品牌 资讯 搭配 材料 时尚 热点 行业 首饰 玉石 行情

网信办拟细化个人信息保护合规审计, 企业需定期做“体检”

2023-08-03 21:45:40 来源:21世纪经济报道

21世纪经济报道记者王俊 冯恋阁 钟雨欣 郑雪 北京、广州报道


(资料图片仅供参考)

8月3日,中央网信办就《个人信息保护合规审计管理办法》(简称《办法》)及配套的《个人信息保护合规审计参考要点》(简称《要点》)公开征求意见。

不少受访专家认为,这是监管机构常态化监管和个人信息处理者自我规制的关键一环。并且,能够有效弥补监管资源的紧张,发挥全面的社会监督的作用,是监管的有效补充。

根据《办法》要求,处理超过100万人个人信息的个人信息处理者,应当每年至少开展一次个人信息保护合规审计;其他个人信息处理者应当每二年至少开展一次个人信息保护合规审计。

也就是说企业均需定期做个人信息保护“体检”。

值得注意的是,配发的《要点》对个人信息处理的各个环节都一一划出了审计重点,比如对个人信息处理规则应重点审计:存储期限的确定方法、到期后的处理方式以及注销账号、撤回同意的途径和方法;告知是否以显著方式、清晰易懂的语言真实、准确、完整地向个人告知个人信息处理规则。

利用自动化决策处理个人信息的,要重点审计是否事前对算法模型进行安全评估,是否事前对算法模型进行科技伦理审查;处理已公开信息的,要审计是否利用已公开的个人信息从事网络暴力活动等。

《办法》和《要点》征求意见稿发布,味着《个人信息保护法》中规定的个人信息处理者的审计义务将进一步走向落实,将成为法律落实的又一重要抓手。

个保合规审计全覆盖

个人信息保护合规审计已经成为国际通行做法。

北京师范大学法学院博士生导师、中国互联网协会研究中心副主任吴沈括深度参与了《办法》的制定工作,他表示,个保合规审计办法本身是贯彻个保法的具体举措,个保法中有关于个保合规审计的专门规定,所以这是法定的制度要求。

“在实务层面,个保合规审计能够有效弥补监管资源的紧张,发挥全面的社会监督的作用,是监管的有效补充。《要点》本身是个保合规审计开展的业务指引和核心要求,作为一个参考性的文件,具有很强的实务指引意义。”吴沈括说。

北京大成律师事务所高级合伙人邓志松认为,采取定期审计,能够对个人信息处理者起到实时监督的作用,以避免一次性审查所导致的后续监督缺位的情况,是常态化监管的重要组成部分。

《办法》细化了《个人信息保护法》中的自我合规评估以及强制合规评估的要求。在《个人信息保护法》中,合规审计包括两种类型,一种是第54条规定的由个人信息处理者发起的自我合规评估,另一种是第64条规定的强制合规评估。

对于自我合规评估,《办法》第四条规定,处理超过100万人个人信息的个人信息处理者,应当每年至少开展一次个人信息保护合规审计;其他个人信息处理者应当每二年至少开展一次个人信息保护合规审计。

吴沈括表示,这两种不同的审计要求将会实现个保合规审计的全面覆盖。“在这个过程当中,拥有100万人以上个人信息的被审计主体需要承担更高的主体责任。未来随着企业主动审计和监管审计职责的开展,个保合规审计将会发挥越来越大的作用,使个人信息保护各项要求内嵌到主体的业务流程当中,成为合规和治理体系的重要组成部分。”

360集团资深法律顾问甘青锋告诉21世纪经济报道记者,从企业角度出发,会更关注定性内容,如对于“处理超过100万人个人信息的个人信息处理者”的理解。对于“处理”“100万人”的认定,之前《网络安全审查办法》、《数据出境安全评估办法》中都有相关规定,当时就存在一些争议。数据处理是一个动态过程,认定“处理”以及“100万人”等定义,较为模糊。“实践中,可以参考平台用户数进行判断,但并不意味着所有行业和场景都是以用户数为判断基准。”她表示。

在资深数据法律师袁立志看来,实践中,触碰到100万门槛的企业不在少数。这条规则如果投入实践,意味着很多企业——包括大型平台、中小型科技企业以及许多大型传统企业等都可能面临一年一次的合规审计,即使数据量达不到100万人的个人信息,两年一度的审计也基本无法避免。

