日前,国家网信办就《个人信息保护合规审计管理办法(征求意见稿)》(以下简称“征求意见稿”)面向社会公开征求意见。征求意见稿指出,个人信息保护合规审计是指对个人信息处理者的个人信息处理活动是否遵守法律、行政法规的情况进行审查和评价的监督活动,而办法的制订旨在指导、规范个人信息保护合规审计活动,提高个人信息处理活动合规水平,保护个人信息权益。
可以预见,个人信息保护合规审计将成为执法机构常态化监管的关键手段。对此,涉及个人信息保护的相关企业应如何正确应对?
中国企业管理研究会副理事长赵永辉在接受中国经济时报记者采访时表示,个人信息保护合规审计是进一步规范数字经济运行的重要举措,涉及个人信息保护的相关企业应高度重视,并重点从以下四个方面进一步加强个人信息保护力度。
一是将个人信息合规工作纳入企业内部控制体系,作为企业内部控制工作的一个重要组成部分,明确个人信息保护的风险点、关键点、控制点,将个人信息保护融入现有企业业务合规控制流程之中,以流程、体系、制度建立企业对个人信息的长效机制。
二是将个人信息合规工作融入企业组织体系,形成对个人信息合规管理的专责和专职管理体系。对于数字平台公司,应将个人信息合规工作融入公司战略、纳入董事会监管,形成高级管理层的工作职责,以上率下,层层落实合规管理责任。
三是将个人信息合规工作融入企业考核体系,增强个人和组织进一步做好个人信息合规保护的积极性。企业应根据自身行业特点、业务运行、经营规模等情况,因地制宜制定适应本单位个人信息保护方面的量化的指标体系,并将这些指标体系分解到组织和岗位,形成个人信息合规管理的“指挥棒”。
四是将个人信息合规工作融入企业评价体系,增强个人信息保护合规管理的科学性、针对性。按照即将颁布实施的《个人信息保护合规审计管理办法》,依托企业内控管理流程,定期对企业个人信息合规工作进行复盘、评价,排查在实际管理中可能存在的控制漏洞,形成问题清单,将问题整改责任落实到人,确保将“问题清单”转化为“成效清单”,循序渐进,不断提高个人信息合规管理水平。
中国贸促会全国企业合规委员会专家、北京丹华盛管理咨询有限公司首席合规专家丁继华在接受中国经济时报记者采访时表示,征求意见稿及《个人信息保护合规审计参考要点》对开展个人信息处理的企业开展有效的个人信息保护合规管理有重要意义,也对开展个人信息保护合规审计有明确的指导性。
丁继华认为,对于开展个人信息处理的企业来说,首先,应该结合加快个人信息处理的业务特点建立健全个人信息保护合规管理制度,包括内部管理制度和操作规程,明确组织架构、岗位职责,建立工作流程、完善内控制度,保障个人信息处理合规与安全,从而实现对个人信息保护合规风险的有效防范。
其次,应加快完善企业个人信息保护合规管理机制,确保个人信息保护管理有效,包括落实培训机制,加强对员工进行个人信息保护培训,提升全体员工个人信息保护合规意识;强化责任考核机制,明确业务部门的个人信息保护职责及相关专业管理部门的个人信息保护合规管理职责,并设置相应的关键绩效指标,严格开展合规考核;建立咨询举报机制,针对员工或相关个人对企业个人信息保护存在合规疑虑,或者出现个人信息保护不合规行为时,可以及时向企业进行咨询或举报,便于企业及时进行补救。
第三,按照要求自行组织或者委托第三方开展个人信息保护合规审计。比如,处理超过100万人的个人信息处理者每年至少开展一次个人信息保护合规审计,其他的应每两年至少开展一次个人信息保护合规审计,且企业聘任的合规审计机构不得连续超过三次审计。
本公众号版权归中国经济时报所有。如转载或引用本文内容须经许可,并注明转自中国经济时报。
●深化改革新征程·改革案例①丨孝感工程项目审批改革:“放管服”托举获得感