国外亚洲成av人片在线观看,国产在线www,日韩在线一区二区三区四区,欧美日韩二三区,久久久久久久久久久是多少,亚洲天堂av一区二区三区,在线日韩中文字幕

      2023年8月3日，國家互聯(lián)網(wǎng)信息辦公室（以下簡稱“國家網(wǎng)信辦”）發(fā)布《個人信息保護(hù)合規(guī)審計(jì)管理辦法（征求意見稿）》（以下簡稱《征求意見稿》），向社會公開征求意見。

     區(qū)別于《信息安全技術(shù) 個人信息安全規(guī)范》（以下簡稱《個人信息安全規(guī)范》）規(guī)定的“安全審計(jì)”，個人信息保護(hù)合規(guī)審計(jì)（以下簡稱“合規(guī)審計(jì)”）是2021年11月1日生效的《個人信息保護(hù)法》對于個人信息處理者設(shè)定的合規(guī)義務(wù)，包括第五十四條規(guī)定的個人信息處理者自身應(yīng)當(dāng)履行的定期合規(guī)審計(jì)義務(wù)和第六十四條規(guī)定的基于履行個人信息保護(hù)職責(zé)的部門（以下簡稱“監(jiān)管部門”）要求的專項(xiàng)合規(guī)審計(jì)義務(wù)。

     自《個人信息保護(hù)法》發(fā)布以來，如何履行該法規(guī)定的合規(guī)審計(jì)義務(wù)，以及個人信息矗立著如何確定審計(jì)程序、審計(jì)要點(diǎn)等問題，一直是各界所關(guān)注的問題?！墩髑笠庖姼濉返某雠_表明這一制度即將正式落地，為便于企業(yè)加強(qiáng)對《征求意見稿》重要內(nèi)容的理解，筆者特整理如下五大方面進(jìn)行解讀。

一、合規(guī)審計(jì)的概念

   根據(jù)《征求意見稿》第三條的規(guī)定，合規(guī)審計(jì)是指對個人信息處理者的個人信息處理活動是否遵守法律、行政法規(guī)的情況進(jìn)行審查和評價的監(jiān)督活動。

  從上述規(guī)定可以看出，合規(guī)審計(jì)是一種監(jiān)督活動，包括審查和評價兩個部分，審查和評價的對象是個人信息處理者的個人信息處理活動，審查和評價的標(biāo)準(zhǔn)是法律、行政法規(guī)，評價的結(jié)果應(yīng)當(dāng)體現(xiàn)個人信息處理者是否遵守法律、行政法規(guī)的內(nèi)容。

  作為對比，《個人信息安全規(guī)范》規(guī)定的“安全審計(jì)”，審計(jì)的對象是“個人信息保護(hù)政策、相關(guān)規(guī)程和安全措施”，評價的結(jié)果體現(xiàn)的是對象的“有效性”。合規(guī)審計(jì)的對象內(nèi)涵更豐富，因?yàn)閭€人信息處理活動不僅包括活動本身，還包括為了開展活動而設(shè)置的制度、采用的技術(shù)措施，安全審計(jì)的對象則更為明確和具體。合規(guī)審計(jì)的評價側(cè)重于個人信息處理的“法律符合性”，安全審計(jì)的評價則側(cè)重于個人信息保護(hù)的“有效性”。但兩者并不是涇渭分明的，因?yàn)閺摹墩髑笠庖姼濉犯郊秱€人信息保護(hù)合規(guī)審計(jì)參考要點(diǎn)》（以下簡稱《參考要點(diǎn)》）可以看出，合規(guī)審計(jì)的其中一項(xiàng)參考要點(diǎn)是“個人信息處理者采取的技術(shù)措施的有效性”，也就是對于“法律符合性”的評價還包括了對“有效性”的評價。究其緣由，是因《個人信息保護(hù)法》第五十一條規(guī)定了個人信息處理者應(yīng)“采取相應(yīng)的加密、去標(biāo)識化等安全技術(shù)措施”，從而將技術(shù)措施的實(shí)施作為了一項(xiàng)合規(guī)義務(wù)。

二、合規(guī)審計(jì)的主體和啟動條件

   如前文所述，《個人信息保護(hù)法》第五十四條和第六十四條規(guī)定了兩類合規(guī)審計(jì)的發(fā)起情形?！墩髑笠庖姼濉穭t基于該等規(guī)定進(jìn)行了細(xì)化。

