前沿观察,

个人信息保护合规审计重点解析

中国 | 中文
所在网站 :    中国   |   中文
澳大利亚
中国香港特别行政区
新加坡
美国
全球

标签:数字经济电信、传媒、娱乐与高科技-数据及隐私权保护

2023年8月,国家网信办颁布《个人信息保护合规审计管理办法(征求意见稿)》(以下简称《审计办法征求意见稿》),拟对个人信息处理活动的合规审计进行规制。《审计办法征求意见稿》将合规审计分为定期审计和专项审计。定期审计是指处理超过100万人个人信息的个人信息处理者,应当每年至少开展一次个人信息保护合规审计;其他个人信息处理者应当每二年至少开展一次个人信息保护合规审计。除了定期审计外,履行个人信息保护职责的部门在履行职责中,发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,可以要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计,即专项审计。

《审计办法征求意见稿》附件《个人信息保护合规审计参考要点》(以下简称《审计参考要点》)列举了在实施个人信息保护合规审计时需要覆盖的审计要点,但对部分重点审计事项如何开展、应该达到何种合规标准,并未做进一步详细说明,如“个人信息处理者告知、取得个人同意相关义务的具体要求”、“个人信息保护影响评估的具体要求及内容”等。本文拟结合《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)以及个人信息处理的相关国家标准和指南的规定,对于重点审计事项对应的法规要求、个人信息处理者应达到的合规标准予以详细介绍及分析。

此外,《审计办法征求意见稿》虽然是着眼于外部监督的视角,但其设定的审计目标也必然是个人信息处理者应该达到的合规标准,因此对于个人信息处理者搭建个人信息保护合规体系乃至数据合规体系有重要的意义。本文将基于对重点审计事项的解读,对如何搭建个人信息保护合规体系给出建议及指引。

一、个人信息处理者的告知、取得个人同意相关义务的具体要求

1. 需履行告知、取得个人同意义务的情形

《个人信息保护法》将个人信息处理者的告知、取得同意义务划分为三个层次,即告知/明示、取得个人同意、取得个人单独同意。《审计参考要点》亦相应对这些事项提出了审计要求,涉及的相关情形摘录如下:

2. 履行告知义务时需注意事项

《审计参考要点》第4条规定了信息保护合规审计时应关注个人信息处理者是否履行了告知义务,包括告知的文本格式要求、线下告知和线上告知分别需要采取的告知方式等内容。此外重点强调应关注个人信息处理者是否以显著方式、清晰易懂的语言告知个人信息处理规则,并在个人信息处理规则发生变更时要及时告知个人。

至于何谓以“显著方式”告知,或许可以参照《网络数据安全条例(征求意见稿)》的规定,即“个人信息处理规则应当集中公开展示、易于访问并置于醒目位置,内容明确具体、简明通俗,系统全面地向个人说明个人信息处理情况”。

关于个人信息处理规则具体应该包括的内容,《个人信息保护法》第二章全面规定了个人信息处理应当遵循的各项规则,但该章规定更应理解为个人信息处理的基本原则和必备的要求。如果个人信息处理者将《个人信息保护法》第二章的内容照猫画虎,作为对个人告知的具体信息,既没有必要,也稍显敷衍。我们理解,《审计办法参考要点》要求告知的“个人信息处理规则”应该是个人信息处理者基于其商业实质和业务需求而采取的特异化、具体化的规则,其目的在于向用户说明个人信息处理者的底层商业需求与处理个人信息的需求之间的逻辑关系以及个人信息处理行为可能对用户产生的影响。

《网络数据安全条例(征求意见稿)》对数据处理者应该展示的个人信息处理规则有详细规定,包括:(一)依据产品或者服务的功能明确所需的个人信息,以清单形式列明每项功能处理个人信息的目的、用途、方式、种类、频次或者时机、保存地点等,以及拒绝处理个人信息对个人的影响;(二)个人信息存储期限或者个人信息存储期限的确定方法、到期后的处理方式;(三)个人查阅、复制、更正、删除、限制处理、转移个人信息,以及注销账号、撤回处理个人信息同意的途径和方法;(四)以集中展示等便利用户访问的方式说明产品服务中嵌入的所有收集个人信息的第三方代码、插件的名称,以及每个第三方代码、插件收集个人信息的目的、方式、种类、频次或者时机及其个人信息处理规则;(五)向第三方提供个人信息情形及其目的、方式、种类,数据接收方相关信息等;(六)个人信息安全风险及保护措施;(七)个人信息安全问题的投诉、举报渠道及解决途径,个人信息保护负责人联系方式。

