科技日报记者 崔爽
为指导、规范个人信息保护合规审计活动,提高个人信息处理活动合规水平,国家网信办3日发布《个人信息保护合规审计管理办法(征求意见稿)》(以下简称征求意见稿),提出处理超过100万人个人信息的处理者,应当每年至少开展一次个人信息保护合规审计;其他个人信息处理者应当每二年至少开展一次个人信息保护合规审计。
征求意见稿所称个人信息保护合规审计,是指对个人信息处理者的个人信息处理活动是否遵守法律、行政法规的情况进行审查和评价的监督活动。
征求意见稿指出,国家网信部门会同公安机关等国务院有关部门,按照统筹规划、合理布局、择优推荐的原则建立个人信息保护合规审计专业机构推荐目录,每年组织开展评估评价,并根据评估评价情况对目录进行动态调整。
征求意见稿指出,个人信息处理者利用自动化决策处理个人信息的,审计时应当重点评价自动化决策的透明度和结果的公平性、公正性,包括是否事前对算法模型进行安全评估、科技伦理审查等。
征求意见稿提出,个人信息处理者在公共场所安装图像采集、个人身份识别设备的,应当重点对其设备的合法性及所收集个人信息的用途进行审查。审查内容包括但不限于是否为维护公共安全所必需,是否存在为商业目的处理所采集信息的情况;是否设置了显著的提示标志等。
根据征求意见稿,个人信息处理者业务涉及处理不满十四周岁未成年人个人信息的,审计时应当重点审查是否制定专门的未成年人个人信息处理规则等事项。个人信息处理者存在向境外提供个人信息情形的,应当重点审查关键信息基础设施运营者和处理100万人以上个人信息的个人信息处理者,向境外提供个人信息是否经过国家网信部门组织的安全评估等事项。
大型互联网平台运营者应当成立主要由外部成员组成的独立机构对个人信息保护情况进行监督。审计时,应当对独立机构的独立性、履职能力、监督作用等进行评价。