刘烈宏:担当作为 改革攻坚 扎实推动数据工作取得新突破新进展
发布时间:2025-02-15 09:41:22 浏览次数:763 来源:“国家数据局”微信公众号
2024年,在党中央、国务院坚强领导下,在国家发展改革委党组的指导支持下,国家数据局党组深入学习贯彻习近平总书记关于数据发展和安全的重要论述,坚持数据要素市场化配置改革一条主线,统筹数字中国、数字经济、数字社会规划和建设,数据领域各项工作蹄疾步稳、有序推进,在很多方面取得重要进展。一年来,数据要素市场化配置改革迈出新步伐,数据要素赋能“三个建设”取得新成效,政治建设和队伍建设得到新提升。
一、坚决贯彻党中央、国务院决策部署,真抓实干,数据工作实现良好开局
始终把党的政治建设摆在首位,把旗帜鲜明讲政治作为数据工作的生命线,确保数据事业始终沿着习近平总书记和党中央指引的方向前进。
以高质量党建引领数据工作高质量发展。坚持政治引领,持续深化政治机关建设,组织学习习近平总书记关于数据发展和安全的重要论述精神,持续推进基层党组织建设,深入开展党纪学习教育,积极培育具有数据特色的机关文化。坚持问计于民,大兴调查研究之风,召开企业家、专家座谈会100余次。首次承办完成人大政协建议提案500多件。坚持强基固本,完成数据系统机构组建,加大人才引进力度,抓好全系统业务培训。
数据基础制度框架基本形成。坚持系统谋划,注重加大政策供给,立足数据“供得出、流得动、用得好、保安全”,推动出台公共数据资源开发利用、企业数据资源开发利用等19份政策文件,搭建起数据基础制度的基本框架,努力将我国海量数据优势转化为国家竞争新优势。指导地方加快探索数据产权结构性分置制度,推进健全数据授权机制,加快完善数据要素市场体系,为服务地方经济社会高质量发展提供有力支撑。
数据开发利用提档加速。着力推动公共数据资源开发利用,规范登记管理、授权运营和价格形成,启动国家数据局重点联系第一批18个示范场景建设,筹划在16个城市开展物流数据开放互联专项试点。“数据要素×”大赛聚焦智能制造、智慧农业、商贸流通等12个重点行业和领域,推动数据在不同场景中发挥千姿百态的乘数效应。大赛已经成为推动数据要素市场化配置改革的重要抓手,在树标杆、提品质、促发展等方面发挥积极作用,集中反映了数据开发利用的新风貌、新发展、新境界。
数据基础设施建设加快探索布局。在数场、可信数据空间、数联网、数据元件、区块链、隐私保护计算等方向,部署先行先试任务,挖掘和打造一批具有代表性、示范性的数据基础设施建设方案和典型实践。各行业、各地区踊跃开展数据基础设施建设探索,也形成一些经验成果。比如,农业农村部利用隐私保护计算设施实现了卫星遥感、农作物图斑等大体量、高敏感时空数据的安全、高效流通利用,覆盖全国2000多个县级行政区、600多万农户,完成农作物收成的预测。印发《关于促进数据标注产业高质量发展的实施意见》,向成都、沈阳、合肥、长沙、海口、保定、大同7个承担数据标注基地建设任务的城市下发任务书,部署先行先试任务,指导召开两次数据标注产业供需对接会。
数据生态培育成效初显。当前,全社会对数据价值的认识不断提升,越来越多的经营主体参与到数据要素市场化配置中来,特别是积极参与促进数据流通和开发利用,涌现出一批服务型、应用型、技术型数据商,成为数据价值实现的推进者、转化者、开发者。据有关机构统计,近10年来,我国数据商企业数量从11万家增长到超过100万家,成为数据产业的重要组成部分,在盘活数据要素价值中发挥着关键作用。
数字中国建设稳步推进。各地区各部门积极作为、攻坚克难,积极推进数字中国建设各项任务,在数字经济、数字政务、数字文化、数字社会、数字生态文明等领域取得明显成效。首次召开数字中国建设工作推进会议,印发《数字中国建设2024年工作要点清单》,部署年度重点任务,成功举办第七届数字中国建设峰会和2024中国国际大数据产业博览会,发布《数字中国发展报告(2023年)》,系统总结数字中国建设取得的重要进展和工作成效。成立全国数据标准化技术委员会和国家数据专家咨询委员会,组建国家数据发展研究院。
数字经济发展提质增效。国务院常务会议研究部署推进数字经济高质量发展有关工作,制定支持数字经济高质量发展政策。数字化转型工程深入实施,大中小企业数字化智能化水平稳步提升。建立健全透明可预期的常态化监管制度。数字经济核心产业增加值占国内生产总值比重持续提升,有望提前实现“十四五”目标。