就个人信息处理中告知和同意的具体要求,根据国家市场监督管理总局(以下简称国家市监总局)和中国国家标准化管理委员会(以下简称国家标准委)发布的《信息安全技术 个人信息处理中告知和同意的实施指南》(GB/T 42574-2023)(以下简称《个人信息处理告知和同意实施指南》),该指南将于2023年12月1日实施),告知的方式分为一般告知、增强告知、即时提示。各类告知方式一般性适用原则及典型的具体应用情形如下表所示:

根据《个人信息处理告知和同意实施指南》规定,对于告知的界面或渠道,个人信息处理者应当以便于个人立即阅读、获取的方式,设计适当的告知界面或渠道,并根据载体、环境等的不同进行调整,优化告知界面或渠道的形式。如在个人可操作的计算机、智能终端(包括固定终端、移动终端等)等屏幕展示告知界面时,可采取弹出可关闭(或点击按钮、滑动后可跳过)的单独窗口、设置经多次点击、下拉菜单访问的交互式界面等方式。对于告知时机和告知频率,个人信息处理者应当选取适当的时机和频率,既需要避免告知的频率过低,导致告知的内容无法有效传达,又需要避免告知的频率过高对个人造成不必要的打扰。通常首次告知采用的是一般告知的方式在用户首次使用产品或服务前进行,同步告知、再次告知采用增强告知或即时提示的机制,在产品或服务收集处理个人信息对个人权益影响较大或收集的方式、目的、范围等发生变更前进行同步告知、再次告知等,个人信息处理者选择的告知时机和频率还需平衡告知的充分性和用户体验。

3. 取得个人同意时需注意事项

根据《个人信息处理告知和同意实施指南》规定,个人信息处理者取得同意时,以明示同意方式为原则,确保个人在理解收集目的和相关处理规则的基础上,自主给出具体、清晰、明确的意愿表示,如个人直接提供相关信息、点击“同意”进入下一步、签署书面文件表示愿意提供个人信息等。但因客观条件限制、个人自身习惯、保护各方合法利益等原因,个人无法表达前述明示同意时,在同时满足以下条件的情况下,可以推定个人表示同意:(1)取得明示同意存在显著困难;(2)经个人信息保护影响评估确认个人信息的处理不会对个人权益造成不利影响;(3)采取了适当的方式向个人告知了个人信息处理规则;(4)被推定为个人同意的情形不影响个人行使撤回同意的权利。

就《个人信息保护法》等规定的需取得单独同意的情形,《个人信息处理告知和同意实施指南》规定了相应的实施要求,包括在个人作出单独同意之前,需通过增强告知的方式,针对需要单独同意的情形专门向个人进行充分告知;需选择明示同意的方式来取得个人单独同意;单独同意为个人针对其个人信息进行特定处理而专门作出具体、明确授权的行为,不包括一次性针对多种目的或方式的个人信息处理活动作出的同意,即不得要求个人概括同意等。

《个人信息处理告知和同意实施指南》要求个人信息处理者明确撤回同意的操作(如交互式功能页面、电话、邮箱等方式),并可通过一般告知的方式,在个人信息保护政策中向个人说明撤回同意的具体场景和操作方法。撤回同意的颗粒度需根据个人实际需求和产品服务特点设计,撤回某个业务的个人信息处理同意的,不得拒绝提供其他业务功能或降低其他业务质量(除非撤回同意的个人信息是其他业务功能所必需)。个人撤回同意后,应设计并向个人主动告知删除或匿名化相关个人信息的机制,以供个人作出是否保留个人信息的选择;个人信息处理者后续不得再处理相应的个人信息,但不影响撤回前基于个人同意已进行的个人信息处理活动的效力;个人信息处理者需在承诺时限内(不超过15日)完成对撤回同意请求的确认,以及完成删除或匿名化相关个人信息的操作,并向个人反馈撤回同意的结果。

