近日,全国(guo)网络安全标准化技术委员会发布《数(shu)据安全技术 个人信息保护(hu)合(he)规审计要求》征求意见稿(下称《征求意见稿》),意见反馈时间截止至9月(yue)11日前。
《个人信息保护(hu)法》明确规定,个人信息处理者应当(dang)定期对其处理个人信息遵守法律(lu)、行政(zheng)法规的情况进行合(he)规审计。此外,履行个人信息保护(hu)职责的部门发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,可以要求个人信息处理者委托专业机构对其个人信息处理活动进行合(he)规审计。此后(hou)一段(duan)时间里,如何开展合(he)规审计活动是学界、实务界共(gong)同探(tan)索(suo)的难题。
为推动上(shang)述规定落地,去年8月(yue),国(guo)家网信办公开《个人信息保护(hu)合(he)规审计管(guan)理办法(征求意见稿)》并(bing)附《个人信息保护(hu)合(he)规审计参考要点》,拟对审计依据、审计目标、审计范围等作出要求,但规定仍存在细(xi)化空间。
在此基础上(shang),《征求意见稿》拟从国(guo)家标准层面(mian)进一步提出个人信息保护(hu)合(he)规审计的具体实施要求,为开展此项工作提供参考。
总体来看,《征求意见稿》拟明确,个人信息保护(hu)合(he)规审计流程包含审计准备、审计实施、审计报告、问题整改、归(gui)档管(guan)理五个阶段(duan),并(bing)要求审计人员保持专业性、独立性、客观性、公正性等。
个人信息保护(hu)合(he)规审计工作流程图。
其中包括,内部机构审计人员应回避(bi)自身负责的业务内容,不应直接(jie)参与(yu)被审计对象的日常业务运营、个人信息安全保护(hu)工作,且其工作不受被审计对象的约束;外部专业机构审计人员同被审计对象及其工作人员不得(de)存在亲属关系、利益往来、法律(lu)纠纷等可能影(ying)响其做出公正、独立审计结论的利害关系;审计人员产生影(ying)响审计独立性行为的,审计组应暂时回避(bi)或终止其审计工作。
个人信息保护(hu)合(he)规审计内容和审计方(fang)法是《征求意见稿》最(zui)主要的部分(fen),其依据《个人信息保护(hu)法》等法律(lu)法规,对审计对象、证据、方(fang)式拟作出详细(xi)规定。
处理个人信息应当(dang)遵循合(he)法、正当(dang)、必要和诚信原则。在必要性方(fang)面(mian),审计内容拟包括处理个人信息是否具有明确、合(he)理的目的,是否与(yu)处理目的直接(jie)相关;是否采取对个人权益影(ying)响最(zui)小(xiao)的方(fang)式处理个人信息;是否仅限于(yu)实现处理目的的最(zui)小(xiao)范围收(shou)集个人信息;是否因(yin)个人信息主体不同意处理非必要个人信息或者撤回同意,拒绝个人信息主体使用其基本功能服(fu)务等。
审计对象则主要涉及个人信息处理的相关流程说明、隐私政(zheng)策、个人信息处理过程实例。
南都记者注意到,《个人信息保护(hu)合(he)规审计参考要点》将使用自动化决策、参与(yu)网络暴力、处理敏感信息等相关情况纳入审计范畴,首次针对外部独立监督机构职能和个人信息保护(hu)社会责任报告内容作出具体要求。上(shang)述内容在此次《征求意见稿》中也均有体现。
在利用自动化决策处理个人信息方(fang)面(mian),是否事前对算法模型进行安全评估(gu),并(bing)按国(guo)家相关规定进行备案,以尽可能减(jian)少自动化决策算法模型存在的缺陷,当(dang)应用场景和主要功能发生变化时,是否对算法模型重(zhong)新进行评估(gu);是否事前对算法模型进行科(ke)技伦理审查;是否对个人信息处理、标签管(guan)理、模型训练等自动化决策过程中的人工操作进行记录,防范人为恶意操纵自动化决策信息和结果等被包含在内。
公共(gong)场所(suo)摄像(xiang)头的数(shu)据安全问题一直是人们担忧的重(zhong)点。在公共(gong)场所(suo)安装图像(xiang)采集、个人身份识(shi)别设备方(fang)面(mian),《征求意见稿》要求就是否为维护(hu)公共(gong)安全所(suo)必需,是否存在为商业目的处理所(suo)采集信息的情况开展审计,以及收(shou)集的个人图像(xiang)、身份识(shi)别信息用于(yu)维护(hu)公共(gong)安全以外用途的,是否取得(de)个人单独同意。
近年来,网络暴力治理领域建章立制的步伐持续加(jia)快,重(zhong)在治理网络暴力信息,打造全流程动态治理体系。在审计处理已公开个人信息情况时,是否利用已公开的个人信息从事网络暴力活动,是否未(wei)取得(de)个人同意处理已公开的个人信息对个人权益造成重(zhong)大影(ying)响是重(zhong)点方(fang)向。
南都记者梳理发现,《征求意见稿》在《个人信息保护(hu)合(he)规审计管(guan)理办法(征求意见稿)》基础上(shang),还补充了有关未(wei)成年人个人信息保护(hu)的内容,涉及未(wei)成年人真实身份审核,收(shou)集、访(fang)问未(wei)成年人个人信息的最(zui)小(xiao)必要原则,未(wei)成年人个人信息主体权利,未(wei)成年人私密信息保护(hu)等方(fang)面(mian)。
具体来看,是否存在强(qiang)制要求未(wei)成年人或者其监护(hu)人同意非必要的个人信息处理的行为;是否设置不合(he)理条件阻碍未(wei)成年人或者其监护(hu)人复制、更正、补充、删除未(wei)成年人个人信息的功能;是否设定了未(wei)成年人信息访(fang)问权限;发现未(wei)成年人私密信息或者未(wei)成年人通过网络发布的个人信息中涉及私密信息的,是否及时提示,并(bing)采取停止传输等必要保护(hu)措施,防止信息扩散等均为审计对象。
今年3月(yue),《促进和规范数(shu)据跨境流动规定》公布施行,进一步明确数(shu)据出境的豁(huo)免(mian)情形及其合(he)规路径。《征求意见稿》参考该(gai)规定,拟提出向境外提供个人信息的合(he)规审计要求。
比如,关键信息基础设施运营者以外的个人信息处理者,自当(dang)年1月(yue)1日起累计向境外提供100万人以上(shang)个人信息或者1万人以上(shang)敏感个人信息是否经过国(guo)家网信部门组织的安全评估(gu);是否按照(zhao)国(guo)家相关规定申报数(shu)据出境安全评估(gu)、订立个人信息出境标准合(he)同、通过个人信息保护(hu)认证;是否存在违规向被列入限制或者禁止个人信息提供清(qing)单的组织和个人提供个人信息的情形。
值得(de)一提的是,对外部独立监督机构进行合(he)规审计时,独立机构的监督作用以及监督的独立性、外部独立监督机构成员的履职能力是重(zhong)点部分(fen)。
为保证独立性,需查验独立机构成员的身份和背景信息,是否与(yu)个人信息处理者及其主要股(gu)东(dong)存在可能妨碍其进行独立客观判断的关系;查验独立机构人员构成情况,外部成员的比例是否不低于(yu)三分(fen)之二。成员是否能对个人信息处理者的合(he)规制度体系、平(ping)台(tai)规则、隐私政(zheng)策等发表监督意见,以及意见的采纳情况等。
采写(xie):南都记者 樊(fan)文(wen)扬