深度解读-《个人信息保护合规审计管理办法(征求意见稿)》

最新推荐文章于 2024-09-30 20:09:33 发布
最新推荐文章于 2024-09-30 20:09:33 发布
阅读量330 收藏 1
点赞数 1
文章标签: 数据库 网络 人工智能
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yong9ai/article/details/134122292
版权

2023年8月3日,国家互联网信息办公室(国家网信办)发布了《个人信息保护合规审计管理办法》(征求意见稿)下称(“《管理办法》”),并同时发布了《个人信息保护合规审计参考要点》(下称“《参考要点》”),拟对《个保法》五十四条、六十四条的进一步落地提供更为详细的指导措施。

一:个保审计是什么

根据《管理办法》第三条描述:根据是指对个人信息处理者的个人信息处理活动是否遵守法律、行政法规的情况进行审查和评价的监督活动。

在笔者看来,《管理办法》是《个保法》在有关审计工作的五十四条、六十四条基础上,增加进一步的落地指南,目的在于通过明确审计义务的方式,以更加清晰的细则来要求个人信息处理者落实合规审计工作,以达到提高个人信息处理活动合规水平,保护个人信息权益的目的。

二:在什么情况下需要开展个保审计

首先需要区分两种概念,分别是“定期合规审计”以及“专项合规审计”

  • 定期合规审计:所有个人信息处理者都需要遵循开展,根据处理的个人信息规模分为以下2种情况

个人处理者规模

《管理办法》要求的审计频率

开展方式

处理个人信息规模超过100万

每年至少开展一次

组织内部开展/委托第三方开展

其他

每二年至少开展一次

组织内部开展/委托第三方开展
  • 专项合规审计:履行个人信息保护职责的部门在履行职责中,发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,可以要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。
这里的“履行个人信息保护职责的部门”可以参照《个保法》第六十条两款规定,即:

国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。国务院有关部门依照本法和有关法律、行政法规的规定,在各自职责范围内负责个人信息保护和监督管理工作。

县级以上地方人民政府有关部门的个人信息保护和监督管理职责,按照国家有关规定确定。

前两款规定的部门统称为履行个人信息保护职责的部门。

三:开展专项合规审计需要注意什么

相较于定期合规审计,本次《管理办法》对于专项合规审计的要求更为细致,以下是笔者梳理出个人信息处理者需要特别注意的几点事项:

什么时候开始审计

第七条 个人信息处理者按照履行个人信息保护职责的部门要求开展个人信息保护合规审计的,应当在收到通知后 尽快按照要求选定专业机构进行个人信息保护合规审计

这里需要注意的是,《管理办法》 并未详细要求接到通知后多少日内一定要选定专业机构开展审计工作,只用了“尽快”这一描述,并且需要“按照要求”,那么就代表着要么这一时限会在正式办法出台时进行详细约束,要么会在执行过程中,将期限的控制权交由具体的“履行个人信息保护职责的部门”。

什么时候需要完成审计

第九条 个人信息处理者按照履行个人信息保护职责部门要求委托专业机构开展个人信息保护合规审计的,应当在 90个工作日内完成个人信息保护合规审计;情况复杂的,报经履行个人信息保护职责的部门 批准后可适当延长

此条明确约定了第三方审计工作需要在90天内完成,但“报经履行个人信息保护职责的部门批准后可适当延长”的描述,也体现了《管理办法》的灵活性。在笔者看来,本条同样将审计完成的期限约束权力下放至履行个人信息保护职责的部门,结合第七条的类似权利下放描述,在启动专项合规审计时,特别需要注意的是与相关部门保持密切沟通,以争取更多时间来更好配合完成审批工作

审计过程中的配合工作

第八条 个人信息处理者按照履行个人信息保护职责的部门要求委托专业机构开展个人信息保护合规审计的,应当保证专业机构能够正常行使下列权限:

(一)要求提供或者协助查阅相关文件或资料;

(二)进入个人信息处理活动相关场所;

(三)观察场所内发生的个人信息处理活动;

(四)调查相关业务活动及所依赖的信息系统;

(五)检查、测试个人信息处理活动相关设备设施;

(六)调取、查阅个人信息处理活动相关数据或信息;

(七)访谈与个人信息处理活动有关的人员;

(八)就相关问题进行调查、质询和取证;