《个人信息处理告知和同意实施指南》进一步规定,为保护个人权益和个人信息处理者合法利益,个人信息处理者可采取技术或管理措施,留存取得个人同意过程的证据,包括但不限于个人信息处理者对个人信息处理活动进行评估后,设计并实施告知和同意方案的记录,与个人关联的同意记录,不同时期发布的个人信息保护政策等。相关证据留存时间建议不少于3年,留存证据应遵循最小必要原则并对适用范围严格限制,且应采取充分的技术措施及其他必要措施保证留存证据的数据安全,个人信息处理者为自身举证等目的使用留存证据时应披露最少必要信息。

4. 特定场景下的告知和同意

《个人信息处理告知和同意实施指南》还对特定场景下如何履行告知和同意义务做出了规定,例如APP嵌入第三方SDK(即软件开发工具包(Software Development Kit))场景下的告知和同意、处理不满14周岁未成年人信息的告知和同意等情形。

在APP嵌入第三方SDK场景下,除个人信息处理者常规告知内容外,还应向个人告知SDK的名称及其提供者的名称、联系方式以及SDK的个人信息处理规则。如SDK作为APP运营者的受托个人信息处理者,由APP运营者向用户告知SDK相关信息及个人信息处理规则并取得其同意;如SDK作为个人信息处理者,则用户使用SDK相关业务功能应从APP跳转至业务功能界面,SDK提供者可以在跳转后的页面中对APP用户进行告知并取得其同意;除法律法规另有规定的情况,SDK提供者应避免在APP运营者或其自身作为个人信息处理者取得用户同意前收集处理个人信息;SDK提供者个人信息处理规则发生变更时应及时与APP运营者同步,并重新实施告知、同意等程序。

对于处理不满14周岁未成年人信息的告知和同意的情形,应在处理该等未成年人个人信息前,需将个人信息处理规则告知其父母或其他监护人,并取得其监护人同意;且就处理不满14周岁的未成年人的个人信息,应特别告知该等个人信息的敏感性、处理活动对用户权益的影响、对上述未成年人个人信息的特别安全保障措施、监护人管理该等未成年人个人信息及行使相关权利的方式和途径、响应监护人诉求的专门渠道等并提示监护人正确履行监护职责。从实施层面,个人信息处理者可根据其产品或服务目标人群的范围设置相应的规则,如目标人群为不满14周岁的未成年人,可针对其发布专门的个人信息保护政策,并在交互式界面中向其监护人增强告知处理不满14周岁的未成年人的个人信息的种类、目的、必要性等相关规则,并采用发送短信、推送消息、发送邮件等方式向监护人发送完整的儿童个人信息处理规则,在合理鉴别监护人身份后取得监护人的单独同意;如目标人群没有年龄限制,需针对可能存在的儿童个人信息处理活动设计告知和同意机制,制定儿童个人信息处理规则作为隐私政策的一部分或以其他方式显著发布并就处理不满14周岁的未成年人的个人信息取得监护人单独同意;如目标人群为成年人,但经鉴别发现用户存在不满14周岁的未成年人,可参照前述方式取得未成年人监护人的单独同意,或拒绝向未成年人提供服务。

二、建立个人信息保护影响评估制度

1. 需要进行个人信息保护影响评估的主要场景

《审计参考要点》要求个人信息处理者建立个人信息保护影响评估制度,作为个人信息保护内部管理制度体系的一部分,并且将个人信息保护影响评估开展情况及评估内容作为一项重点审计事项进行审查。同时《审计参考要点》在不同条款分别要求审查在如下事项发生时,信息处理者是否进行了个人信息保护影响评估:

(1)个人信息处理者存在向其他个人信息处理者提供其处理的个人信息的(第8条);

(2)个人信息处理者利用自动化决策处理个人信息的(第9条);

(3)个人信息处理者存在公开其处理的个人信息情形的(第10条);

(4)个人信息处理者处理敏感个人信息的(第13条);

(5)在进行对个人权益具有重大影响的个人信息处理活动前(第25条);