数字社会建设成效显著。印发实施《关于深化智慧城市发展 推进城市全域数字化转型的指导意见》,召开现场推进会,发布首批典型案例及部分城市场景清单。在各部门协同推动下,数字社会建设工作扎实推进,取得良好成效,数字公共服务普惠化水平全面提升,数字社会治理精准化显著提高,数字红利和美好数字生活进一步惠及全民。
数字经济领域国际合作统筹推进。国家数据局承担数字经济领域国际合作、参与国际数字治理规则制定等重要职责,积极加强政府间数据互信,与20多个国家签署数字经济合作备忘录,务实开展数字经济领域合作。召开中国—新加坡数字政策对话机制首次会议,就数据跨境、人工智能等议题开展深入交流,积极加强国际规则对接,参与加入《数字经济伙伴关系协定》(DEPA)、联合国《全球数字契约》等规则谈判,与有关国际组织加强数据领域标准制定合作。
二、把握数据特性和作用机理,深化对数据工作规律的认识
中央经济工作会议强调,2025年我国经济要保持稳定增长,稳中求进、以进促稳。落实上述要求,亟须发挥好数据的基础资源作用和创新引擎作用,以数据要素提升其他生产要素组合效率,激发其他生产要素创新活力,从而提升全要素生产率。数据只有用得好,价值才能“显性化”。无论是数据产品还是数据服务,只有在使用过程中才会创造价值、体现价值。市场化是手段,价值化是目的。我们要大力推进数据要素的市场化价值化,让数据的价值体现在企业降本增效里,体现在培育新质生产力中,体现在赋能经济社会高质量发展上。
在2024年“制度建设年”的基础上,将2025年明确为数据工作“改革攻坚年”。改革攻坚不仅要有敢于胜利的拼搏精神,还要把握数据特性和作用机理,增强破解难题的能力,确保谋篇布局规划工作的站位更高,系统研究理论问题的程度更深,“马上就办”狠抓落实的举措更实。做好2025年数据工作,要做到五个“更加突出”。
要更加突出赋能经济社会发展。将数据工作全面融入经济社会发展大局,发挥数据要素创新配置的作用,促转型、扩内需、稳外贸,培育经济增长新动能。推动“数据要素×”行动深入实施,促进工业互联网加快创新发展,更好发挥数字经济在培育发展新质生产力方面的重要引擎作用。将数字技术与市场优势、产业优势更好结合起来,塑造国家竞争新优势。
要更加突出锐意改革。数据既是数字化、网络化、智能化的结果,也是进一步推进数字化、网络化、智能化的资源。要发挥数据的基础资源和创新引擎作用,必须从应用的角度看数据,从数据的角度看系统,勇于破除束缚数据生产、流通、利用的惯性思维和条条框框。比如,对于政务数据,要让其既在数字政府建设这个传统“主战场”上发挥作用,还要在服务经济社会高质量发展、高水平安全这个全局性的新的“主战场”上发挥更大作用。又比如,数据资源富集的企业在做好自身创新驱动和数据驱动的同时,要把数据进一步“供出来”,服务产业链、生态链上的大中小企业,进而更好赋能经济社会发展。
要更加突出统筹协调。数据工作离不开各有关部门的支持,数据局要发挥好统筹协调和服务的角色,要充分调动各数据持有部门的积极性,强化跨部门、跨层级沟通协调和政策协同,合力推进数据整合共享、开发利用。
要更加突出创新方式方法。数据系统的职能定位,决定了不能与别的部门叠床架屋,必须创新方式方法,找到抓手和平台,调动新的资源和力量,做好基础工作,做强宏大事业。比如,通过推进城市全域数字化转型,既承接数字中国整体部署,又对接智慧城市建设,加快数字经济创新发展和城市治理能力现代化,开辟出新的工作增量空间;通过创新驱动和数据驱动相结合,加快数字产业集群建设,带动大中小企业梯度式、集群式发展;通过纵深推进数字中国、数字经济试点试验工作,取得一批牵引性、创新性、撬动性强的工作成果。
要更加突出落地见效。要取得改革攻坚的预期成效,就必须出实招、求实效,层层压实责任,既挂帅又出征,当好实干家、行动派,推动各项政策举措落地生根、开花结果。数据工作要坚持效果导向。谋划推动工作要始终想着:数据作为新型生产要素市场化配置改革怎么办?构建以数据为关键要素的数字经济怎么干?数据赋能经济社会高质量发展效果怎么样?要以回答好这“三大问题”作为评判数据工作实效的标准。
三、攻坚克难、狠抓落实,推动数据工作取得新突破新进展