(九)其他开展合规审计工作所必需的权限。

本条看似是对审计过程中的个人信息处理者配合义务的描述,实际上也是间接给出了审计的主要方式,那么企业可以按照以下几项重点进行准备:

1、历史的数据处理活动清单、PIA评估报告以及相关记录

2、系统清单、设备设施清单

3、企业组织架构、个人信息保护相关制度,并配合进行人员约谈

4、提供系统的操作权限、系统数据的查看权限

审计结果的报送及整改 

第十条 个人信息处理者按照履行个人信息保护职责部门要求委托专业机构开展个人信息保护合规审计的,应当按照本办法要求组织实施个人信息保护合规审计,在实施必要合规审计程序后,及时将专业机构出具的个人信息保护合规审计报告报送履行个人信息保护职责的部门。个人信息保护合规审计报告应当由 合规审计负责人专业机构负责人签字并 加盖专业机构公章
最低0.47元/天 解锁文章
用九智汇
关注
干货 | 数据安全和个人信息保护审计的方法研究
数据派THU
01-17 768
以下内容整理自清华大学《数智安全与标准化》课程大作业期末报告同学的汇报内容。第一部分:概述我们的研究核心是个人信息保护合规审计,具体指个人信息处理活动是否遵守我国相关法律法规的监督性审计。在个保法出台后,我国形成了以内部审计为主,外部强制审计为辅的审计体系。从研究方法上,我们围绕个人信息保护合规审计框架,比较分析国外现有的审计框架和实践,并结合我国数据处理者的应用场景和智能化探索,尝试对个人...
新法!《个人信息保护合规审计管理办法征求意见稿)》解读
bocco的博客
08-10 519
8月3日,依据《中华人民共和国个人信息保护法》等法律法规,国家互联网信息办公室起草了《个人信息保护合规审计管理办法征求意见稿)》(下文简称“办法”),并向社会公开征求意见
个人信息保护合规审计如何做?
oripoint的博客
08-03 1584
国家网信办发布《管理办法》与《要点》,处理超过100万人个人信息个人信息处理者,应当每年至少开展一次个人信息保护合规审计;其他个人信息处理者应当每二年至少开展一次个人信息保护合规审计
中华人民共和国个人信息保护
Hello World
06-27 439
第二十三条 个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。第三十九条 个人信息处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意。第二十条 两个以上的个人信息处理者共同决定个人信息的处理目的和处理方式的,应当约定各自的权利和义务。
解读-网络安全管理制度-手把手教渗透入门教程
程序员三九的博客
08-03 346
导语     2021年11月14日,国家网信办发布了《网络安全数据管理条例》(征求意见稿)(以下简称《条例》),共九章七十五条。     概括来说
企业出海数据合规:GDPR中的个人数据与非个人数据之区分
yong9ai的博客
01-05 1731
GDPR仅适用于个人数据,这意味着非个人数据不在其适用范围内。因此,个人数据的定义是一个至关重要的因素,因为它决定了处理数据的实体是否要遵守该法规对数据控制者规定的各种义务。尽管如此,什么是个人数据仍然是当前数据保护制度中引起争议的主要焦点问题之一。GDPR Recital 26条采取了一种二元分法,区分个人数据和非个人数据,并只将前者纳入其适用范围。但实际生活中,数据的划分并不是静态地存在于两者之间的,对于个人数据在何种情况下通过一系列操作成为匿名数据仍存在争议。
亚信安全深度解读2023年中国网络安全重要政策法规
亚信安全官方账号的博客
01-10 1401
亚信安全深度解读2023年网安领域重要政策法规,全年整体政策态势呈现高密度特征,引起行业高度关注的政策达50 余项。
数据安全之标准-规范-政策-报告 集合收藏
夜未眠风已息
03-12 3694
收集的部分数据安全相关标准、报告、白皮书 集合下载链接
智能网联汽车行业数据合规解决方案(上)
yong9ai的博客
11-17 347
近年来,汽车企业和互联网企业蓬勃发展,加速了车联网、自动驾驶、互联网地图、智能交通技术的升级与革新,世界各国家地区政府对智能网联汽车的大力支持和消费者对出行方式的需求转变,推动了智能网联汽车的研发、生产与普及,商用场景正在不断增加。数据是驱动智能网联汽车发展的重要资产,合理的数据分类分级是妥善管理数据的基础,也是海量数据处理的基础。在此过程中,保证数据的机密性、完整性及可用性,满足安全合规要求的同时,还应特别关注其中涉及不同类别、不同级别数据处理的特殊要求,如重要数据、个人隐私数据等。
