网信办拟细化个人信息保护合规审计,企业需定期做“体检”
8月3日,中央网信办就《个人信息保护合规审计管理办法》(简称《办法》)及配套的《个人信息保护合规审计参考要点》(简称《要点》)公开征求意见。
不少受访专家认为,这是监管机构常态化监管和个人信息处理者自我规制的关键一环。并且,能够有效弥补监管资源的紧张,发挥全面的社会监督的作用,是监管的有效补充。
(资料图片仅供参考)
根据《办法》要求,处理超过100万人个人信息的个人信息处理者,应当每年至少开展一次个人信息保护合规审计;其他个人信息处理者应当每二年至少开展一次个人信息保护合规审计。
也就是说企业均需定期做个人信息保护“体检”。
值得注意的是,配发的《要点》对个人信息处理的各个环节都一一划出了审计重点,比如对个人信息处理规则应重点审计:存储期限的确定方法、到期后的处理方式以及注销账号、撤回同意的途径和方法;告知是否以显著方式、清晰易懂的语言真实、准确、完整地向个人告知个人信息处理规则。
利用自动化决策处理个人信息的,要重点审计是否事前对算法模型进行安全评估,是否事前对算法模型进行科技伦理审查;处理已公开信息的,要审计是否利用已公开的个人信息从事网络暴力活动等。
《办法》和《要点》征求意见稿发布,意味着《个人信息保护法》中规定的个人信息处理者的审计义务将进一步走向落实,将成为法律落实的又一重要抓手。
个保合规审计全覆盖个人信息保护合规审计已经成为国际通行做法。
北京师范大学法学院博士生导师、中国互联网协会研究中心副主任吴沈括深度参与了《办法》的制定工作,他表示,个保合规审计办法本身是贯彻个保法的具体举措,个保法中有关于个保合规审计的专门规定,所以这是法定的制度要求。
“在实务层面,个保合规审计能够有效弥补监管资源的紧张,发挥全面的社会监督的作用,是监管的有效补充。《要点》本身是个保合规审计开展的业务指引和核心要求,作为一个参考性的文件,具有很强的实务指引意义。”吴沈括说。
北京大成律师事务所高级合伙人邓志松认为,采取定期审计,能够对个人信息处理者起到实时监督的作用,以避免一次性审查所导致的后续监督缺位的情况,是常态化监管的重要组成部分。
《办法》细化了《个人信息保护法》中的自我合规评估以及强制合规评估的要求。在《个人信息保护法》中,合规审计包括两种类型,一种是第54条规定的由个人信息处理者发起的自我合规评估,另一种是第64条规定的强制合规评估。
对于自我合规评估,《办法》第四条规定,处理超过100万人个人信息的个人信息处理者,应当每年至少开展一次个人信息保护合规审计;其他个人信息处理者应当每二年至少开展一次个人信息保护合规审计。
吴沈括表示,这两种不同的审计要求将会实现个保合规审计的全面覆盖。“在这个过程当中,拥有100万人以上个人信息的被审计主体需要承担更高的主体责任。未来随着企业主动审计和监管审计职责的开展,个保合规审计将会发挥越来越大的作用,使个人信息保护各项要求内嵌到主体的业务流程当中,成为合规和治理体系的重要组成部分。”
360集团资深法律顾问甘青锋告诉21世纪经济报道记者,从企业角度出发,会更关注定性内容,如对于“处理超过100万人个人信息的个人信息处理者”的理解。对于“处理”“100万人”的认定,之前《网络安全审查办法》《数据出境安全评估办法》中都有相关规定,当时就存在一些争议。数据处理是一个动态过程,认定“处理”以及“100万人”等定义,较为模糊。“实践中,可以参考平台用户数进行判断,但并不意味着所有行业和场景都是以用户数为判断基准。”她表示。
在资深数据法律师袁立志看来,实践中,触碰到100万门槛的企业不在少数。这条规则如果投入实践,意味着很多企业——包括大型平台、中小型科技企业以及许多大型传统企业等都可能面临一年一次的合规审计,即使数据量达不到100万人的个人信息,两年一度的审计也基本无法避免。
合规审计全面覆盖各项个人信息保护义务,有着督促其他各项制度落实的效果,个人信息保护力度提升的另一面,合规成本的全面拉升也几乎是必然结果。“如果按照这一标准严格执行,成本提升极有可能对中小企业的经营带来一定压力。”袁立志直言。
