即将于11月1日生效的《个人信息�����;しā返谖迨奶鹾偷诹奶醴直鸸娑烁鋈诵畔⒋碚叩亩ㄆ诤瞎嫔蠹埔逦褚约凹喙芑沟那恐粕蠹浦贫������。此项要求是在立法层面针对个人信息处理者�����;じ鋈诵畔⒁逦穹矫嫣岢龅男乱����,如何理解、落实此项要求����,如何将此项要求融入企业现有的个人信息�����;ず瞎婵蚣苤����,是企业当前面临的问题������。本文将围绕个人信息�����;ず瞎嫔蠹频亩ㄒ濉⒍源讼钜逦褚蟮睦斫狻⑵笠敌枰泻瞎嫔蠹频脑蛞约叭绾谓泻瞎嫔蠹频燃父龇矫孀龀銎缆������。
1.个人信息�����;ず瞎嫔蠹剖鞘裁�������?
个人信息�����;ず瞎嫔蠹剖且陨蟛楸簧蠹浦魈宓母鋈诵畔⒋砘疃欠褡袷匚夜喙氐姆煞ü嫖康慕械募喽叫陨蠹������。
从立法目的来看����,目前我国的个人信息�����;ず瞎嫔蠹埔宰孕猩蠹莆����,以强制审计为补充������。个人信息�����;さ暮瞎嫔蠹剖撬懈鋈诵畔⒋碚叩囊幌钭月尚砸逦����,而监管机构只有在发现个人信息处理活动存在较大风险或者发生个人信息安全事件时����,才要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计������。
《个人信息�����;しā犯莘⒍蠹频闹魈宀煌����,将个人信息�����;ず瞎嫔蠹品治鋈诵畔⒋碚咧鞫械摹岸ㄆ谧孕猩蠹啤焙图喙芑挂蟾鋈诵畔⒋碚呶凶ㄒ祷菇械摹扒恐粕蠹啤������。
个人信息�����;ず瞎嫔蠹频闹饕康氖强刂坪捅苊馄笠导霸惫ひ虼砀鋈诵畔⒉缓瞎����,引发法律责任、受到相关处罚、造成经济或声誉损失以及其他负面影响的可能性������。
2.如何理解《个人信息�����;しā废赂鋈诵畔⒋碚叨ㄆ诮泻瞎嫔蠹频囊逦褚�������?
合法原则是《个人信息�����;しā返囊幌罨驹����,即个人信息处理者应当采取合法的方式处理个人信息������。要确保个人信息处理活动符合法律要求����,除了需要来自外界的他律����,还需要企业的自律����,即个人信息处理者自行采取技术措施、组织措施以及其他必要措施来确保个人信息处理活动符合法律、行政法规的规定������。
我们认为����,《个人信息�����;しā返54条对个人信息处理者定期进行合规审计的规定����,既是在强调法律的他律����,也是强调个人信息处理者的自律����,可以理解为立法者希望通过要求个人信息处理者定期核查自身对个人信息的处理是否符合法律规定的方式����,来落实《个人信息�����;しā废碌暮戏ㄔ������。
3.企业为什么要进行个人信息�����;ず瞎嫔蠹�������?
首先����,从立法层面上看����,我国关于个人信息�����;さ姆煞ü妗⒐娣缎晕募以及部分国家标准都已确立了个人信息�����;ず瞎嫔蠹浦贫������。具体规范包括但不限于:
◆《个人信息�����;しā返谖迨奶酢⒌诹奶�����;
◆《互联网个人信息安全�����;ぶ改稀返4.3.2条�����;
◆《信息安全技术 网络安全等级�����;せ疽蟆罚℅B/T 22239-2019)第8.1.7.2条�����;
◆《信息安全技术 个人信息安全规范》(GB/T 35273-2020)第11.7条������。
其次����,基于执法视角观察����,企业在个人信息�����;ち煊蛎媪僮哦嗤芳喙艿木置����,需要同时面临国家网信部门、国务院有关部门以及县级以上地方人民政府有关部门的监管������。个人信息�����;ず瞎嫔蠹朴兄谄笠祷Χ约喙����,适应多头监管与力度日益加强的日常监管������。
从企业自身对法律的遵守角度来看����,由于个人信息处理者的活动是持续的����,保证个人信息处理活动的合法性也应当是一个持续的动态过程������。随着业务形态的变化、技术的进步、法律要求的更新����,某一阶段个人信息处理活动的合法并不意味着处理活动在任何时期都是合法的����,定期的合规审计会使得个人信息处理者对自身处理活动的合法性进行持续的关注������。
最后����,企业自身具有进行个人信息�����;ず瞎嫔蠹菩枨������。《个人信息�����;しā返诹盘跞妨⒘烁鋈诵畔⑶秩ň婪字����,个人信息处理者的“过错推定”责任规则������。个人信息�����;ず瞎嫔蠹瓶梢宰魑鋈诵畔⒋碚呶薰淼挠辛χぞ����,从而免除严苛的民事责任������。此外����,个人信息�����;ず瞎嫔蠹圃谝欢ǔ潭壬夏芄挥行У陌镏笠当苊庑姓处罚甚至刑事处罚������。
4.企业如何进行个人信息�����;ず瞎嫔蠹�������?