甲方企业安全建设之路.pdf
08-10
甲方企业需要依据一系列法律法规,如《网络安全等级保护制度2.0》、《网络安全法》、《数据安全管理办法征求意见稿)》以及《儿童个人信息网络保护规定(征求意见稿)》,将安全建设纳入合规体系。这些法规规定了...
EDPB-关于在联网车辆和移动相关应用中处理个人数据的第01/2020号指南2.0版(全文翻译)
yong9ai的博客
12-05 1021
2021年3月9日,欧盟数据保护委员会发布了《关于在联网车辆和移动相关应用中处理个人数据的第01/2020号指南》2.0版,旨在指导行业参与者合法合规地处理个人数据,保护数据主体的隐私权和其他权利。指南提到,在处理个人数据时,行业参与者应考虑数据类别、处理目的、相关性、默认设计、信息告知、保障权利、法律依据、技术组织措施以及遵守数据保护影响评估要求等方面。同时,指南还提供了五个案例研究以阐述如何合法合规地处理相关个人数据。
等保2.0落地解读与实践分析
AI
03-20 9052
针对等保2.0安全技术和安全管理二部分建设内容,等级保护2.0技术合规要求分析和实践、等级保护2.0安全管理合规要求分析,共计13章节
MySQL之复合查询与内外连接
zdlynj的博客
09-30 485
前面我们讲解的mysql表的查询都是对一张表进行查询,即数据的查询都是在某一时刻对一个表进行操作的。而在实际开发中,我们往往还需要对多个表同时进行查询。我们这里使用的测试表,为雇员信息表(来自Oracle 9i的经典测试表):EMP员工表,DEPT部门表,SALGRADE工资等级表。
k8s搭建一主三从的mysql8集群---无坑
oopxiajun博客专栏
09-27 879
对于构建基于MySQL的大规模、高性能应用来讲,需要使用水平扩展(集群)的数据库架构方式。在MySQL内建的复制功能可以实现,通过为服务器配置一个或多个备库的方式来进行数据同步。同时复制功能不仅有利于构建高性能的应用,也是高可用性、可扩展性、容灾、备份以及数据仓库等工作的基础。复制的基本原理是让一台服务器的数据与其他服务器保持同步。一台主库的数据可以同步到多台备库上,备库本身也可以被配置成另外一台服务器的主库。主库和备库之间可以有多种不同的组合方式。
JPA+Thymeleaf增删改查
y050505的博客
09-25 495
在使用JPA(Java Persistence API)和Thymeleaf作为模板引擎进行Web开发时,实现增删改查(CRUD)操作是一个常见的需求。下面,我将简要介绍如何使用Spring Boot框架结合JPA和Thymeleaf来实现这一功能。
ubuntu22上C/C++程序使用weston+wayland+OpenGLES渲染
Flying_Motor的博客
09-27 343
一,安装依赖软件:sudo apt install zlib1g-dev libssl-dev libgles2-mesa-dev libsystemd-dev libpng-dev libglib2.0-dev libwayland-dev weston libweston-9-dev。
Redis事务
zhzjn的博客
09-30 231
Redis事务可以通过MULTI、EXEC、WATCH和DISCARD指令来实现。1. MULTI指令:表示事务的开始,之后的所有指令都会被逐一记录,但不会立即执行。2. EXEC指令:表示事务的执行,会按照记录的指令逐一执行。3. WATCH指令:可以监视一个或多个键的变化,如果在事务执行期间被其他客户端修改,事务会被回滚。4. DISCARD指令:表示事务的撤销,可以放弃之前记录的指令。
【RocketMQ】RocketMQ应用难点
最新发布
记录一名在读研究生的学习笔记、感悟、开发产物
09-30 559
本文探讨了RocketMQ中消息重复消费的问题及其解决方案,尤其是在CLUSTERING模式下的扩容影响。文章分析了重复消费的原因,如广播模式、负载均衡模式下的多consumerGroup消费、消费者组内的动态变化及网络延迟等,并提出了利用唯一标识进行去重的方法。此外,还讨论了如何选择合适的存储机制以高效处理大量消息标识,如HashMap、MySQL、Redis以及推荐的布隆过滤器等方案。对于防止消息堆积与确保消息不丢失,也给出了相应的策略和技术措施。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

用九智汇

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值