“我呼吁应为中小企业提供相应豁免制度或简易程序。”袁立志表示,以“100万”为基准划定不同的合规义务很可能不适用于商业实践。这样简单的“一刀切”极有可能将过重的合规义务划到中小企业的头上,并不利于市场营商环境。在他看来,未来监管侧可以尝试针对中小企业降低标准、增加豁免的例外情况,比如将业务不依赖大规模数据处理的传统企业排除,或者将处理个人信息量较多但数据类型较少且不敏感的企业排除,或者为符合条件的企业提供简易审计程序,比如鼓励中小企业自行审计,只审计重点合规事项,或者对连续多年无违规的企业降低审计频次。“在规则、标准正式落地前,这些问题应该得到重视和讨论。”
邓志松补充道,根据《办法》,不仅大规模数据的个人信息处理者进行定期合规审计,其他个人信息处理者也同样负有合规审计义务。对于大型企业来说,由于其业务复杂、涉及处理个人信息的场景众多,审计工作又需要各部门之间的协调和配合,如何落实一年一度的合规审计工作还需要进一步摸索;而对于中小企业来说,他们很少有专门人员能够从事此类工作,通常需要依靠委托第三方机构来完成此项要求,从而客观上也会增加运营成本。
从合规与成本的平衡点来看,邓志松建议对个人信息处理者及其审计频率做进一步的细分。他认为,目前草案仅划分“处理超过100万人个人信息的个人信息处理者”和“其他个人信息处理者”有些宽疏,可以结合商业实践做进一步细化,以减轻企业合规负担。
对于强制合规评估,其触发条件就是《办法》规定的:履行个人信息保护职责的部门在履行职责中,发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,可以要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。
算法模型事前审查是重点值得注意的是,与《办法》一同配发的《要点》,共计31条,涵盖了个人信息处理的各个环节,并划出了审计重点,此前个人信息处理中备受关注的单独同意、自动化决策、守门人条款等进行了细化。
“《要点》是个人信息保护合规审计落地的重要参考文件,起到指导实践操作的作用。”邓志松表示,虽然并非规章的正文,但在个人信息保护合规审计过程中,《要点》所列内容需要予以逐一落实,进行审查与说明。
《个人信息保护法》构建以“告知-同意”为核心的个人信息处理规则。但告知的有效性一直是实践中比较棘手的问题,隐私政策的用户友好度普遍不高。此次《要点》要求,重点审查:个人信息处理者在处理个人信息前,是否以显著方式、清晰易懂的语言真实、准确、完整地向个人告知个人信息处理规则;告知文本的大小、字体和颜色是否便于个人完整阅读告知事项等。
《办法》还对共同处理、委托处理、个人信息转移等情形的审查重点做出明确。
自动化决策相关条款设计是《个人信息保护法》的重点。此次《办法》明确,要重点审查:是否事前对算法模型进行安全评估;是否事前对算法模型进行科技伦理审查;是否采取必要措施对算法和参数模型进行保护等。
吴沈括指出,《要点》细化了关于自动化决策的相关合规要求,而在落地过程中,如何实现敏捷、有效、精准审计是一个非常重大的挑战,需要有相应的工具、人力和审计方法相匹配。
邓志松也表示,《要点》第九条的内容实际上是对此前散落于各规定中有关自动化决策规范要求的细化与总结。对于企业来说,要实现这些要求,需要在技术和规范两方面都予以完善。
“企业需要对每个涉及自动化决策的算法和模型予以评估,同时还要确保这些自动化决策过程的合规性和安全性。而无论是制度的建设还是各个环节的技术设计,都会为企业增加更多时间、人力、物力和金钱成本。但同时,数据合规是一个长期而必要的过程,尽管合规制度的建立过程可能是艰难的,一旦合规制度有效运作起来,其后续的合规成本可能会逐步降低。”邓志松说。
人工智能是近期备受关注的热点话题,这些规定是否会对大模型的研究和商用产生影响?
