(guī)審計(jì)。

附件《指引》細(xì)化了個(gè)人信息保護(hù)合規(guī)審計(jì)的重點(diǎn)審查事項(xiàng)，共包括27個(gè)方面，涉及圖像采集、個(gè)人信息刪除權(quán)保障、自動化決策、敏感信息處理等。

對個(gè)人信息處理者利用自動化決策處理個(gè)人信息進(jìn)行合規(guī)審計(jì)的，應(yīng)審查的內(nèi)容包括自動化決策的透明度，以及自動化決策的結(jié)果是否公平、公正；是否事前告知個(gè)人自動化決策處理個(gè)人信息的種類及可能帶來的影響；向個(gè)人進(jìn)行信息推送、商業(yè)營銷的，是否同時(shí)提供不針對個(gè)人特征的選項(xiàng)；是否采取了有效措施，防止自動化決策根據(jù)消費(fèi)者的偏好、交易習(xí)慣等實(shí)行不合理的差別待遇等。

對個(gè)人信息刪除權(quán)保障情況進(jìn)行合規(guī)審計(jì)，應(yīng)重點(diǎn)審查處理目的是否已實(shí)現(xiàn)、無法實(shí)現(xiàn)或者為實(shí)現(xiàn)處理目的不再必要；個(gè)人信息處理者是否停止提供產(chǎn)品或者服務(wù)，或者個(gè)人是否已注銷賬號；保存期限是否已屆滿；個(gè)人是否撤回同意；個(gè)人信息處理者是否違反法律、行政法規(guī)或者違反約定處理個(gè)人信息等。

近年來，由網(wǎng)絡(luò)暴力引發(fā)的慘劇頻頻上演，抵制這一網(wǎng)絡(luò)頑疾已逐漸成為全民共識，同時(shí)網(wǎng)暴治理領(lǐng)域建章立制的步伐也在加快。針對個(gè)人信息處理者處理已公開的個(gè)人信息進(jìn)行合規(guī)審計(jì)時(shí)，《指引》提出應(yīng)重點(diǎn)審查是否存在利用已公開的個(gè)人信息從事網(wǎng)絡(luò)暴力、傳播網(wǎng)絡(luò)謠言和虛假信息等活動的行為。

另外，《個(gè)人信息保護(hù)法》規(guī)定提供重要互聯(lián)網(wǎng)平臺服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的個(gè)人信息處理者，應(yīng)成立主要由外部成員組成的獨(dú)立機(jī)構(gòu)對個(gè)人信息保護(hù)情況進(jìn)行監(jiān)督，并且定期發(fā)布個(gè)人信息保護(hù)社會責(zé)任報(bào)告。

此次《指引》明確，對符合上述要求個(gè)人信息處理者發(fā)布的社會責(zé)任報(bào)告進(jìn)行合規(guī)審計(jì)時(shí)，應(yīng)當(dāng)重點(diǎn)審查報(bào)告中是否就獨(dú)立監(jiān)督機(jī)構(gòu)的履職情況作出說明等。