2025年数据工作总体思路是:坚持以习近平新时代中国特色社会主义思想为指导,深入学习贯彻习近平总书记关于数据发展和安全的重要论述,全面贯彻党的二十大和二十届二中、三中全会精神,深入落实中央经济工作会议决策部署以及全国发展和改革工作会议要求,聚焦党的二十届三中全会部署的重点改革任务,继续坚持数据要素市场化配置改革这条主线,强化统筹数字中国、数字经济和数字社会规划与建设,更加突出赋能经济社会发展、锐意改革、统筹协调、创新方式方法和落地见效,持续完善政策制度和体制机制,重点突破制约数据要素市场化价值化的难点堵点痛点问题,担当作为、改革攻坚,努力完成“十四五”规划和《数字中国建设整体布局规划》目标任务,为实现“十五五”良好开局打下基础。重点做好以下9项工作。
着力促进党建和业务工作深度融合。始终把政治建设摆在首位,定期开展党组理论学习中心组学习,办好“数据大讲堂”。健全组织体系建设,加强党务干部队伍建设,落实机关党建责任制。加强党员干部教育监督管理,着力提升“三会一课”、主题党日等组织生活质量。纵深推进全面从严治党,巩固深化党纪学习教育成果,推进党纪学习教育常态化长效化,持之以恒正风肃纪反腐。持续抓好干部队伍建设,坚持新时代好干部标准,注重在急难险重任务中培养、锻炼和选拔年轻优秀干部,落实“三个区分开来”。倡导学习型机关,培育具有数据工作特色的机关文化。
着力实现2025年数字中国建设目标。充分发挥现有工作机制作用,加强工作体系建设,凝聚各方力量,推动跨部门协同和纵向联动,统筹做好各方面政策措施的有效衔接。进一步落实主体责任。国家数据局将加强统筹协调、整体推进。有关部门按照职责职能,制定政策措施,强化资源整合,形成工作合力。各地区要充分发挥数据管理机构职能作用,将数字化发展摆在本地区工作重要位置。营造良好发展氛围。统筹开展试点试验,持续挖掘典型案例,及时总结推广。继续谋划办好数字中国建设峰会、中国国际大数据产业博览会等重大活动,搭建宣传交流合作平台,广泛凝聚发展共识。
着力推动数字经济和数字社会高质量发展。制定数字经济、数字社会2025年工作要点。推动构建数字产业集群梯次布局体系,在重点区域布局一批具有国际竞争力的数字产业集群。深入实施数字化转型工程,搭建公共服务平台,培育服务商,推进适数化改革。促进平台经济创新发展,加快数字经济创新型企业梯队培育。深化国家数字经济创新发展试验区建设。推进统计核算试点,完善数字经济监测评估指标体系。坚持全局观念、协作共享、成效导向、场景牵引,注重改革创新和经验复制,构建数字社会应用示范场景,加速推进数智化转型升级,制定数据融合应用场景任务清单。务实推进城市全域数字化转型,进一步夯实城市数据底座,制定完善城市数字化转型标准规范。
着力培育壮大全国一体化数据市场。细化数据流通交易规则,推动发布数据流通交易标准示范合同。推进数据资源化和产品化,建立数据产品质量监督管理机制。激励数据富集型企业加大供数力度,吸引更多经营主体投身数据市场建设。出台促进数据交易机构高质量发展政策文件,探索数据要素价值实现模式和路径。完善数据市场信息交互渠道,构建完善数据流通交易标准体系。构建数据市场监测体系,研究完善数据交易机构及数据市场运行监测评估指标。界定数据责任,完善利益保护机制,探索建立数据流通交易参与各方的收益分配机制,强化数据流通合规治理。
着力提升数据基础制度保障力。统筹开展数据领域规划编制工作,加快形成数据领域规划体系。制定印发数据产权制度和培育全国一体化数据市场文件。会同国家统计局建立全国数据资源统计调查制度。指导推进数据要素综合试验区建设,因地制宜开展先行先试。坚持顶层设计和基层探索相结合。一方面,国家数据局将基于实践基础,不断完善和优化顶层设计,加快形成系统完整、科学合理、协调统一的数据基础制度体系;另一方面,各地方各部门要大胆探索、先行先试。
着力增强数据资源价值释放驱动力。积极推动公共数据资源管理和运营机制改革,以公共数据开发利用引领撬动各方数据的融合应用,大力推动企业数据资源的开发利用。围绕重点场景建立数据融合任务清单,加快形成应用成果。实施可信数据空间发展行动计划,组织开展企业、行业、城市、个人、跨境各类可信数据空间创新试点试验。鼓励地方建立数据企业培育库,培育一批生态带动和产业引领力强的数据企业。纵深推进“数据要素×”大赛,分行业探索数据流通交易新模式。地方数据管理部门也积极探索促进数据合规高效流通使用,建立数据利用的多应用场景和模式,更好释放数据要素价值。会同财政部完善数据资产入表政策体系,以推进数据资产入表带动企业数据开发利用。稳妥推进数据资本化,稳步推进数据资产融资增信,规范公司股东以数据作价出资行为。