袁立志认为,自动化决策算法审计和大模型应用在这个问题上没有太多重叠部分。自动化决策算法早在“百模大战”前就广泛应用于互联网平台的产品与服务中,此次单列一条要求审计,只是个人信息保护工作推进的正常动作。而针对生成式人工智能技术及大模型商用,袁立志不认为《立法》与《要点》会带来很大影响。“如果产品运行中涉及到对用户个人信息的收集,企业依据规则正常进行合规审计即可。”
是否利用已公开的个人信息从事网暴或被重点审查《个人信息保护法》五十八条创设性提出了“守门人”条款,对大型互联网平台委以特别义务。2022年11月,南财合规科技研究院发布“守门人”个人信息保护社会责任测评报告,测评发现被测评的18家平台合规水准普遍比较高,但仍存独立监督机构有待落地、多数大型平台没出出具独立的个人信息保护企业社会责任报告等问题。
彼时,针对“守门人”条款尚未有具体实施细则,此次《办法》中划出了不少重点,可以作为落实的方向。
《个人信息保护法》要求大型平台应“成立主要由外部成员组成的独立机构对个人信息保护情况进行监督”。但上述测评发现,独立机构在实践中鲜有落地。此次,《要点》对独立机构设置了相关的审查要点:外部成员与个人信息处理者及其主要股东是否存在可能妨碍其进行独立客观判断的关系;评价外部成员的履职能力等。
袁立志则认为,这一条款走向落实,需要解决的问题之一是“大型互联网平台”的定义明确。
2021年年底,市场监督总局《互联网平台分类分级指南(征求意见稿)》(以下简称《分类分级指南》),其中给出了基于用户规模、主营业务、经济体量、限制能力等指标的平台分级标准。不过由于仅为征求意见稿,其效力并不能保证,故也不能确定未来实践中是否基于这份文件提供的标准划分。
上述测评发现,多数平台缺乏独立个人信息保护企业社会责任报告。《要点》中指出,重点审查社会责任报告下列内容的披露情况:个人信息保护组织架构和内部管理情况;个人行使权利的申请受理情况等。
近年来,网暴治理受到社会各界关注。《要点》第十二条也指出,个人信息处理者处理已公开个人信息的,应重点审查的违规行为包括“利用已公开的个人信息从事网络暴力活动”。
吴沈括分析,结合个保法的要求和网暴治理的相关规定,在实际操作层面,已公开个人信息的目录梳理、已公开个人信息的流转路径以及已公开个人信息的投诉举报机制将是非常重要的一些卡点。此外,如何敏捷监测、快速发现相关违规行为,如何实现对已公开个人信息数据链路的管控值得重点关注。
邓志松指出,对于这类审查,一方面,可以从程序上,对个人信息处理的整个环节进行审查,审核其个人信息处理的全流程是否合法合规,是否有环节超出了法律允许的范围处理个人信息。另一方面,需要进行内容识别,审查其个人信息处理者是否有发布或者向他人披露类似内容。此外,还可能需要通过技术手段构建网暴识别模型,并查看该个人信息处理者是否有相关内容的投诉信息。
此外,邓志松认为,由于网络暴力审查更多的是内容层面的审核,相较于程序上的审查,确实更难察觉,未来可能还需通过技术手段的辅助来实现更完整的筛查。
关键词:
相关阅读
-
08-04
-
08-04
-
08-03
-
08-03
-
08-03
-
08-03
-
08-03
-
08-03
-
08-03
-
08-03
-
08-03
-
08-03
-
08-03
-
08-03
-
08-03
-
08-03
-
08-02
-
08-02
-
08-02
-
08-02
-
08-02
-
08-02
-
08-02
-
08-02
-
08-02
-
08-02
-
08-02
-
08-02
-
08-02
-
08-02
-
08-02
-
08-02
-
08-02
-
08-02
-
08-02
-
08-02
-
08-02
-
08-02
-
08-02
-
08-02
推荐阅读
-
网信办拟细化个人信息保护合规审计,企业需定期做
8月3日,中央网信办就《个人信息保护合规审计管理办法》(简称《办法》更多
2023-08-04 06:55:26
-
大棚香椿亩产值和利润(大棚香椿亩产多少斤)
我是小前,我来为大家解答以上问题。大棚香椿亩产值和利润,大棚香椿亩更多
2023-08-04 05:54:01
-
8月3日基金净值:华夏睿阳一年持有混合最新净值0.
8月3日,华夏睿阳一年持有混合最新单位净值为0 9977元,累计净值为0 99更多
2023-08-04 03:04:07
-
lovely歌曲(lovely)
ovely歌曲,lovely这个问题很多朋友还不知道,来为大家解答以上的问题更多
2023-08-04 02:05:25
-
广州黄埔334亿旧改,挂牌出让!央企中建系将接手?
