《中國監管》網信辦擬要求個人信息處理者每年審計確保合法合規

　　《經濟通通訊社3日專訊》國家網信辦就《個人信息保護合規審計管理辦法(徵求意見稿)》公開徵求意見。其中提出,處理超過100萬人個人信息的個人信息處理者,應當每年至少開展一次個人信息保護合規審計;其他個人信息處理者,應當每兩年至少開展一次個人信息保護合規審計。

　　個人信息保護合規審計應當首先審查個人信息處理活動的合法性基礎條件,重點審查的事項包括:處理個人信息是否取得個人同意,該同意是否在個人信息主體充分知情的前提下自願、明確作出;基於個人同意處理個人信息,個人信息的處理目的、處理方式和處理的個人信息種類發生變更的,是否重新取得個人同意;基於個人同意處理個人信息,是否為個人提供便捷的撤回同意的方式等。

　　專業機構在履行個人信息保護合規審計職責中獲得的信息,只能用於個人信息保護合規審計的需要,不得用於其他用途;專業機構應當對獲得的信息承擔保密責任;專業機構應當採取相應技術措施和其他必要措施,保障數據安全。

　　另外,意見稿提出,國家網信部門會同公安機關等國務院有關部門按照統籌規劃、合理布局、擇優推薦的原則,建立個人信息保護合規審計專業機構推薦目錄,每年組織開展個人信息保護合規審計專業機構評估評價,並根據評估評價情況動態調整該目錄。(sl)