着力夯实数据基础设施支撑力。党中央审时度势,准确把握数字化发展的态势,在党的二十届三中全会上进一步提出“建设和运营国家数据基础设施,促进数据共享”。如何推动国家数据基础设施建设成为摆在国家数据局面前的新课题,需要把握三个关键。第一个关键是遵循“三个统一”夯实数据基础设施底座。其中,统一目录标识确保了全域数据可见,统一身份登记实现了数据共享主体可信,统一接口要求支撑数据可流通。第二个关键是遵循市场规律培育产业生态,培育一批信息通信、技术开发、系统集成、咨询设计、运维管理等相关企业,同时发挥数据基础设施建设的带动作用,赋能产业上下游协同发展。第三个关键是遵循法律法规和安全要求,筑牢数据安全“防火墙”,推动安全保障体系与流通利用等设施能够同步规划、同步建设、同步运营。结合数据流通范围、影响程度、流量规模,区分使用场景和用途用量,建立健全数据安全相关标准规范。
着力高质量做好投资工作。统筹自上而下和自下而上,围绕影响数据事业发展的重点问题,谋划并组织实施一批具有示范带动作用的重大项目,充分考虑不同行业、不同地区的发展情况,组织一批结合地方实际、满足应用需求的项目。统筹抓好“硬投资”和“软建设”,把项目建设和数据领域的配套改革结合起来,充分发挥规划引领作用,推进适数化改革,出台有针对性和操作性的配套制度和政策。统筹把握当前和中长期任务安排,投资工作既要与“十四五”规划落实相结合,还要与“十五五”发展需求相衔接。
着力促进数据领域国际合作深化。落实体系化推进数据领域国际合作的行动方案,稳步推进与重点国家和地区的多双边合作。为中外数字企业发展创造良好发展环境,既支持鼓励中国企业,特别是中国数字企业“品牌出海”“质量出海”,为世界各国提供数字化转型好的方案和经验,也坚持为在华企业务实解决问题,提供高质量服务。欢迎世界各国企业参与到中国数据要素市场化、价值化进程中,共享发展红利和发展机遇。
(作者系国家发展改革委党组成员,国家数据局党组书记、局长;本文刊登在《习近平经济思想研究》2025年第1期)
关键字: 数据要素
新闻>政策法规
头条热点
公司新闻
行业标准
政策法规
国家互联网信息办公室公布《个人信息保护合规审计管理办法》
发布时间:2025-02-15 11:31:47 浏览次数:972 来源:国家互联网信息办公室网站
2月14日,国家互联网信息办公室公布《个人信息保护合规审计管理办法》,《办法》共二十条,对合规审计活动的开展、合规审计机构的选择、合规审计的频次、个人信息处理者和专业机构在合规审计中的义务等作出细化规定,旨在为个人信息处理者开展个人信息保护合规审计提供系统性、针对性、可操作性的规范,提升个人信息处理活动合法合规水平,保护个人信息权益。《办法》自2025年5月1日起施行。
国家互联网信息办公室令
第18号
《个人信息保护合规审计管理办法》已经2024年5月20日国家互联网信息办公室2024年第15次室务会会议审议通过,现予公布,自2025年5月1日起施行。
国家互联网信息办公室主任 庄荣文
2025年2月12日
个人信息保护合规审计管理办法
第一条 为了规范个人信息保护合规审计活动,保护个人信息权益,根据《中华人民共和国个人信息保护法》、《网络数据安全管理条例》等法律、行政法规,制定本办法。
第二条 在中华人民共和国境内开展个人信息保护合规审计,适用本办法。
本办法所称个人信息保护合规审计,是指对个人信息处理者的个人信息处理活动是否遵守法律、行政法规的情况进行审查和评价的监督活动。
第三条 个人信息处理者自行开展个人信息保护合规审计的,应当由个人信息处理者内部机构或者委托专业机构定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。
第四条 处理超过1000万人个人信息的个人信息处理者,应当每两年至少开展一次个人信息保护合规审计。
第五条 个人信息处理者有以下情形之一的,国家网信部门和其他履行个人信息保护职责的部门(以下统称为保护部门),可以要求个人信息处理者委托专业机构对个人信息处理活动进行合规审计:
(一)发现个人信息处理活动存在严重影响个人权益或者严重缺乏安全措施等较大风险的;
(二)个人信息处理活动可能侵害众多个人的权益的;
