《關于推進個人信息保護合規審計的若干建議》正式發布
為了助力企業有效開展合規審計工作,在中國內部審計協會、中國銀行業協會、中國通信標準化協會互聯網醫療健康標準推進委員會的指導下,由中國信息通信研究院云計算與大數據研究所牽頭組織,“個人信息保護合規審計推進小組”(以下簡稱“推進小組”)中來自中國移動、中信銀行、大家保險、中移信息、字節跳動、美團、易車、聯想、貝殼找房、螞蟻、世輝律所、小米、網商銀行的近20位專家共同編制了《關于推進個人信息保護合規審計的若干建議》(以下簡稱“《若干建議》”)。
在編寫和征求意見過程中,《若干建議》獲得了來自推進小組成員單位、各領域行業專家、內外部專業人士的編寫建議以及指導單位的專業性建議,經過不斷打磨和修訂,現于2021年12月6日正式發布。《若干建議》作為“推進小組”的階段性成果,旨在助力企業有效落實《個人信息保護法》(以下簡稱“《個保法》”)合規審計要求,是企業開展個人信息合規審計的落地實施指南。
《若干建議》具有以下四大特點:
1、合規性:緊密圍繞《個保法》及相關配套規則,提出個人信息保護合規審計總體要求。
《個保法》從法律層面規定了個人信息處理活動的合規審計制度。如何將此項要求融入企業現有的個人信息保護合規框架中是企業面臨的當務之急。《若干建議》緊密圍繞立法目標和原則,以《個保法》要求為框架,以相關配套規則為補充,進一步明確了個人信息處理者在開展個人信息保護合規審計工作中可重點參考的審計依據,支持企業有效開展個人信息保護工作。
2、專業性:依據審計準則和規范,為個人信息保護合規審計工作提供專業指導。
《若干建議》緊密結合《內部審計準則》《內部審計人員職業道德規范》等審計準則和規范,明確了個人信息處理者在開展個人信息保護合規審計時應遵循的審計目標、審計原則以及審計人員要求。針對個人信息保護合規審計特殊性,重點描述了審計計劃、審計方案、審計通知、審計實施、溝通與報告五個重要審計程序,推動企業更加專業規范地開展審計工作。
3、全面性:梳理了四大重點審計領域,覆蓋個人信息處理活動全生命周期。
《若干建議》梳理了個人信息處理者義務合規審計、個人權利實現方式合規審計、個人信息處理活動合規審計、個人信息跨境提供合規審計四大重點審計領域。其中個人信息處理活動合規審計覆蓋了個人信息收集、存儲、使用、提供、傳輸、公開、刪除等全生命周期,有助于企業更全面地進行個人信息保護合規審計。
4、可操作性:識別了60余項主要風險點,并提出可操作的重點審計內容。
《若干建議》充分參考企業良好實踐,梳理和識別了企業開展個人信息保護合規審計工作所面臨的60余項主要風險點,提出了豐富的、有針對性的、可落地的重點審計內容,給予企業可操作的審計指導,推動企業切實可行地逐步落實審計工作。
如想獲取報告,請聯系liangye@caict.ac.cn。
