成全在线观看免费完整的,成全影视大全免费追剧大全,成全视频高清免费播放电视剧好剧,成全在线观看免费完整,成全在线观看高清全集,成全动漫视频在线观看完整版动画

2025年2月14日，國家互聯網信息辦公室發布《個人信息保護合規審計管理辦法》（以下簡稱《辦法》）?！掇k法》將于2025年5月1日生效，標志著2021年11月1日生效的《個人信息保護法》（以下簡稱《個保法》）第五十四條和第六十四條規定的個人信息保護合規審計（以下簡稱“合規審計”）制度終于迎來落地細則，助力進一步提升我國的個人信息保護水平。

在《個保法》生效并明確提出個人信息處理者的合規審計義務后，眾多企業開始探索建立與實施合規審計機制，亦有企業選擇觀望。2023年8月3日公開的《個人信息保護合規審計管理辦法（征求意見稿）》（以下簡稱《征求意見稿》）一度成為企業合規審計落地的重要參考。如今《辦法》出臺，探索中的企業理應識別不足并加以改進，觀望中的企業則需要開始搭建合規審計機制以滿足合規要求，從而防控合規風險。

數據合規及個人信息保護審計工作是錦天城律師事務所的業務方向之一，積累了豐富的實踐經驗。本文將從如何開展合規審計的角度解讀《辦法》，以期為企業的識別或者搭建工作提供幫助。

合規審計從發起方式上可以分為企業自行開展的定期合規審計和依保護部門要求開展的專項合規審計兩種。定期合規審計是企業應當在一定頻率內反復開展的合規審計，專項合規審計則是保護部門在發現企業存在相關風險或者企業發生了個人信息安全事件時要求企業開展的合規審計。前述《辦法》中有權要求企業開展合規審計的保護部門指國家網信部門和其他履行個人信息保護職責的部門，常見的包括網信辦、公安（網安）以及行業主管部門，例如通信行業的工信部、金融行業的金融監管局等。

對于上述兩種合規審計類型，《辦法》在《個保法》的基礎上對于定期的頻率和保護部門做出要求的情形做出了進一步的細化規定。

如上文列示的《辦法》第三條至第五條的規定，對于不同類型的合規審計，其工作機構要求是存在區別的，內容上保持了與《個保法》的一致性。

對于專業機構具體包括哪些類型，《辦法》并沒有做出明確規定，僅規定“專業機構應當具備開展個人信息保護合規審計的能力，有與服務相適應的審計人員、場所、設施和資金等?！保ǖ谄邨l）

《辦法》未沿用《征求意見稿》中的“合規審計專業機構推薦目錄”的制度設計，而是提及了“鼓勵相關專業機構通過認證”?？梢灶A見，該等認證后續將作為企業選擇專業機構的一項重要參考。

值得注意的是，此處并未說明“認證”的具體名稱。根據《認證認可條例》關于認證的定義，“認證”是指由認證機構證明產品、服務、管理體系符合相關技術規范、相關技術規范的強制性要求或者標準的合格評定活動。因此，可以合理推導出該等認證是指專業機構的合規審計服務符合相關技術規范、相關技術規范的強制性要求或者標準的合格評定活動。而目前與個人信息保護有關的認證是國家市場監督管理總局、國家互聯網信息辦公室決定實施的個人信息保護認證，認證依據是個人信息處理者應當符合GB/T 35273《信息安全技術 個人信息安全規范》的要求；對于開展跨境處理活動的個人信息處理者，還應當符合TC260-PG-20222A《個人信息跨境處理活動安全認證規范》的要求。前述認證依據中的規范、要求或者標準尚未能針對性地覆蓋專業機構開展合規審計的服務能力的相關要求。因此，后續可能會出臺針對合規審計的規范或者明確合規審計的認證依據包含哪些現有規范、標準。[1]同時，須待認證機構根據《認證認可條例》取得關于該等認證領域的批準，專業機構才具有通過認證的可行性。

此外，關于適用主體的例外，《辦法》第十九條規定了國家機關和法律、法規授權的具有管理公共事務職能的組織的個人信息保護合規審計不適用《辦法》。

《辦法》第六條規定，開展合規審計應參照《個人信息保護合規審計指引》。即合規審計的審查內容應當覆蓋如下方面以及重點事項。

除了上述關于審查指引的內容外，《辦法》對專項合規審計、特定個人信息處理者、專業機構提出了相應專門要求。

（一）關于專項合規審計

《辦法》第八條至第十一條規定了企業按照保護部門要求開展專項合規審計應當履行如下義務。

支持：企業應當為專業機構正常開展個人信息保護合規審計工作提供必要支持，并承擔審計費用。

期限：企業應當按照保護部門要求選定專業機構，在限定時間內完成個人信息保護合規審計；情況復雜的，報保護部門批準后，可以適當延長。

報送：合規審計報告應當由專業機構主要負責人、合規審計負責人簽字并加蓋專業機構公章。企業應當將專業機構出具的合規審計報告報送保護部門。

整改：應當按照保護部門要求對合規審計中發現的問題進行整改。在整改完成后15個工作日內，向保護部門報送整改情況報告。

（二）關于特定個人信息處理者

《辦法》第十二條規定了兩類特殊的個人信息處理者的特殊義務，與《個保法》相關制度設計進行了銜接。

《辦法》在《個保法》出臺后首次明確規定指定個人信息保護負責人的門檻是處理100萬人以上個人信息。

（三）關于專業機構

《辦法》第十三條至第十五條規定了專業機構開展合規審計活動的應當符合如下規范。

合規公正：專業機構應當遵守法律法規，誠信正直，公正客觀地作出合規審計職業判斷。

保密：專業機構對在履行個人信息保護合規審計職責中獲得的個人信息、商業秘密、保密商務信息等應當依法予以保密，不得泄露或者非法向他人提供，在合規審計工作結束后及時刪除相關信息。

禁止轉包：專業機構不得轉委托其他機構開展個人信息保護合規審計。

限制連續審計：同一專業機構及其關聯機構、同一合規審計負責人不得連續三次以上對同一審計對象開展個人信息保護合規審計。

相較于《征求意見稿》，《辦法》簡化了關于企業支持義務的規定，不再明確合規審計的原則期限為90個工作日，同時基本保留了報送、整改、專業機構從業規范的相關內容。

《辦法》將于今年5月1日生效。對于已經建立合規審計機制的企業，可以著手識別已生效的內部制度與《辦法》規定是否存在差距，如存在差距可以發起制度修訂流程。對于尚未建立合規審計機制的企業，則宜開始著手建立相應制度。因為合規審計工作涉及業務部門、技術部門、法律部門、合規部門等眾多部門，如希望順利開展，前期現狀摸排、部門間溝通協調都可能花費大量時間，所以建議盡早啟動相關工作。

作為參考，一種較為高效的方法是可以考慮選定一家專業機構，在委托其開展定期合規審計的同時逐步建立與企業相適配的合規審計機制。

合規審計制度是我國個人信息保護工作的一項重要制度設計，有助于個人信息處理者提升個人信息保護意識、防控個人信息風險事件、完善個人信息保護水平，在信息化、網絡化、數字化的進程中有著重要意義，能夠成為數字中國健康、可持續發展的保障基礎之一。

注釋：[1] 吳衛明，《數據合規法律實務》，法律出版社，2022年版。