(三)发生个人信息安全事件,导致100万人以上个人信息或者10万人以上敏感个人信息泄露、篡改、丢失、毁损的。
对同一个人信息安全事件或者风险,不得重复要求个人信息处理者委托专业机构开展个人信息保护合规审计。
第六条 个人信息处理者自行开展或者按照保护部门要求委托专业机构开展个人信息保护合规审计的,应当参照本办法附件《个人信息保护合规审计指引》。
第七条 专业机构应当具备开展个人信息保护合规审计的能力,有与服务相适应的审计人员、场所、设施和资金等。
鼓励相关专业机构通过认证。专业机构的认证按照《中华人民共和国认证认可条例》的有关规定执行。
第八条 个人信息处理者按照保护部门要求开展个人信息保护合规审计的,应当为专业机构正常开展个人信息保护合规审计工作提供必要支持,并承担审计费用。
第九条 个人信息处理者按照保护部门要求开展个人信息保护合规审计的,应当按照保护部门要求选定专业机构,在限定时间内完成个人信息保护合规审计;情况复杂的,报保护部门批准后,可以适当延长。
第十条 个人信息处理者按照保护部门要求开展个人信息保护合规审计的,在完成合规审计后,应当将专业机构出具的个人信息保护合规审计报告报送保护部门。
个人信息保护合规审计报告应当由专业机构主要负责人、合规审计负责人签字并加盖专业机构公章。
第十一条 个人信息处理者按照保护部门要求开展个人信息保护合规审计的,应当按照保护部门要求对合规审计中发现的问题进行整改。在整改完成后15个工作日内,向保护部门报送整改情况报告。
第十二条 处理100万人以上个人信息的个人信息处理者应当指定个人信息保护负责人,负责个人信息处理者的个人信息保护合规审计工作。
提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当成立主要由外部成员组成的独立机构对个人信息保护合规审计情况进行监督。
第十三条 专业机构在从事个人信息保护合规审计活动时,应当遵守法律法规,诚信正直,公正客观地作出合规审计职业判断,对在履行个人信息保护合规审计职责中获得的个人信息、商业秘密、保密商务信息等应当依法予以保密,不得泄露或者非法向他人提供,在合规审计工作结束后及时删除相关信息。
第十四条 专业机构不得转委托其他机构开展个人信息保护合规审计。
第十五条 同一专业机构及其关联机构、同一合规审计负责人不得连续三次以上对同一审计对象开展个人信息保护合规审计。
第十六条 保护部门对个人信息处理者开展个人信息保护合规审计情况进行监督检查。
第十七条 任何组织、个人有权对个人信息保护合规审计中的违法活动向保护部门进行投诉、举报。收到投诉、举报的部门应当依法及时处理,并将处理结果告知投诉、举报人。
第十八条 个人信息处理者、专业机构违反本办法规定的,依照《中华人民共和国个人信息保护法》、《网络数据安全管理条例》等法律法规的规定处理;构成犯罪的,依法追究刑事责任。
第十九条 对国家机关和法律、法规授权的具有管理公共事务职能的组织的个人信息保护合规审计,不适用本办法。
第二十条 本办法自2025年5月1日起施行。
附件
个人信息保护合规审计指引
一、本指引根据《中华人民共和国个人信息保护法》、《网络数据安全管理条例》等法律、行政法规制定。
二、对个人信息处理活动的合法性基础进行合规审计的,应当重点审查下列事项:
(一)基于个人同意处理个人信息的,是否取得个人同意,该同意是否由个人在充分知情的前提下自愿、明确作出;
(二)基于个人同意处理个人信息的,个人信息的处理目的、处理方式、处理的个人信息种类发生变更的,是否重新取得个人同意;
(三)基于个人同意处理个人信息的,是否依照法律、行政法规取得个人单独同意或者书面同意;
(四)处理个人信息未取得个人同意的,是否属于法律、行政法规规定不需要取得个人同意的情形。
三、对个人信息处理规则进行合规审计的,应当重点审查下列事项:
(一)是否真实、准确、完整地告知个人信息处理者的名称或者姓名和联系方式;
(二)是否以清单等便于查看的形式列明所收集的个人信息及其处理方式和种类;
(三)是否与处理目的直接相关,采取对个人权益影响最小的方式;
(四)是否明确个人信息保存期限或者保存期限的确定方法、到期后的处理方式,以及确定保存期限为实现处理目的所必要的最短时间;
(五)是否明确个人查阅、复制、转移、更正、补充、删除、限制处理个人信息以及注销账号、撤回同意的途径和方法。