合规审计全面覆盖各项个人信息保护义务,有着督促其他各项制度落实的效果,个人信息保护力度提升的另一面,合规成本的全面拉升也几乎是必然结果。“如果按照这一标准严格执行,成本提升极有可能对中小企业的经营带来一定压力。”袁立志直言。

“我呼吁应为中小企业提供相应豁免制度或简易程序。”袁立志表示,以“100万”为基准划定不同的合规义务很可能不适用于商业实践。这样简单的“一刀切”极有可能将过重的合规义务划到中小企业的头上,并不利于市场营商环境。在他看来,未来监管侧可以尝试针对中小企业降低标准、增加豁免的例外情况,比如将业务不依赖大规模数据处理的传统企业排除,或者将处理个人信息量较多但数据类型较少且不敏感的企业排除,或者为符合条件的企业提供简易审计程序,比如鼓励中小企业自行审计,只审计重点合规事项,或者对连续多年无违规的企业降低审计频次。“在规则、标准正式落地前,这些问题应该得到重视和讨论。”

邓志松补充道,根据《办法》,不仅大规模数据的个人信息处理者进行定期合规审计,其他个人信息处理者也同样负有合规审计义务。对于大型企业来说,由于其业务复杂、涉及处理个人信息的场景众多,审计工作又需要各部门之间的协调和配合,如何落实一年一度的合规审计工作还需要进一步摸索;而对于中小企业来说,他们很少有专门人员能够从事此类工作,通常需要依靠委托第三方机构来完成此项要求,从而客观上也会增加运营成本。

从合规与成本的平衡点来看,邓志松建议对个人信息处理者及其审计频率做进一步的细分。他认为,目前草案仅划分“处理超过100万人个人信息的个人信息处理者”和“其他个人信息处理者”有些宽疏,可以结合商业实践做进一步细化,以减轻企业合规负担。

对于强制合规评估,其触发条件就是《办法》规定的:履行个人信息保护职责的部门在履行职责中,发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,可以要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。

算法模型事前审查是重点

值得注意的是,与《办法》一同配发的《要点》,共计31条,涵盖了个人信息处理的各个环节,并划出了审计重点,此前个人信息处理中备受关注的单独同意、自动化决策、守门人条款等进行了细化。

“《要点》是个人信息保护合规审计落地的重要参考文件,起到指导实践操作的作用。”邓志松表示,虽然并非规章的正文,但在个人信息保护合规审计过程中,《要点》所列内容需要予以逐一落实,进行审查与说明。

《个人信息保护法》构建以“告知-同意”为核心的个人信息处理规则。但告知的有效性一直是实践中比较棘手的问题,隐私政策的用户友好度普遍不高。此次《要点》要求,重点审查:个人信息处理者在处理个人信息前,是否以显著方式、清晰易懂的语言真实、准确、完整地向个人告知个人信息处理规则;告知文本的大小、字体和颜色是否便于个人完整阅读告知事项等。

《办法》还对共同处理、委托处理、个人信息转移等情形的审查重点做出明确。

自动化决策相关条款设计是《个人信息保护法》的重点。此次《办法》明确,要重点审查:是否事前对算法模型进行安全评估;是否事前对算法模型进行科技伦理审查;是否采取必要措施对算法和参数模型进行保护等。

吴沈括指出,《要点》细化了关于自动化决策的相关合规要求,而在落地过程中,如何实现敏捷、有效、精准审计是一个非常重大的挑战,需要有相应的工具、人力和审计方法相匹配。

邓志松也表示,《要点》第九条的内容实际上是对此前散落于各规定中有关自动化决策规范要求的细化与总结。对于企业来说,要实现这些要求,需要在技术和规范两方面都予以完善。

企业需要对每个涉及自动化决策的算法和模型予以评估,同时还要确保这些自动化决策过程的合规性和安全性。而无论是制度的建设还是各个环节的技术设计,都会为企业增加更多时间、人力、物力和金钱成本。但同时,数据合规是一个长期而必要的过程,尽管合规制度的建立过程可能是艰难的,一旦合规制度有效运作起来,其后续的合规成本可能会逐步降低。”邓志松说。

人工智能是近期备受关注的热点话题,这些规定是否会对大模型的研究和商用产生影响?

