《个人信息保护法》(以下简称《个保法》)于2021年11月1日起正式施行,作为个人信息保护领域的基本法,其全面规定了企业等个人信息处理者的义务及责任,并在三处明确提出合规要求。在此背景下,如何做好合规管理成为当前企业面临的重要挑战。
为助力企业有效开展合规审计工作,在中国内部审计协会、中国银行业协会、中国通信标准化协会互联网医疗健康标准推进委员会的指导下,由中国信息通信研究院云计算与大数据研究所牵头组织,“个人信息保护合规审计推进小组”(以下简称“推进小组”)中来自中国移动、中信银行、大家保险、中移信息、字节跳动、美团、易车、联想、贝壳找房、蚂蚁、世辉律所、小米、网商银行的近20位专家共同编制了《关于推进个人信息保护合规审计的若干建议》(以下简称《若干建议》)并于近日正式发布。
《若干建议》具有以下三大特点。
一是合规性。紧密围绕《个保法》及相关配套规则,提出个人信息保护合规审计总体要求。《个保法》从法律层面规定了个人信息处理活动的合规审计制度。如何将此项要求融入企业现有的个人信息保护合规框架中是企业的当务之急。《若干建议》紧密围绕立法目标和原则,以《个保法》要求为框架,以相关配套规则为补充,进一步明确了个人信息处理者在开展个人信息保护合规审计工作时可重点参考的审计依据,支持企业有效开展个人信息保护工作。
二是专业性。依据审计准则和规范,为个人信息保护合规审计工作提供专业指导。《若干建议》紧密结合《内部审计准则》《内部审计人员职业道德规范》等审计准则和规范,明确了个人信息处理者在开展个人信息保护合规审计工作时应遵循的审计目标、审计原则以及审计人员要求。针对个人信息保护合规审计的特殊性,重点描述了审计计划、审计方案、审计通知、审计实施、沟通与报告五个重要审计程序,推动企业更加专业规范地开展审计工作。
三是全面性。梳理了四大重点审计领域,覆盖个人信息处理活动全生命周期。《若干建议》梳理了个人信息处理者义务合规审计、个人权利实现方式合规审计、个人信息处理活动合规审计、个人信息跨境提供合规审计四大重点审计领域。其中,个人信息处理活动合规审计覆盖了个人信息收集、存储、使用、提供、传输、公开、删除等全生命周期,有助于企业更全面地进行个人信息保护合规审计。(语沐)