四、对个人信息处理者履行告知个人信息处理规则义务进行合规审计的,应当重点审查下列事项:
(一)个人信息处理者在处理个人信息前,是否以显著方式、清晰易懂的语言真实、准确、完整地向个人告知个人信息处理规则;
(二)告知文本的大小、字体和颜色是否便于个人完整阅读告知事项;
(三)线下告知是否通过标注、说明等多种方式向个人履行告知义务;
(四)在线告知是否提供文本信息或者通过适当方式向个人履行告知义务;
(五)个人信息处理规则发生变更的,是否将变更内容及时告知个人;
(六)处理个人信息不需要告知的,是否属于法律、行政法规规定应当保密或者不需要告知的情形。
五、对个人信息处理者与其他个人信息处理者共同处理个人信息进行合规审计的,应当重点审查下列事项:
(一)是否约定各自的权利义务;
(二)个人信息权益保护机制;
(三)个人信息安全事件报告机制;
(四)其他法律、行政法规规定需要约定的权利和义务。
六、对个人信息处理者委托处理个人信息进行合规审计的,应当重点审查下列事项:
(一)个人信息处理者在委托处理个人信息前,是否开展个人信息保护影响评估;
(二)个人信息处理者与受托人签订的合同,是否与受托人约定了委托处理的目的、期限、方式、个人信息的种类、保护措施以及双方的权利义务等;
(三)个人信息处理者是否采取定期检查等方式,对受托人的个人信息处理活动进行监督。
七、个人信息处理者存在因合并、重组、分立、解散、被宣告破产等原因需要转移个人信息情形的,应当重点审查个人信息处理者是否向个人告知接收方的名称或者姓名和联系方式。
八、对个人信息处理者向其他个人信息处理者提供其处理的个人信息进行合规审计的,应当重点审查下列事项:
(一)基于个人同意处理个人信息的,是否取得个人的单独同意;
(二)是否向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,法律、行政法规规定应当保密或者不需要告知的除外;
(三)是否事前进行个人信息保护影响评估。
九、对个人信息处理者利用自动化决策处理个人信息进行合规审计的,应当重点审查下列事项:
(一)自动化决策的透明度,以及自动化决策的结果是否公平、公正;
(二)是否事前告知个人自动化决策处理个人信息的种类及可能带来的影响;
(三)是否事前进行个人信息保护影响评估;
(四)是否向用户提供保障机制,以便个人通过便捷方式拒绝通过自动化决策方式作出对个人权益有重大影响的决定,并要求个人信息处理者就通过自动化决策方式作出对用户个人权益有重大影响的决定予以说明;
(五)向个人进行信息推送、商业营销的,是否同时提供不针对个人特征的选项,或者提供便捷的拒绝自动化决策服务的方式;
(六)是否采取了有效措施,防止自动化决策根据消费者的偏好、交易习惯等对个人在交易条件上实行不合理的差别待遇;
(七)其他可能影响自动化决策的透明度和结果公平、公正的事项。
十、对个人信息处理者基于个人同意公开个人信息进行合规审计的,应当重点审查下列事项:
(一)个人信息处理者公开其处理的个人信息前是否取得个人单独同意,该授权是否真实、有效,是否存在违背个人意愿将个人信息予以公开的情况;
(二)个人信息处理者公开个人信息前,是否进行个人信息保护影响评估。
十一、个人信息处理者在公共场所安装图像收集、个人身份识别设备的,应当重点对其安装图像收集、个人信息身份识别设备的合法性及所收集个人信息的用途进行审查。审查内容包括但不限于:
(一)是否为维护公共安全所必需,是否为商业目的处理所收集的个人信息;
(二)是否设置了显著的提示标识;
(三)个人信息处理者所收集的个人图像、身份识别信息用于维护公共安全以外用途的,是否取得个人单独同意。
十二、对个人信息处理者处理已公开的个人信息进行合规审计的,应当重点审查个人信息处理者是否存在下列违法违规行为:
(一)向已公开个人信息中的电子邮箱、手机号等发送与其公开目的无关的商业信息;
(二)利用已公开的个人信息从事网络暴力、传播网络谣言和虚假信息等活动;
(三)处理个人明确拒绝处理的已公开个人信息;
(四)对个人权益有重大影响,未取得个人同意;
(五)收集、留存或处理已公开个人信息的规模、时间或使用目的超出合理范围。
十三、对个人信息处理者处理敏感个人信息进行合规审计的,应当重点审查下列事项:
(一)基于个人同意处理个人信息的,处理生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等敏感个人信息,是否事前取得个人的单独同意;