2. 个人信息保护评估的内容

根据《个人信息保护法》,个人信息保护影响评估应当包括下列内容:(一)个人信息的处理目的、处理方式等是否合法、正当、必要;(二)对个人权益的影响及安全风险;(三)所采取的保护措施是否合法、有效并与风险程度相适应。个人信息保护影响评估报告和处理情况记录应当至少保存三年。

根据国家市监总局和国家标准委发布的《信息安全技术 个人信息安全影响评估指南》(以下简称《个人信息安全影响评估指南》)(GB/T 39335-2020),评估报告的内容通常包括:个人信息保护专员的审批页面、评估报告的适用范围、实施评估及撰写评估报告的人员信息、参考的法律法规和标准、个人信息影响评估对象(明确涉及的个人敏感信息)、评估涉及的相关方、个人权益影响分析结果、安全保护措施分析结果、安全事件发生的可能性分析等。

该指南并非强制适用,但给个人数据处理者提供了良好的参考范例。在具体操作过程中,评估报告除了上述指南列示的内容外,还应该关注评估的具体目的,并根据评估目的来设置具体的内容,需注意避免仅为了满足评估报告的形式要求而忽略或遗漏与评估目的有关的关键信息及结论。

3. 个人信息保护评估的方法及流程

《个人信息安全影响评估指南》也介绍了个人权益影响评估的原理和流程,评估原理示意图如下:

具体操作中,首先要结合评估目的确定要评估的个人数据处理活动范围,并针对拟评估的数据处理活动范围进行数据映射分析。数据映射分析是指对于个人数据处理者的各项数据处理活动、数据处理场景所涉及的个人信息类型、信息主体、收集和处理的目的等要素进行收集和整理,并形成个人信息映射表,作为后续评估步骤的基础。一个典型的个人信息映射表示例如下:

此外,数据处理者亦可以从数据管理角度进行列表统计及分析,作为进一步评估的依据。典型的个人信息数据管理表格示例如下:

在完成数据映射分析后,需要进行个人权益影响分析,即分析特定的个人信息处理活动是否对个人信息主体合法权益产生影响以及可能产生何种影响。个人权益影响范围一般可包括“限制个人自主决定权”、“引发差别性待遇”、“个人名誉受损或遭受精神压力”、“人身财产受损”等维度。

关于对个人权益影响程度的判定,可以根据严重程度参照如下标准进行判定:

在完成个人权益影响分析后,下一步工作是结合数据处理者所采取的安全保护措施,对安全事件的可能性以及风险级别进行分析。并可以结合风险级别提出相应的整改措施或避免风险措施。

三、个人信息保护内控体系及内控制度的要求

1. 内控体系

为满足审计要求,个人信息处理者需要制定个人信息保护相关的内部管理制度和操作规程,设立相关的组织架构并配备人员,建立应急响应机制,建立个人信息保护影响评估及合规审计制度,建立投诉举报受理流程等。

2. 内控制度

内控体系的建设成果主要体现为颁布相关的内控制度、设置相关合规内控部门以及设立相关负责人岗位。结合我们的经验,建议个人信息处理者颁布实施如下内控制度:

(1)《个人信息保护合规管理工作制度》,主要规定个人信息保护的总体原则、个人信息保护的目标、信息保护部门的组织架构以及职责、企业内部责任承担机制,并可以对信息保护的分类标准以及针对性的安全措施等作出规定;

(2)《个人信息保护负责人工作细则》,主要规定个人信息保护负责人的岗位职责及权限、选任机制、汇报机制、履职评价、责任承担机制等;

(3) 《个人信息保护评估及合规审计制度》,主要规定需要进行信息保护评估的情形、评估的方法及主要内容、合规审计的负责部门、合规审计的方法及机制、合规审计的频率等;

(4)《个人信息保护应急响应制度及应急预案》,主要规定在出现信息保护重大风险事项时的响应机制,以及应急预案,包括向有关主管部门报告的通道及负责人;

(5) 《个人信息保护用户行权响应制度》,主要规定用户提出投诉、要求进行解释或者有其他行权行为时的响应机制;