   對于定期合規(guī)審計(jì)義務(wù)，在定期的頻率上作出了細(xì)化，區(qū)分了兩類主體（《征求意見稿》第四條），即：

   對于專項(xiàng)合規(guī)審計(jì)義務(wù)，《征求意見稿》延續(xù)了《個人信息保護(hù)法》第六十四條的規(guī)定，即在監(jiān)管部門發(fā)現(xiàn)個人信息處理活動存在較大風(fēng)險或者發(fā)生個人信息安全事件的，可以要求個人信息處理者委托專業(yè)機(jī)構(gòu)對其個人信息處理活動進(jìn)行合規(guī)審計(jì)（《征求意見稿》第六條）。需要注意的是，根據(jù)《個人信息保護(hù)法》第六十條的規(guī)定，國家網(wǎng)信部門、國務(wù)院有關(guān)部門、縣級以上地方政府有關(guān)部門都屬于監(jiān)管部門，所以可能要求個人信息處理者開展專項(xiàng)合規(guī)審計(jì)的監(jiān)管部門并不是單一部門。

   對于具體開展合規(guī)審計(jì)工作的主體，《征求意見稿》也延續(xù)了《個人信息保護(hù)法》的規(guī)定，即：

   雖然《征求意見稿》與《個人信息保護(hù)法》一樣，沒有明確規(guī)定專業(yè)機(jī)構(gòu)的資質(zhì)或類型，但是設(shè)置了推薦目錄制度，規(guī)定國家網(wǎng)信部門會同公安機(jī)關(guān)等國務(wù)院有關(guān)部門建立個人信息保護(hù)合規(guī)審計(jì)專業(yè)機(jī)構(gòu)推薦目錄，鼓勵個人信息處理者優(yōu)先選擇推薦目錄中的專業(yè)機(jī)構(gòu)開展合規(guī)審計(jì)活動（《征求意見稿》第十三條）。

三、專項(xiàng)合規(guī)審計(jì)要求

   相較于定期合規(guī)審計(jì)，《征求意見稿》對專項(xiàng)合規(guī)審計(jì)作出了更詳細(xì)的要求，包括特定期限、報(bào)告形式、配合義務(wù)、整改義務(wù)等，具體包括：

  第一，專項(xiàng)合規(guī)審計(jì)中選定專業(yè)機(jī)構(gòu)的期限?！墩髑笠庖姼濉返谄邨l規(guī)定，個人信息處理者接到監(jiān)管部門的通知后應(yīng)當(dāng)盡快按照要求選定專業(yè)機(jī)構(gòu)進(jìn)行個人信息保護(hù)合規(guī)審計(jì)。值得注意的是，這里并沒有對“盡快”的期限作出明確規(guī)定，如果制度進(jìn)入執(zhí)行階段，可能需要監(jiān)管部門根據(jù)實(shí)際情況在通知中設(shè)定期限。另外此處的表述方式也提示了監(jiān)管部門是可以作出“要求”的。

   第二，合規(guī)審計(jì)報(bào)告的報(bào)送期限和形式要求?！墩髑笠庖姼濉返谑畻l規(guī)定， 個人信息處理者應(yīng)當(dāng)在實(shí)施必要合規(guī)審計(jì)程序后，及時將專業(yè)機(jī)構(gòu)出具的個人信息保護(hù)合規(guī)審計(jì)報(bào)告報(bào)送監(jiān)管部門。個人信息保護(hù)合規(guī)審計(jì)報(bào)告應(yīng)當(dāng)由合規(guī)審計(jì)負(fù)責(zé)人、專業(yè)機(jī)構(gòu)負(fù)責(zé)人簽字并加蓋專業(yè)機(jī)構(gòu)公章。和第七條類似，這里僅規(guī)定期限為“及時”。另外，對于合規(guī)審計(jì)應(yīng)當(dāng)形成的成果及簽署方式都做出了明確規(guī)定。

   第三，專項(xiàng)合規(guī)審計(jì)的完成期限?！墩髑笠庖姼濉返诰艞l明確規(guī)定了個人信息處理者應(yīng)當(dāng)在90個工作日內(nèi)完成個人信息保護(hù)合規(guī)審計(jì)，但也規(guī)定了調(diào)整程序，即在情況復(fù)雜的前提下，報(bào)經(jīng)監(jiān)管部門批準(zhǔn)后可適當(dāng)延長。這里給予了監(jiān)管部門一定裁量權(quán)限，也可以在一定程度降低因?yàn)闀r間所限對于審計(jì)情況全面性的影響。但是90個工作日的起算時點(diǎn)是通知之日還是選定專業(yè)機(jī)構(gòu)之日，可能有待正式版文件細(xì)化或者通過監(jiān)管部門的通知予以明確。結(jié)合上述規(guī)定，我們傾向于按照通知之日起算。