(二)基于个人同意处理个人信息的,处理不满十四周岁未成年人的个人信息,是否事前取得未成年人的父母或者其他监护人的同意;
(三)处理敏感个人信息的目的、方式、范围是否合法、正当、必要;
(四)是否在事前进行个人信息保护影响评估;
(五)是否向个人告知处理敏感个人信息的必要性以及对个人权益的影响,法律、行政法规规定应当保密或者不需要告知的除外;
(六)法律、行政法规规定应当取得书面同意的,是否取得书面同意;
(七)是否遵守法律、行政法规对处理敏感个人信息的限制性规定。
十四、对个人信息处理者处理不满十四周岁未成年人个人信息进行合规审计的,应当重点审查下列事项:
(一)是否制定专门的个人信息处理规则;
(二)是否向未成年人及其监护人告知未成年人个人信息的处理目的、处理方式、处理必要性,以及处理个人信息的种类、所采取的保护措施等,法律、行政法规规定不需要告知的除外;
(三)基于个人同意处理个人信息,是否存在强制要求未成年人或者其监护人同意处理非必要个人信息的行为。
十五、对个人信息处理者向境外提供个人信息进行合规审计的,应当重点审查下列事项:
(一)关键信息基础设施运营者向境外提供个人信息是否经过国家网信部门组织的安全评估,法律、行政法规、国家网信部门另有规定的,从其规定;
(二)关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供100万人以上个人信息(不含敏感个人信息)或者1万人以上敏感个人信息是否经过国家网信部门组织的安全评估,法律、行政法规、国家网信部门另有规定的,从其规定;
(三)关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息)或者不满1万人敏感个人信息的,是否按照国家网信部门的规定,经个人信息保护认证或者按照国家网信部门制定的标准合同与境外接收方签订合同并向所在地省级网信部门备案,或者符合法律、行政法规、国家网信部门规定的其他条件;
(四)存在向外国司法或者执法机构提供存储于中华人民共和国境内个人信息情形的,是否经过中华人民共和国主管机关批准;
(五)是否向被列入限制或者禁止个人信息提供清单的组织和个人提供个人信息。
十六、对个人信息删除权保障情况进行合规审计的,应当重点审查下列事项:
(一)个人信息处理目的是否已实现、无法实现或者为实现处理目的不再必要;
(二)个人信息处理者是否停止提供产品或者服务,或者个人是否已注销账号;
(三)保存期限是否已届满;
(四)个人是否撤回同意;
(五)个人信息处理者是否违反法律、行政法规或者违反约定处理个人信息;
(六)应当删除个人信息,但法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,个人信息处理者是否停止除存储和采取必要的安全措施之外的处理。
十七、对个人信息处理者保障个人在个人信息处理活动中的权利情况进行合规审计的,应当重点审查下列事项:
(一)是否建立便捷的个人行使权利的申请受理机制和处理机制;
(二)是否及时响应个人行使权利的申请,是否及时、完整、准确告知处理意见或者执行结果;
(三)拒绝个人行使权利请求的,是否向个人说明理由。
十八、个人信息处理者应当响应个人申请,对其个人信息处理规则进行解释说明,合规审计时应当重点对下列内容进行评价:
(一)个人信息处理者是否提供便捷的方式和途径,接受、处理个人关于个人信息处理规则解释说明的要求;
(二)接到个人的要求后,个人信息处理者是否在合理的时间内,使用通俗易懂的语言对其个人信息处理规则作出解释说明。
十九、个人信息处理者应当依照法律、行政法规的规定制定内部管理制度和操作规程,明确组织架构、岗位职责,建立工作流程、完善内控制度,保障个人信息处理合规与安全。合规审计时,应当重点对个人信息处理者个人信息保护内部管理制度和操作规程进行审查,包括但不限于:
(一)个人信息保护工作的方针、目标、原则是否符合法律、行政法规规定;
(二)个人信息保护组织架构、人员配备、行为规范、管理责任是否与应当履行的个人信息保护责任相适应;
(三)是否根据个人信息的种类、来源、敏感程度、用途等,对个人信息进行分类;
(四)是否建立个人信息安全事件应急响应机制;
(五)是否建立个人信息保护影响评估制度、合规审计制度;