(6)《个人信息保护安全教育及培训制度》,主要规定安全教育和培训的对象、频率、负责人以及培训的主要内容等。

3. 个人信息保护负责人

《个人信息保护法》规定,处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。

而关于何谓达到“国家网信部门规定数量的个人信息处理者”,国家网信办尚未公布具体的数量标准。实践中可以参考《信息安全技术个人信息安全规范》(GB/T 35273-2020 )(以下简称《个人信息安全规范》)中的规定,即:(1) 主要业务涉及个人信息处理,且从业人员规模大于200人;(2) 或处理超过100万人的个人信息,或预计在12个月内处理超过100万人的个人信息;(3) 或处理超过10万人的个人敏感信息的;

《审计参考要点》也将个人信息保护负责人的设置及履职情况作为审计重点事项,具体包括信息保护负责人是否具备相关的工作经历和专业知识、是否有清晰的职责、是否有足够的履职权限、是否将该负责人的联系方式进行公开并报送有关主管部门等。

此外,报送履行个人信息审计保护部门的个人信息保护合规审计报告应当由企业的合规审计负责人签字。我们理解,如果企业未单独设立专门的合规审计负责人岗位,也可以由个人信息保护负责人兼任。

4. 安全培训

参照《审计参考要点》的审计要求,我们建议个人信息处理者应定期对员工开展安全教育和培训,此外在重要监管规则出台后,或者出现重大有代表性事件时,应当及时为相关员工安排临时性的培训,以便相关岗位的员工能够及时掌握监管要求和行业动态,并及时将相关监管要求体现为具体的个人信息保护措施。

安全教育和培训可以根据具体内容的不同而面向不同的对象。例如相对较为普及性的培训可以面向全体员工,提高全员的个人信息保护意识和网络合规与安全、数据合规与安全意识。而较为专业性的培训可以面向管理人员、以及个人信息保护负责人、网络及数据安全负责人、法律合规负责人等专岗人员。

5. 数据分类

《审计参考要点》要求信息处理者对个人信息进行分类,并采取针对性的管理措施或安全技术措施。

《个人信息保护法》将个人信息区分为敏感个人信息和一般信息。敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。

实践中,参考全国信息安全标准化技术委员会发布的《网络安全标准实践指南——网络数据分类分级指引》,个人信息遭到泄露或者非法利用对个人信息主体权益可能造成的以下任一种影响的可以认定为敏感个人信息:(1)个人信息遭到泄露或者非法使用,可能直接侵害个人信息主体的人格尊严。例如,特定身份(如身份证、护照、驾驶证、工作证等)、医疗健康、犯罪记录等信息属于一旦泄露即侵害人格尊严的敏感个人信息;(2)个人信息遭到泄露或者非法使用,不会直接侵害个人信息主体的人格尊严,但可能由于社会偏见、歧视性待遇而间接侵害个人信息主体的人格尊严。例如因个人种族、宗教信仰、性取向遭到歧视性待遇;(3)个人信息遭到泄露或者非法使用,可能直接或间接危害个人信息主体的人身、财产安全。例如,泄露、非法使用家庭住址、家属关系等家庭相关信息,可能会为入室抢劫或绑架等犯罪所利用;个人信息主体的身份证复印件被他人用于手机号卡实名登记、银行账户开户办卡等。

6. 预案

个人信息处理者应该制定针对个人信息安全事件的应急预案,在发生个人信息安全事件时,应该能够及时查明个人信息安全事件的影响、范围和可能的危害分析,并防止危害扩大,将可能的损失及危害降到最小,还需要建立通报渠道,并在事件发生后72小时内通过有关主管部门。

关于个人信息安全事件的判定标准,实践中可以参照《个人信息安全影响评估指南》采用的安全事件可能性等级判定标准。根据该指南,当发生如下情形时可以认为发生安全事件的可能性等级很高:(1)网络环境与互联网及大量信息系统有交互现象,基本上未采取安全措施保护个人信息安全;(2)该个人信息处理行为为常态、不间断的业务行为,该行为已经对个人主体的权益造成了影响,或收到了大量相关的投诉,并引起了社会关注;(3)任意人员可接触到个人信息,对第三方处理个人信息的范围无任何限制,或已出现第三方滥用个人信息的情形;(4)威胁引发的相关安全事件已经被本组织发现,或已收到监管部门发出的相关风险警报。