袁立志认为,自动化决策算法审计和大模型应用在这个问题上没有太多重叠部分。自动化决策算法早在“百模大战”前就广泛应用于互联网平台的产品与服务中,此次单列一条要求审计,只是个人信息保护工作推进的正常动作。而针对生成式人工智能技术及大模型商用,袁立志不认为《立法》与《要点》会带来很大影响。“如果产品运行中涉及到对用户个人信息的收集,企业依据规则正常进行合规审计即可。”

是否利用已公开的个人信息从事网暴或被重点审查

《个人信息保护法》五十八条创设性提出了“守门人”条款,对大型互联网平台委以特别义务。2022年11月,南财合规科技研究院发布“守门人”个人信息保护社会责任测评报告,测评发现被测评的18家平台合规水准普遍比较高,但仍存独立监督机构有待落地、多数大型平台没出出具独立的个人信息保护企业社会责任报告等问题。

彼时,针对“守门人”条款尚未有具体实施细则,此次《办法》中划出了不少重点,可以作为落实的方向。

《个人信息保护法》要求大型平台应“成立主要由外部成员组成的独立机构对个人信息保护情况进行监督”。但上述测评发现,独立机构在实践中鲜有落地。此次,《要点》对独立机构设置了相关的审查要点:外部成员与个人信息处理者及其主要股东是否存在可能妨碍其进行独立客观判断的关系;评价外部成员的履职能力等。

袁立志则认为,这一条款走向落实,需要解决的问题之一是“大型互联网平台”的定义明确。

2021年年底,市场监督总局《互联网平台分类分级指南(征求意见稿)》(以下简称《分类分级指南》),其中给出了基于用户规模、主营业务、经济体量、限制能力等指标的平台分级标准。不过由于仅为征求意见稿,其效力并不能保证,故也不能确定未来实践中是否基于这份文件提供的标准划分。

上述测评发现,多数平台缺乏独立个人信息保护企业社会责任报告。《要点》中指出,重点审查社会责任报告下列内容的披露情况:个人信息保护组织架构和内部管理情况;个人行使权利的申请受理情况等。

近年来,网暴治理受到社会各界关注。《要点》第十二条也指出,个人信息处理者处理已公开个人信息的,应重点审查的违规行为包括“利用已公开的个人信息从事网络暴力活动”。

吴沈括分析,结合个保法的要求和网暴治理的相关规定,在实际操作层面,已公开个人信息的目录梳理、已公开个人信息的流转路径以及已公开个人信息的投诉举报机制将是非常重要的一些卡点。此外,如何敏捷监测、快速发现相关违规行为,如何实现对已公开个人信息数据链路的管控值得重点关注。

邓志松指出,对于这类审查,一方面,可以从程序上,对个人信息处理的整个环节进行审查,审核其个人信息处理的全流程是否合法合规,是否有环节超出了法律允许的范围处理个人信息。另一方面,需要进行内容识别,审查其个人信息处理者是否有发布或者向他人披露类似内容。此外,还可能需要通过技术手段构建网暴识别模型,并查看该个人信息处理者是否有相关内容的投诉信息。

此外,邓志松认为,由于网络暴力审查更多的是内容层面的审核,相较于程序上的审查,确实更难察觉,未来可能还需通过技术手段的辅助来实现更完整的筛查。

标签:

相关文章

网信办拟细化个人信息保护合规审计, 企业需定期做“体检”

​21世纪经济报道记者王俊冯恋阁钟雨欣郑雪北京、广州报道8月3日,中央网

2023-08-03 21:45:40

微博:297个违规用户因诋毁英烈、侮辱蓝天救援队遇难队员被处置

​8月3日,据微博管理员:每个时代都有为国家、为人民做出牺牲和贡献的英

2023-08-03 20:39:41

知乎-W(02390)8月2日回购9.03万股股份

​智通财经APP讯,知乎-W(02390)公布,2023年8月2日耗资约20 74万美元回

2023-08-03 20:00:10

今年西部陆海新通道海铁联运班列开行量有望突破9000列

​在2022年西部陆海新通道海铁联运班列突破8820列的基础上,广西力争今年

2023-08-03 19:08:04

分手总在下雨天歌词 下雨天歌词

​1、歌曲:下雨天所属专辑:《优の良曲南搞小孩》歌曲时长:4分13秒发行

2023-08-03 18:25:18

美农生物:周小秋辞去董事职务

​美农生物公告,董事会于2023年8月2日收到公司董事周小秋先生提交的书面

2023-08-03 17:50:48

报告:中国新能源汽车智能化领先优势进一步扩大

​报告:中国新能源汽车智能化领先优势进一步扩大

2023-08-03 16:59:38

蔡旻君(关于蔡旻君简述)

​,你们好,今天0471房产来聊聊一篇旻君,旻君简述的文章,网友们对这件

2023-08-03 16:15:06

阳台外面左边是路右边是高楼好吗?

