《管理辦法》五月一日起施行——個人信息保護合規(guī)治理邁出實質(zhì)性一步

科技日報記者 崔爽

近日，國家網(wǎng)信辦公布《個人信息保護合規(guī)審計管理辦法》（以下簡稱《管理辦法》）。該《管理辦法》自2025年5月1日起施行。

國家網(wǎng)信辦有關負責人介紹，《管理辦法》對個人信息保護合規(guī)審計活動的開展、合規(guī)審計機構的選擇、合規(guī)審計的頻次、個人信息處理者和專業(yè)機構在合規(guī)審計中的義務等作出細化規(guī)定，旨在為個人信息處理者開展個人信息保護合規(guī)審計提供系統(tǒng)性、針對性、可操作性的規(guī)范，提升個人信息處理活動合法合規(guī)水平。

“《管理辦法》是對《中華人民共和國個人信息保護法》審計要求的細化落實，為個人信息保護合規(guī)審計活動提供重要依據(jù)，是個人信息保護工作的里程碑?！敝袊W(wǎng)絡空間安全協(xié)會副秘書長杜阿寧表示。

個人信息保護合規(guī)審計是指對個人信息處理者的個人信息處理活動是否符合法律、行政法規(guī)的規(guī)定進行審查和評價的監(jiān)督活動。

《管理辦法》明確了個人信息處理者開展合規(guī)審計的兩種情形。一是個人信息處理者自行開展合規(guī)審計的，應當由個人信息處理者內(nèi)部機構或者委托專業(yè)機構定期對其處理個人信息遵守法律、行政法規(guī)的情況進行合規(guī)審計。處理超過1000萬人個人信息的個人信息處理者，應當每兩年至少開展一次個人信息保護合規(guī)審計。二是履行個人信息保護職責的部門發(fā)現(xiàn)個人信息處理活動存在較大風險、可能侵害眾多個人的權益或者發(fā)生個人信息安全事件的，可以要求個人信息處理者委托專業(yè)機構對個人信息處理活動進行合規(guī)審計。

在國家網(wǎng)信辦數(shù)據(jù)與技術保障中心副主任王志成看來，這體現(xiàn)了政府監(jiān)管和行業(yè)自律二者并重的治理思路，“推動政府監(jiān)管和行業(yè)自律形成合力，是提升數(shù)據(jù)治理能力的現(xiàn)實需要，也是《管理辦法》制定中著重考慮的問題”。

北京航空航天大學法學院副教授趙精武特別提到，為了實現(xiàn)個人信息保護合規(guī)的透明化，《管理辦法》將大型網(wǎng)絡平臺的個人信息保護社會責任報告納入審計事項，形成個人信息保護從落地實施到事后評估監(jiān)督的制度閉環(huán)，也讓公眾能夠更為直觀地了解自己的個人信息究竟如何被處理和安全保護。

“《管理辦法》的出臺是我國個人信息保護領域立法和監(jiān)管體系的重要補充，標志著我國在個人信息保護合規(guī)治理方面邁出了實質(zhì)性的一步?！敝袊嗣翊髮W法學院教授、未來法治研究院副院長丁曉東表示。

丁曉東介紹，合規(guī)審計已經(jīng)成為全球范圍內(nèi)個人信息保護領域的標配，如美國聯(lián)邦貿(mào)易委員會在2010年代便通過行政和解協(xié)議的方式要求谷歌和臉書通過第三方進行隱私審計，歐盟《通用數(shù)據(jù)保護條例》同樣較早引入數(shù)據(jù)保護審計制度。然而，全球范圍內(nèi)對個人信息保護領域?qū)徲嬛贫鹊淖罴褜嵺`尚未獲得共識。在他看來，《管理辦法》首次系統(tǒng)性地構建了個人信息處理活動的合規(guī)審計框架，為個人信息處理者的合規(guī)實踐與監(jiān)管部門的執(zhí)法提供了具體指引，在明確審計的類型與形式、強化審計的獨立性與專業(yè)性、規(guī)范依部門要求開展的審計程序、避免審計對個人信息處理者造成不必要的負擔、建立全面的審計指引等方面給出了“中國方案”。

趙精武同樣認為，《管理辦法》合理設置不同的審計模式，細化個人信息保護合規(guī)審計的重點審查事項等創(chuàng)新之處，均立足于我國個人信息保護制度特點，提供了不同于任何一個國家的“中國答案”。

“《管理辦法》的出臺是我國個人信息保護事業(yè)進程中的重要節(jié)點，必將為提高我國個人信息保護水平、提升我國數(shù)據(jù)安全治理監(jiān)管能力發(fā)揮重要作用?！蓖踔境烧f。