   第四，個人信息處理者對專業(yè)機(jī)構(gòu)的配合義務(wù)。為降低個人信息處理者作為委托者對于專業(yè)機(jī)構(gòu)的限制，《征求意見稿》第八條明確規(guī)定了個人信息處理者應(yīng)當(dāng)保證專業(yè)機(jī)構(gòu)能夠正常行使下列權(quán)限：

（一）要求提供或者協(xié)助查閱相關(guān)文件或資料；

（二）進(jìn)入個人信息處理活動相關(guān)場所；

（三）觀察場所內(nèi)發(fā)生的個人信息處理活動；

（四）調(diào)查相關(guān)業(yè)務(wù)活動及所依賴的信息系統(tǒng)；

（五）檢查、測試個人信息處理活動相關(guān)設(shè)備設(shè)施；

（六）調(diào)取、查閱個人信息處理活動相關(guān)數(shù)據(jù)或信息；

（七）訪談與個人信息處理活動有關(guān)的人員；

（八）就相關(guān)問題進(jìn)行調(diào)查、質(zhì)詢和取證；

（九）其他開展合規(guī)審計(jì)工作所必需的權(quán)限?！?/span>

  換一個角度理解，上述權(quán)限也可以推導(dǎo)出專業(yè)機(jī)構(gòu)開展合規(guī)審計(jì)工作應(yīng)當(dāng)考慮的審計(jì)方法。

  第五，個人信息處理者的整改義務(wù)?！墩髑笠庖姼濉返谑粭l規(guī)定，個人信息處理者應(yīng)當(dāng)按照專業(yè)機(jī)構(gòu)給出的整改建議進(jìn)行整改，經(jīng)專業(yè)機(jī)構(gòu)復(fù)核后將整改情況報(bào)送監(jiān)管部門。這意味著專項(xiàng)合規(guī)審計(jì)工作中專業(yè)機(jī)構(gòu)的任務(wù)不僅僅包括單純的審查和評價，在發(fā)現(xiàn)合規(guī)問題后還應(yīng)當(dāng)給予企業(yè)整改建議，并對整改情況進(jìn)行復(fù)核。

  關(guān)于整改的期限，按照一般理解和實(shí)踐經(jīng)驗(yàn)，整改建議應(yīng)當(dāng)是在完成合規(guī)審計(jì)報(bào)告時形成的，而整改的時間則根據(jù)整改工作涉及的具體方面不同可能產(chǎn)生巨大差別，如果將整改時間也包含在《征求意見稿》第九條規(guī)定的90個工作日內(nèi)，可能會缺乏可操作性，但是由于第九條亦規(guī)定了完成期限的調(diào)整程序，所以也不排除90個工作日確實(shí)包括了整改期限的可能性。這一點(diǎn)亦有待正式版文件細(xì)化或者通過監(jiān)管部門的通知予以明確。

四、專業(yè)機(jī)構(gòu)工作要求

  《征求意見稿》對專業(yè)機(jī)構(gòu)的合規(guī)審計(jì)工作要求并沒有區(qū)分合規(guī)審計(jì)的類型，目前看來是具有泛用性的，即無論是定期合規(guī)審計(jì)還是專項(xiàng)合規(guī)審計(jì)，專業(yè)機(jī)構(gòu)均需要遵守如下規(guī)范：

  第一，專業(yè)機(jī)構(gòu)的工作原則?！墩髑笠庖姼濉返谑臈l第一款規(guī)定專業(yè)機(jī)構(gòu)應(yīng)當(dāng)誠信正直，公正客觀地作出合規(guī)審計(jì)職業(yè)判斷，第十二條規(guī)定專業(yè)機(jī)構(gòu)保持獨(dú)立性和客觀性，這些均可以作為專業(yè)機(jī)構(gòu)的合規(guī)審計(jì)工作原則。

  同時，第十二條針對如何保持獨(dú)立性和客觀性還作出了細(xì)化的次數(shù)限制，即不得連續(xù)為同一審計(jì)對象開展個人信息保護(hù)合規(guī)審計(jì)超過三次。

  第二，專業(yè)機(jī)構(gòu)不得轉(zhuǎn)包?！墩髑笠庖姼濉返谑臈l第二款規(guī)定，專業(yè)機(jī)構(gòu)不得轉(zhuǎn)包委托第三方開展合規(guī)審計(jì)。該規(guī)定可以理解為對專業(yè)機(jī)構(gòu)獨(dú)立性要求的延伸。