广州黄埔334亿旧改,挂牌出让!央企中建系将接手?,央企,广东,旧改,军更多
2023-08-04 01:12:21
-
套现3亿余元后 虹软科技一股东再抛减持计划
据《每日经济新闻》记者不完全统计,截至8月3日20时,有6家A股上市公司更多
2023-08-03 22:39:56
-
109国道门头沟段应急抢险通道已全线抢通
109国道门头沟段应急抢险通道已全线抢通更多
2023-08-03 21:37:51
-
交通运输部:7月全国城市轨道交通客运量同比增长3
7月份,客运量环比增加2 2亿人次、增长9 2%,同比增加7 1亿人次、增长3更多
2023-08-03 20:55:53
金融热图
-
今日必看
-
精彩话题
-
精彩推送
- 网信办拟细化个人信息保护合规审计,企业需定期做“体检”
- 股票603377:科远股份
- 大棚香椿亩产值和利润(大棚香椿亩产多少斤)
- 化妆品加工贴牌(化妆品加工)
- 8月3日基金净值:华夏睿阳一年持有混合最新净值0.9977,涨0.07%
- 8月3日基金净值:嘉实环保低碳股票最新净值2.681,涨1.02%
- lovely歌曲(lovely)
- 广州黄埔334亿旧改,挂牌出让!央企中建系将接手?
- 深河共建 圳在帮扶 | 消费帮扶助增收,南方电网深圳公司采购连平鹰嘴桃五万余斤
- 套现3亿余元后 虹软科技一股东再抛减持计划
- 裴涩琪小苹果独唱(小苹果mv女主角裴涩琪现场版)
- 解聘高层 实控人姐弟“撕破脸” !
- 109国道门头沟段应急抢险通道已全线抢通
- 上海离婚律师梁聪:房子、车子、孩子归我们,债务归对方!
- 交通运输部:7月全国城市轨道交通客运量同比增长36.4%
- 多部门和单位部署加快推进汽车客运站转型发展
- 琼恩雪诺(关于琼恩雪诺的基本详情介绍)
- 1个月股价跌26%,董事长陆小红套现1亿,光伏牛股怎么了?
- 菲律宾民调机构:二季度全国超十分之一家庭遭遇非自愿性饥饿
- 江苏省苏州市烟草网上订货平台 江苏烟草网上订货平台苏州
- 安装软件乱码win7(安装软件出现乱码)
- 哈尔滨九价疫苗在哪里预约登记
- 三年前“画的饼”何时能实现?百亿碳化硅项目实际已投资不足5亿元,露笑科技收监管函
- 山西一女歌手表演时被男观众拉下舞台摔倒!警方称正在调查中
- 如何确定残疾赔偿金
- 格力电器,央视频燃起美食革命!预制菜“争霸赛”登场!
- 收评:两市午后拉升创指涨1% 证券板块领涨
- 卡普空:对原始袭变成绩满意,将尝试并购其他工作室增强开发
- 在希腊雅典参观文化古迹,我建议购买一张“雅典娜联票”
- (高质量发展调研行)福建三明缘何成为“全国杂交水稻制种第一大市”?
- 【研报掘金】机构:券商板块估值和业绩成长潜力的错配带来配置机会
- 死神来了?委内瑞拉选美皇后车祸身亡,5月曾预言:拍摄我未来的葬礼
- 富信科技:公司深耕半导体热电行业多年,具有全产业链优势,且生产设备大多为国产设备,少量精密设备需进口,暂不存在卡脖子问题
- 广发银行青岛分行全链条推进绿色金融“拔节生长”
- 中东土豪挺进英国楼市!研究:明年来自海湾地区投资将达32亿美元
- 黄金失守1950关口 金价上涨动能不足了
- 五指毛桃的功效与作用(人们常说清北 华五 请问华五指那五所大学)
- 俄媒:俄军方限制刻赤海峡通航
- 塞班手机证书申请(手机证书申请)
- 涿州洪水直抵道路指示牌 蓄滞洪区退水约需1个月
- 中图网深夜发声:预计400多万册书报废,包括绝版老版书!
- 黄河流域生态环境突出问题整改陇西县城区(文峰)污水管网建设项目设计中标公示
- 美图秀秀怎么图片背景透明 美图秀秀图片背景透明
- 河北蓄滞洪区退水大约需一个月 已陆续启用7处蓄滞洪区
- 中国气象局:7月全国降水接近常年 但分布不均
- 大湖股份8月3日快速上涨
- 紫金银行: 感谢您对我行的关心。我行2023年半年报预约披露时间为2023年8月31日
- 东方园林董秘回复:控股股东如有增持事宜,公司会及时履行信息披露义务
- 全球连线 | “中国军医给了我第二次生命”——记中国援埃塞军医专家组的白衣天使
- “踩他身上过去就行,没事的放心” 为这样的“蓝朋友”点赞!