国家互联网信息办公室持续加强个人信息保护相关政策法规宣贯,指导帮助个人信息处理者规范开展个人信息处理活动,保护个人信息权益。现将一些具有代表性的问题和答复公布如下。
1.《网络数据安全管理条例》《个人信息保护合规审计管理办法》等法规规章有关规定涉及个人信息数量,如何进行统计?
《网络数据安全管理条例》第二十八条规定,网络数据处理者处理1000万人以上个人信息的,还应当遵守本条例第三十条、第三十二条对处理重要数据的网络数据处理者作出的规定。《个人信息保护合规审计管理办法》第四条规定,处理超过1000万人个人信息的个人信息处理者,应当每两年至少开展一次个人信息保护合规审计。《数据出境安全评估办法》《个人信息出境标准合同办法》《促进和规范数据跨境流动规定》《个人信息出境认证办法》等规章有关规定也涉及个人信息数量。
以上法规规章有关规定涉及的个人信息数量,如“处理超过1000万人个人信息”,在计数中,均包含本数,按照个人信息处理者当前处理个人信息涉及的自然人数量进行统计,统计中不包括已经删除的个人信息。
2.个人信息处理者开展个人信息保护合规审计的频度?
《中华人民共和国个人信息保护法》第五十四条规定,个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。《个人信息保护合规审计管理办法》第四条规定,处理超过1000万人个人信息的个人信息处理者,应当每两年至少开展一次个人信息保护合规审计。参照《数据安全技术 个人信息保护合规审计要求》国家标准,处理超过100万、不超过1000万人个人信息的个人信息处理者,每三年或四年至少开展一次合规审计;处理不超过100万人个人信息的个人信息处理者,每五年至少开展一次合规审计。
个人信息处理者应当建立个人信息保护合规审计制度,依照法律、行政法规和国家有关规定,可以参照有关国家标准要求,合理确定并在相应制度中明确定期开展个人信息保护合规审计的频度,以提升个人信息保护合规水平,促进个人信息合理利用。
3.未成年人个人信息保护合规审计应包括哪些内容?
《未成年人网络保护条例》第三十七条规定,个人信息处理者应当自行或者委托专业机构每年对其处理未成年人个人信息遵守法律、行政法规的情况进行合规审计,并将审计情况及时报告网信等部门。《中华人民共和国民法典》第十七条规定,不满十八周岁的自然人为未成年人。
个人信息处理者处理未成年人个人信息,无论是否对未成年人身份进行识别,都应当按照《未成年人网络保护条例》第三十七条规定要求,自行或者委托专业机构每年对其处理未成年人个人信息遵守法律、行政法规的情况进行合规审计。
个人信息处理者开展未成年人个人信息保护合规审计,应当依照《中华人民共和国个人信息保护法》《未成年人网络保护条例》《网络数据安全管理条例》《儿童个人信息网络保护规定》《个人信息保护合规审计管理办法》等法律、行政法规、部门规章关于个人信息保护合规审计和未成年人个人信息保护有关规定要求,可以参照《数据安全技术 个人信息保护合规审计要求》等国家标准,对未成年人个人信息处理活动是否遵守法律、行政法规等情况进行全面审查和评价。
声明:本文来自网信中国,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
