企業(yè)開展個人信息保護合規(guī)審計的必要性
信安客 2024-09-09
什么是“合規(guī)審計”?
合規(guī)審計是審計機構(gòu)和審計人員依據(jù)國家法律、法規(guī)和財經(jīng)制度對被審計單位的生產(chǎn)經(jīng)營管理活動及其有關(guān)資料是否合規(guī)所進行的一種經(jīng)濟監(jiān)督活動。
針對個人信息保護的合規(guī)審計,其審計的對象就落在了個人信息處理者的個人信息處理活動。無論是《個人信息保護法》,還是
《個人信息保護合規(guī)審計管理辦法(征求意見稿)》都將合規(guī)審計的對象指向了“個人信息處理活動”,但從實施審計的著眼點和目的來看,對于該“個人信息處理活動”不能僅理解為個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等,還應(yīng)當(dāng)包括個人信息處理者的內(nèi)部管理制度、安全技術(shù)措施、教育培訓(xùn)、負責(zé)人資質(zhì)能力等圍繞個人信息處理活動的制度、管理、人員等因素。
通過上述明確個人信息保護合規(guī)審計的含義及對象,可以清晰地梳理出《征求意見稿》對個人信息處理者在處理個人信息過程中需要保證的制度、管理、技術(shù)、能力等各方面提出的要求?!秱€保法》針對個人信息保護合規(guī)審計規(guī)定了兩種形式,即定期主動審計和應(yīng)監(jiān)管機構(gòu)要求的被動審計,從企業(yè)自身經(jīng)營和風(fēng)險控制的角度,一定不希望在發(fā)現(xiàn)自身個人信息處理活動存在較大風(fēng)險或發(fā)生個人信息安全事件后,監(jiān)管機構(gòu)介入要求強制進行合規(guī)審計。
從企業(yè)自身發(fā)現(xiàn)問題、主動規(guī)避風(fēng)險、維護企業(yè)良好聲譽、提升個人信息保護能力等目的出發(fā),按照規(guī)定定期進行合規(guī)審計就成為了一項重要任務(wù)。