四、个人行使权利响应机制的要求

结合《审计参考要点》的审计关注点,个人信息处理者应该建立对个人用户行使权利的响应机制,即我们通常理解的“客服”机制。但鉴于用户在行使个人信息权益时,涉及的问题具有较强的专业性,企业需酌情考虑建立专业的客户服务团队,或者由企业内部负责信息保护合规的部门负责对此做出响应。

具体而言,个人信息处理者应该建立个人行使权利的申请受理机制,即有专门的受理通道及负责部门及人员;此外,个人信息处理者需要响应用户对个人信息处理规则进行解释和说明的诉求,并在规定的时间内使用通俗易懂的语言做出解释说明。

五、向境外提供个人信息应注意事项

《个人信息保护法》规定,个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一:(1)关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,确需向境外提供个人信息的,应当通过国家网信部门组织的安全评估;(2)按照国家网信部门的规定经专业机构进行个人信息保护认证;(3)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;(4)法律、行政法规或者国家网信部门规定的其他条件。个人信息处理者应当采取必要措施,保障境外接收方处理个人信息的活动达到《个人信息保护法》规定的个人信息保护标准。

上述个人信息出境路径中,数据出境安全评估具有法定强制性,应优先适用,向境外提供个人信息达到需要申报数据出境安全评估的标准,必须通过数据出境安全评估后才可向境外提供个人信息;尚未达到需要申报数据出境安全评估标准的,可以通过取得个人信息保护认证或与境外接收方签署个人信息出境标准合同并完成相应备案的方式向境外提供个人信息。根据《数据出境安全评估办法》《个人信息出境标准合同办法》《个人信息保护认证实施规则》及《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》等相关规定,上述个人信息出境路径的适用情形及相关要求简要梳理如下:

除上述向境外提供个人信息的一般规定外,对于向外国司法或执法机构提供个人信息的特定情形,《个人信息保护法》要求非经中华人民共和国主管机关批准,个人信息处理者不得向外国司法或者执法机构提供存储于中华人民共和国境内的个人信息。此外,国家网信部门可以将从事侵害中华人民共和国公民的个人信息权益,或者危害中华人民共和国国家安全、公共利益的个人信息处理活动的境外的组织、个人列入限制或者禁止个人信息提供清单,采取限制或者禁止向其提供个人信息等措施。

除审计上述情形是否达到合规标准外,《审计参考要点》还要求重点审查个人信息处理者对境外接收方采取监督措施的有效性,包括但不限于:(1)是否了解和掌握境外接收方的情况,特别是接收方是否具备必要的个人信息保护能力;(2)是否向境外接收方告知我国法律、行政法规对个人信息保护的要求,并要求境外接收方采取相应的保护措施;(3)是否采取签订协议、定期核查等方式,督促境外接收方切实履行个人信息保护义务。

六、针对特定信息处理者的要求

除上述一般性要求外,《审计参考要点》对某些特定类型的信息处理者提出了专门的审计要求。

1. 利用自动化决策处理个人信息的处理者

《审计参考要点》针对利用自动化决策处理个人信息的处理者,要求重点关注是否对算法模型进行安全评估,按国家规定进行备案,是否进行科技伦理审查,是否事前进行个人信息保护影响评估,是否向用户提供拒绝自动化决策的选项等。

根据《个人信息保护法》,自动化决策,是指通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,并进行决策的活动。

关于利用自动化决策处理个人信息的处理者需履行的评估、备案等程序,应适用《互联网信息服务算法推荐管理规定》的相关要求,包括:具有舆论属性或者社会动员能力的算法推荐服务提供者应当按照国家有关规定开展安全评估;具有舆论属性或者社会动员能力的算法推荐服务提供者应当在提供服务之日起十个工作日内通过互联网信息服务算法备案系统填报服务提供者的名称、服务形式、应用领域、算法类型、算法自评估报告、拟公示内容等信息,履行备案手续等相关要求。