  第三，專業(yè)機(jī)構(gòu)的保密責(zé)任和數(shù)據(jù)安全責(zé)任?！墩髑笠庖姼濉返谑臈l第三款規(guī)定，專業(yè)機(jī)構(gòu)在履行合規(guī)審計(jì)職責(zé)中獲得的信息，只能用于合規(guī)審計(jì)的需要，不得用于其他用途；專業(yè)機(jī)構(gòu)應(yīng)當(dāng)對獲得的信息承擔(dān)保密責(zé)任；專業(yè)機(jī)構(gòu)應(yīng)當(dāng)采取相應(yīng)技術(shù)措施和其他必要措施，保障數(shù)據(jù)安全。個人信息處理者需要對所處理的個人承擔(dān)個人信息保護(hù)責(zé)任和數(shù)據(jù)安全責(zé)任，專業(yè)機(jī)構(gòu)作為審計(jì)外包機(jī)構(gòu)，對個人信息處理者承擔(dān)保密責(zé)任和數(shù)據(jù)安全責(zé)任也是應(yīng)有之義。

  第四，專業(yè)機(jī)構(gòu)不得惡意干擾正常經(jīng)營活動。《征求意見稿》第十四條第四款規(guī)定，專業(yè)機(jī)構(gòu)在履行合規(guī)審計(jì)職責(zé)時不得惡意干擾個人信息處理者的正常經(jīng)營活動。需要注意的是適用條件有“惡意”和“正?！钡那疤?，一方面需要防范個人信息處理者濫用該條款阻礙合規(guī)審計(jì)工作的開展，同時也需要防范專業(yè)機(jī)構(gòu)在進(jìn)行審計(jì)過程中濫用相應(yīng)的職權(quán)。但是，考慮到專業(yè)機(jī)構(gòu)和個人信息處理者在地位上的不對等性，而是否構(gòu)成“惡意”的邊界也并不清晰，因此，對于“惡意”的認(rèn)定標(biāo)準(zhǔn)，尚需進(jìn)一步予以明確。

  第五，專業(yè)機(jī)構(gòu)的違規(guī)后果。《征求意見稿》第十四條第五款規(guī)定，專業(yè)機(jī)構(gòu)有出具虛假、失實(shí)報(bào)告等違規(guī)行為的，個人信息處理者及相關(guān)方可向監(jiān)管部門進(jìn)行投訴，經(jīng)監(jiān)管部門核實(shí)的，永久禁止列入推薦目錄。前面幾點(diǎn)提到了專業(yè)機(jī)構(gòu)開展合規(guī)審計(jì)工作的合規(guī)要求，相對應(yīng)的，這里提到了違反合規(guī)要求的法律后果。需要注意的是，投訴的發(fā)起主體不僅包括個人信息處理者，還包括“相關(guān)方”。同時，這里提到的違規(guī)行為明確列出的是“出具虛假、失實(shí)報(bào)告”，不難理解這是因?yàn)樵撔袨槭沁`反了專業(yè)機(jī)構(gòu)在合規(guī)審計(jì)工作中的核心要求，雖然明確的后果是剝奪其列入推薦目錄的資格，但可能引發(fā)的進(jìn)一步后果是個人信息處理者如果選擇該專業(yè)機(jī)構(gòu)，其合規(guī)審計(jì)結(jié)果將不再為監(jiān)管機(jī)構(gòu)所接受。而且，由于專業(yè)機(jī)構(gòu)類型的不同，其違規(guī)行為還可能觸犯相應(yīng)行業(yè)監(jiān)管規(guī)則、自律規(guī)則，承擔(dān)相應(yīng)不利后果。

五、合規(guī)審計(jì)要點(diǎn)

  從《參考要點(diǎn)》的名稱和其第一條規(guī)定可以看出其列出的內(nèi)容不是全部合規(guī)審計(jì)要點(diǎn)，但是如果在合規(guī)審計(jì)過程未對《參考要點(diǎn)》明確列出的要點(diǎn)進(jìn)行審查和評價，可能會被視為遺漏，影響合規(guī)審計(jì)報(bào)告被接受的程度。

  為方便查看要點(diǎn)內(nèi)容，筆者根據(jù)《參考要點(diǎn)》的規(guī)定對審查方面、重點(diǎn)審查事項(xiàng)整理成表格如下。需要注意作為大型互聯(lián)網(wǎng)平臺運(yùn)營者的個人信息處理者（對應(yīng)《個人信息保護(hù)法》第五十八條規(guī)定的“提供重要互聯(lián)網(wǎng)平臺服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的個人信息處理者”）具有特別的合規(guī)義務(wù)。