目前����,我国立法对于个人信息�����;ず瞎嫔蠹频纳蠹埔忝挥忻魅返墓娑������。参考国外的成熟实践(如英国信息专员办公室发布的审计指南)����,笔者认为我国的个人信息�����;ど蠹频囊阌Φ卑ǎ
● 一般性或已知风险的个人信息�����;な孪�����;
● 个人信息�����;ふ策与程序�����;
● 个人信息�����;ぶ卫砗臀试鹬�����;
● 工作人员的个人信息�����;づ嘌岛鸵馐�����;
● 个人信息的安全�����;
● 对于个人信息权利的要求�����;
● 个人信息共享�����;
● 个人信息管理记录�����;
● 个人信息�����;び跋炱拦篮头缦展芾������。
对于强制审计活动的流程����,可参见下图������。
相较监管机构发起的强制审计流程����,个人信息处理者自发进行的合规审计在流程上可以参照强制审计并省略部分步骤����,是以制度性的形成定期开展的个人数据�����;ず瞎嫔蠹频墓娣读鞒����,从而更灵活便捷的适应日常的合规管理������。
此外����,个人信息�����;ず瞎嫔蠹圃诼闵蠹苹疃沟亩懒⑿浴⒈C苄浴⒖凸坌院妥ㄒ敌缘纫话阍蛐砸蟮耐����,监管机构发动强制审计还需满足特定要求����,即监管机构“发现个人信息处理活动存在较大风险或者发生个人信息安全事件”������。如何认定风险和识别个人信息安全事件是这一制度适用的关键������。
首先����,是明确认定风险和识别安全事件的信息来源:
▼ 报告的违规行为�����;
▼ 个人信息处理者受到投诉的数量和性质�����;
▼ 个人信息处理者关于个人信息处理的声明以及其他可公开获得的信息�����;
▼ 商业情报�����;
▼ 其他相关的信息������。
其次����,是明确认定风险和识别安全事件的相关因素:
▼ 对于投诉的答复与合规“历史”�����;
▼ 自我报告的违规行为以及确定的补救行动�����;
▼ 沟通过程中是否凸显了对于个人信息�����;さ谋∪趵斫�����;
▼ 关于个人信息�����;さ哪诓靠刂粕骱/或其他信息以及内部或外部审计�����;
▼ 个人信息�����;さ耐度牒屠�����;
▼ 在公众担心隐私可能受到威胁的情况下是否实施新的系统或程序�����;
▼ 正在处理的个人信息的数量和性质�����;
▼ 受认可的相关外部认证的证据�����;
▼ 任何潜在的不合规行为对个人信息�����;さ挠跋������。
最后����,根据获得的信息结合相关因素的识别分析����,监管机构将做出是否要求个人信息处理者接受强制审计的决定������。
个人信息�����;ず瞎嫔蠹剖浅中Vて笠底袷胤梢蟆⑿笠涤Χ约喙艿鞑����,降低企业及员工因个人信息处理不合规引发处罚的风险的重要措施������。由于目前我国立法对于个人信息�����;ず瞎嫔蠹频纳蠹埔忝挥薪衔魅返墓娑����,因此在讨论企业如何进行合规审计时����,参考域外的立法经验是不可或缺的������。企业在参考域外的个人信息�����;は喙厣蠹浦改匣蛑敢����,也应根据自身情况对其中的具体操作流程予以调整������。
公安备案号:44030502000376