TL;DR
个保审计背景概要
在2023年8月3日,国家网信办正式公布了《个人信息保护合规审计管理办法(征求意见稿)》(以下简称《办法》),同时发布了《个人信息保护合规审计参考要点》(以下简称《要点》)。
这份《办法》的意见征集期限定于同年的9月2日结束。根据《办法》的规定,对于处理超过100万用户个人信息的企业,规定其必须每年至少进行一次个人信息保护合规审计;对于用户数量不足100万的企业,则每两年至少进行一次此类审计。
在个人信息保护领域,普遍存在的问题并非规定的不足,而是规定过多且缺乏统一性和易于实施的特性,这种情况对数字经济的整体发展构成了阻碍。《办法》及《要点》对审计的要求涵盖了互联网大型企业几乎所有业务活动的方方面面,例如个人信息的全流程处理、内部管理制度及操作规程等。
但在评估平台规则的公平性、是否存在不正当竞争等方面的要求,则超出了个人信息保护的范畴,导致一次审计和一份报告难以覆盖如此广泛的内容。
为此,第三方专业机构需依据《中华人民共和国个人信息保护法》(简称《个保法》)和其他相关法律、行政法规以及国家标准开展审计工作。
国家网信办及其他国务院相关部门共同协调,建立了专业机构的评价机制。依此机制,专业机构每年将接受评估和评价,以形成推荐目录。企业被建议从该目录中挑选合适的专业机构进行个人信息保护合规审计。
如何学习充分了解隐私合规法?学习CIPP/E课程,其重点关注隐私法律法规的实际应用,了解数据保护导论、监管机构等知识及考核
企业在处理个人信息的业务活动中,必须坚守包括合法、正当、诚信、最小必要性、有限使用、知情同意、目标明确以及对个人信息保护权益的响应等一系列原则。
这些原则不仅是合规要求的基础,而且要求企业不仅将这些原则具体应用于处理个人信息的各个业务场景,还需要基于这些合规原则,构建和强化自身的个人信息合规治理和管理能力。
一些企业已经开始采取行动响应这些要求,例如蚂蚁集团在2022年下半年成立了个人信息保护监督委员会,而腾讯和携程也公开招募了“个人信息保护外部监督员”。
这些举措体现了《要点》中对于独立机构在个人信息保护方面监督职责的明确指导。
审计机构资质要求
为确保个人信息保护合规审计的高标准和有效性,国家网信办与其他国务院相关部门共同建立了一套专业机构评价体系。这一机制的核心是对专业机构进行年度评估,以及形成并更新一个推荐的专业机构目录,鼓励企业从中选择合适的审计机构来执行合规审计工作。
根据《个人信息保护合规审计管理办法(征求意见稿)》第十四条的规定,从事个人信息保护合规审计的专业机构应当保持诚信、正直,并公正客观地进行审计评估。这些机构在审计过程中获取的信息,只能用于审计目的,严禁用于其他用途,并应对这些信息承担保密责任。
同时,这些机构需要采取适当的技术和其他必要措施来确保数据安全,并禁止将审计工作外包给第三方。此外,这些机构在执行审计职责时不得无端干预信息处理者的正常业务活动。如有提供虚假或不实报告的行为,将面临被永久排除出推荐目录的严重后果。
在审计类资质方面,推荐的参考资质包括但不限于会计/法律事务所、软件安全、数据安全、DAMA证书、数据检测类证书等。具体到信息安全审计服务资质要求,则涵盖了以下几方面:
我是否满足报考IAPP的资格呢?点击下方立即测试,并有机会获得最新的资料网课及学员笔记!
较符合团队与结构介绍
国内,要成为合格的信息审计公司,必须满足一系列严格的标准和要求。以中国信息通信研究院(简称中国信通院)为例,该院通过了中国信息安全测评中心的细致评审和考核,并在CNAS、通信网络安全服务能力、ISO9001、ISO20000等资质证书的基础上,获得了信息安全服务资质证书(信息系统审计类一级)。
这显示出中国信通院在基本资质、能力、信息系统审计过程能力、项目和组织过程能力等方面达到了信息安全服务资质系统审计一级的标准,并具备了提供信息安全服务和进行信息系统审计的综合能力。
此外,信息审计公司还需要具备以下几个关键条件:
IAPP CIPM认证,该认证侧重于开发、实施、维护和管理隐私计划。CIPM则主要满足隐私项目生命周期内风险管理、隐私运行、审计与追责、隐私分析等方面的需求。
标准认证:
IAPP CIPM 已获得 ANSI / ISO 标准 17024:2012 认证
适用于以下人群:
该认证专为日常实施和管理隐私法规的专业人员以及参与风险管理、隐私管理、审计或隐私分析的专业人员而设计
由于中国考生人数逐年增加,CIPM在2022年7月起增加了中文考试的选项。
这些条件不仅体现了审计公司在专业技能和经验上的要求,同时也展示了其在法律政策、技术检测、行业知识等方面的深度和广度。
在线客服
微信