关于科技伦理审查要求,参考科技部发布的《科技伦理审查办法(试行)》(征求意见稿),科技伦理审查由企业设立的科技伦理(审查)委员会负责。对于涉及数据和算法的科技活动,科技伦理(审查)委员会应审查数据处理方案符合国家有关数据安全的规定,数据安全风险监测及应急处理方案得当;算法和系统研发符合公平、公正、透明、可靠、可控等原则。此外,具有舆论社会动员能力和社会意识引导能力的算法模型、应用程序及系统的研发还应该开展专家复核。

2. 公开采集个人身份的数据处理者

《审计参考要点》要求,针对个人信息处理者在公共场所安装图像采集、个人身份识别设备的,是否为维护公共安全所必需,是否存在为商业目的处理所采集信息的情况,是否设置了显著的提示标志,是否取得了个人单独同意等。

针对上述处理者,在判断应遵守的操作标准时,可进一步参考《人脸识别技术应用安全管理规定(试行)(征求意见稿)》的相关规定。此外,《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》对于信息处理者处理人脸信息可能构成侵犯自然人人格权益的行为也做出了规定,信息处理者需予以关注。

3. 大型互联网平台

《审计参考要点》对大型互联网平台运营者的审计要求高于一般的信息处理者,主要体现为,大型互联网平台需定期审核平台内产品或者服务提供者个人信息处理规则的合法性、合理性,定期对平台内产品或者服务提供者处理个人信息遵守法律、行政法规情况进行审核,并对严重违规的平台内产品或者服务提供者要及时停止服务。大型互联网平台的生态体系内,产品和服务提供者数量较多,也比较难于实施统一监管,上述要求对于大型互联网平台而言负担较重,实践中如何把握尚有待观察。

对于大型互联网平台的认定标准,目前尚未有明确的法律规定。《网络数据安全管理条例(征求意见稿)》第73条规定,大型互联网平台运营者是指用户超过五千万、处理大量个人信息和重要数据、具有强大社会动员能力和市场支配地位的互联网平台运营者。实践中一般认为可以参照上述标准。

七、小结

《审计办法征求意见稿》虽然对信息处理者的合规体系建设给出了明确的目标及指引,但具体如何落实,仍然是一项浩繁的工作。我们建议处理较多个人信息的处理者应尽快加强合规工作,引入专业力量,早日搭建符合要求的合规体系。

扫码订阅“金杜律师事务所”,了解更多业务资讯

最新文章
前沿观察
2024年12月31日,中国国家知识产权局发布了《人工智能相关发明专利申请指引(试行)》(下称“《指引》”),意在进一步明确和细化我国现行专利法律制度框架下人工智能领域的专利审查政策,回应创新主体普遍关切的热点法律问题。基于此,本文针对人工智能是否能成为发明专利的适格客体这一问题进行了探讨,并进一步对中美两国对于人工智能专利客体的适格性标准进行了比较研究,以期为出海企业在全球范围内的专利布局提供参考。知识产权-专利,人工智能