​阳台外面左边是路右边是高楼,这样的布局可能会带来以下几个方面的

2023-08-03 15:50:19

高蛋白的肉类有哪些?吃多了会对身体好吗?

​蛋白质大约占人体重量的16 3%,蛋白质含量超过这个比例的食物被称作高

2023-08-03 15:05:27

继续逼近!浙江多个景区紧急关闭!“卡努”最新路径预测

​备受关注的今年第6号台风“卡努”已减弱为强台风但还在继续向我国靠近

2023-08-03 14:23:34

前紫光展锐董事长吴胜武担任猎豹移动独立董事|硅基世界

​原紫光展锐董事长,现紫光集团执行副总裁、紫光存储科技董事长兼CEO吴

2023-08-03 13:40:00

郑州人才公寓需要带床上用品入住吗?

​郑州人才公寓需要带床上用品入住吗?需要的,大多人才公寓都有床和床垫

2023-08-03 12:58:04

巴黎球迷落泪梅西赛后再次带领全队向球迷谢场

​北美联盟杯1 16决赛,迈阿密国际战胜奥兰多城成功晋级。梅西在赛后再次

2023-08-03 12:04:33

大洗牌!广州,增量第一了!

​大洗牌!广州,增量第一了!,韩国,北京,深圳,上海,广州市,强排行榜,世

2023-08-03 11:34:04

石楼交警:烧烤夜市送上安全

​黄河新闻网吕梁讯三伏天气温不断升高,夜市烧烤摊饮酒聚餐成为广大群众

2023-08-03 11:09:35

文涛拍案真实案例(文涛拍案)

​涛拍案真实案例,文涛拍案这个问题很多朋友还不知道,来为大家解答以上

2023-08-03 10:23:00

快递被暴雨泡毁赔不赔?6大快递公司回应

​中国邮政客服表示,根据目前接到的通知,北京门头沟区、房山区快递收寄

2023-08-03 09:32:17

穗恒运A:定增募资不超13.51亿元申请获深交所审核通过

​穗恒运A8月3日公告,公司8月2日收到深交所上市审核中心出具的《关于广

2023-08-03 08:39:47

陆贞传奇玲珑第几集变坏的(陆贞传奇玲珑结局)

​今天小鱼来为大家解答以上问题,陆贞传奇玲珑第几集变坏的,陆贞传奇玲

2023-08-03 08:07:54

拜仁高层:德甲只有2支球队进行季前行,而英超有18支

​拜仁在亚洲行期间去了日本和新加坡,拜仁市场营销总监安德烈亚斯-容(A

2023-08-03 06:55:37

李立群在杭州住院半月花费20万?官方回应:网上传言与事实严重不符

​据浙江省杭州市萧山区人民政府新闻办公室官方微博@萧山发布8月2日晚消

2023-08-03 05:50:43

中央确定全国8个超大城市

​中央确定全国8个超大城市,中央,广州,上海,南京,杭州,超大城市,城区常住

2023-08-03 03:14:54

北京争分夺秒抢修“城市生命线”

​北京市气象台2日消息,7月29日20时至8月2日7时,北京出现极端强降雨天

2023-08-03 00:03:22

驰援京津冀 江苏多支救援队伍奔赴抢险救灾一线

​近日,京津冀部分地区遭遇了极端强降雨,重大汛情牵动着全国人民的心,

2023-08-02 22:02:27

文昌开展暑期少儿绘画公益课

​近日,2023年“爱在文昌·工会有约”暑期少儿绘画公益课开班。本期暑期

2023-08-02 20:55:31

我在超市打工煮泡面

​@wowo:大概2014年左右吧,趁暑假在家附近的一家大型连锁超市打过一个月

2023-08-02 20:11:38

北京全球通如果不交费怎么样_北京全球通

​1、1、全球通最低消费58元套餐,250分钟市话(超出部分0 25元 分),还

2023-08-02 19:20:25

民生银行携手京东开展数字人民币钱包绑卡送礼包活动

​民生银行携手京东开展数字人民币钱包绑卡送礼包活动,借记卡,银行卡,京

2023-08-02 18:37:38

京东捐赠3000万元物资,驰援京津冀多地防汛救灾

​鞭牛士8月2日消息,今日京东集团公益基金会宣布捐赠3000万元物资驰援防

2023-08-02 17:32:01