中新经纬8月3日电 国家网信办网站3日发布《个人信息保护合规审计管理办法(征求意见稿)》(下称《意见稿》)提出,处理超100万人个人信息的个人信息处理者,应每年至少开展一次个人信息保护合规审计。
《意见稿》称,其他个人信息处理者应当每二年至少开展一次个人信息保护合规审计。
《意见稿》提出,个人信息处理者自行开展个人信息保护合规审计,可根据实际情况,由本组织内部机构或者委托专业机构按照本办法要求开展。
《意见稿》拟规定,个人信息处理者按照履行个人信息保护职责的部门要求委托专业机构开展个人信息保护合规审计的,应当保证专业机构能够正常行使下列权限:
要求提供或者协助查阅相关文件或资料;进入个人信息处理活动相关场所;观察场所内发生的个人信息处理活动;调查相关业务活动及所依赖的信息系统;检查、测试个人信息处理活动相关设备设施;调取、查阅个人信息处理活动相关数据或信息;访谈与个人信息处理活动有关的人员;就相关问题进行调查、质询和取证;其他开展合规审计工作所必需的权限。
《意见稿》还提到,国家网信部门会同公安机关等国务院有关部门按照统筹规划、合理布局、择优推荐的原则建立个人信息保护合规审计专业机构推荐目录,每年组织开展个人信息保护合规审计专业机构评估评价,并根据评估评价情况动态调整个人信息保护合规审计专业机构推荐目录。
鼓励个人信息处理者优先选择推荐目录中的专业机构开展个人信息保护合规审计活动。
此外,专业机构不得转包委托第三方开展个人信息保护合规审计。专业机构有出具虚假、失实报告等违规行为的,个人信息处理者及相关方可向履行个人信息保护职责的部门进行投诉,经履行个人信息保护职责的部门核实的,永久禁止列入个人信息保护合规审计专业机构推荐目录。(中新经纬APP)
楼盘点评
写评论