2025/01/15

前沿观察
2024年,我国经济以“稳中求进”为总基调,以“攻坚克难”为关键词, 新“国九条”和资本市场“1+N”政策落地见效。从“坚持把防控风险作为金融工作永恒主题”的战略方向, 到《关于加强监管防范风险推动资本市场高质量发展的若干意见》等资本市场风险防控工作的具体落实;从“金融监管要‘长牙带刺’、有棱有角”的深刻把握,到“零容忍”打击各类违法违规行为的从严监管;从“上市公司是市场之基,是投资价值的源泉” 这一正确认识,到出台上市公司市值管理指引、深化上市公司并购重组市场改革等一系列规范政策出台。 2024年,是引导和督促上市公司完善公司治理,建设建强以投资者为本的资本市场的重要一年。上市公司是国民经济的“基本盘”、“压舱石”和“优等生”,是经济高质量发展的重要微观基础。 上市退市方面,严把发行上市准入关,从源头上提高上市公司质量,严格强制退市标准,拓宽多元化退出渠道,2024年全年55家上市公司平稳退市 ;外资投资方面,发挥战略投资渠道引资潜力,支持长期投资、价值投资;股份减持方面,有效防范绕道减持,细化违规责任条款;市值管理方面,引导上市公司关注自身投资价值,切实提升投资价值;并购重组方面,深化上市公司并购重组市场改革,支持经济转型升级、实现高质量发展;强化监管方面,加强信息披露监管,严惩业绩造假,加强现金分红监管,增强投资者回报。在对上市公司的全链条监管下,我国着力打造安全、规范、透明、开放、有活力、有韧性的资本市场。 2024年,是全面实施“强本强基、严监严管”的关键一年。“金融的安全靠制度、活力在市场、秩序靠法治。”2024年全年,证监会办理各类案件739件,罚没款金额超过上一年的两倍。推动形成财务造假综合惩防体系,严肃查处欺诈发行、财务造假、违规减持、操纵市场等一批大要案 ;持续打击实控人等“关键少数”违法,助力维护中小投资者合法权益;强化行政、刑事、民事立体化追责,助力提高违法成本。突出“严”,立足“效”,着眼“准”,聚力“合”,以强有力行政执法工作护航资本市场高质量发展,不断增强投资者的获得感和投资安全感。 2024年,是资本市场波澜诡谲、上市公司犯罪查处愈发从严的一年。根据我们的不完全统计,本年度A股上市公司及关联主体涉嫌刑事犯罪或遭受刑事侵害的案件共有102起,涉及97家上市公司。 纵览上市公司刑事犯罪情况,财产与金融安全仍是高风险领域,操纵证券市场、违规内幕交易愈发成为上市公司犯罪重灾区。从执法趋势来看,司法机关针对上市公司犯罪案件,施行刑事追责、市场禁入、行政处罚、民事赔偿等多元手段,不仅打击直接的犯罪行为,还同步审查非法配资、“黑嘴”荐股、出具虚假审计报告、洗钱等上下游、前后手犯罪,致力维护资本市场秩序、保护中小投资者利益。 通过梳理及分析2024年度上市公司犯罪情况,我们形成本年度上市公司犯罪报告,继续揭示上市公司刑事风险的趋势与特点,以期从一般社会预防的角度,为上市公司及相关方增强刑事调查与合规意识、预防刑事法律风险提供帮助。争议解决与诉讼-刑事调查及辩护,证券与资本市场-上市公司常年法律顾问,金融机构-金融市场监管

2025/01/14

前沿观察
排污许可制是针对固定污染源环境监管的核心制度,也是环境监管制度的重大改革内容之一。2016年国务院印发《控制污染物排放许可制实施方案》,开始推行排污许可制度改革,原环境保护部先后印发《排污许可管理办法》(试行)和《排污许可管理办法》,从部门规章层面为推进排污许可制度提供了规章依据。2021年国务院制定《排污许可管理条例》,排污许可制度上升到“行政法规”层面,这一法规的出台,标志着排污许可制度改革取得了阶段性成果。 近年来,党中央、国务院对深化排污许可制度改革提出了新要求,党的二十大报告要求全面实行排污许可制,《中共中央 国务院关于全面推进美丽中国建设的意见》再次提出全面实行排污许可制要求,党的二十届三中全会通过的《中共中央关于进一步全面深化改革 推进中国式现代化的决定》,明确“落实以排污许可制为核心的固定污染源监管制度”的改革目标任务。在此背景下,2024年11月生态环境部发布了《全面实行排污许可制实施方案》(下称“《实施方案》”),这是落实党中央国务院部署,深化排污许可制度改革的一项重要举措。 根据《实施方案》提出的重点任务,深化排污许可制度改革的重点将聚焦进一步完善排污许可相关法律法规及标准技术规范体系等、落实以排污许可制为核心的固定污染源监管制度、全面落实固定污染源“一证式”管理、进一步加强排污许可基础保障建设等。深化排污许可制度改革提出的重点任务也包括对排污单位提出要求,即排污单位需构建基于排污许可证的环境管理制度。 本文拟结合我们长期为排污单位提供环境法律服务的经验,针对目前排污单位排污许可管理的状况、存在的问题及不足,就如何构建基于排污许可证的环境管理制度谈谈我们的看法,以供参考。合规业务-环境法

2025/01/13