(六)是否建立畅通的个人信息保护投诉举报受理流程;
(七)是否合理制定个人信息处理操作权限;
(八)是否制定实施个人信息保护安全教育和培训计划;
(九)是否建立个人信息保护负责人及相关人员履职评价制度;
(十)是否建立个人信息违法处理责任制度;
(十一)法律、行政法规规定的其他事项。
二十、个人信息处理者应当采取与所处理个人信息规模、类型相适应的安全技术措施,并对个人信息处理者采取的技术措施的有效性进行评价,评价内容包括但不限于:
(一)是否采取相应安全技术措施实现个人信息的保密性、完整性、可用性;
(二)是否采取加密、去标识化等安全技术措施,确保在不借助额外信息的情况下,消除或者降低个人信息的可识别性;
(三)采取的安全技术措施能否合理确定有关人员查阅、复制、传输个人信息等的操作权限,减少个人信息在处理过程中未经授权的访问和滥用风险。
二十一、对个人信息处理者教育培训计划的制定和实施情况进行合规审计时,应当重点对下列事项进行评价:
(一)是否按计划对管理人员、技术人员、操作人员、全员开展相应的安全教育和培训,是否对相应人员的个人信息保护意识和技能进行考核;
(二)培训内容、方式、对象、频率等能否满足个人信息保护需要。
二十二、对个人信息处理者指定的个人信息保护负责人履职情况进行合规审计的,应当重点审查下列事项:
(一)个人信息保护负责人是否具有相关的工作经历和专业知识,熟悉个人信息保护相关法律、行政法规;
(二)个人信息保护负责人是否具有明确清晰的职责,是否被赋予充分的权限协调个人信息处理者内部相关部门与人员;
(三)个人信息保护负责人在个人信息处理重大事项决策前是否有权提出相关意见和建议;
(四)个人信息保护负责人是否有权对个人信息处理者内部个人信息处理的不合规操作进行制止和采取必要的纠正措施;
(五)个人信息处理者是否公开个人信息保护负责人的联系方式,并将个人信息保护负责人的姓名、联系方式等报送保护部门。
二十三、对个人信息处理者开展个人信息保护影响评估情况进行合规审计时,应当重点对影响评估开展情况和评估内容进行审查:
(一)是否依照法律、行政法规的规定,在进行对个人权益具有重大影响的个人信息处理活动前进行个人信息保护影响评估;
(二)是否对个人信息的处理目的、处理方式等进行合法、正当、必要评估;
(三)是否对个人权益的影响及安全风险进行评估;
(四)是否对所采取的保护措施的合法性、有效性,以及与风险程度的适应性进行评估。
二十四、个人信息处理者应当制定个人信息安全事件应急预案。合规审计时,应当对应急预案的全面性、有效性、可执行性作出评价,包括但不限于下列内容:
(一)是否结合业务实际,对面临的个人信息安全风险作出系统评估和预测;
(二)总体要求、基本策略,组织机构、人员,技术、物资保障,指挥处置程序,应急和支持措施等是否足以应对预测的风险;
(三)是否对相关人员进行应急预案培训,定期对应急预案进行演练。
二十五、对个人信息处理者个人信息安全事件应急响应处置情况进行合规审计的,应当重点审查下列事项:
(一)是否按照应急预案、操作规程及时查明个人信息安全事件的影响、范围和可能造成的危害,分析、确定事件发生的原因,提出防止危害扩大的措施方案;
(二)是否建立通报渠道,在安全事件发生后按照相关规定及时通知保护部门和个人;
(三)是否采取相应措施将个人信息安全事件可能造成的损失和可能产生的危害风险降低到最小。
二十六、对提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者制定的平台规则进行合规审计的,应当重点审查下列事项:
(一)平台规则是否与法律、行政法规相抵触;
(二)平台规则个人信息保护条款的有效性,是否合理界定了平台、平台内产品或者服务提供者的个人信息保护权利和义务;
(三)平台规则的执行情况,是否通过抽样等方式验证平台规则被有效执行。
二十七、对提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者发布的个人信息保护社会责任报告进行合规审计的,应当重点审查社会责任报告披露下列内容的情况:
(一)个人信息保护组织架构和内部管理情况;
(二)个人信息保护能力建设情况;
(三)个人信息保护措施和成效;
(四)个人行使权利的申请受理情况;
(五)独立监督机构履职情况;
(六)重大个人信息安全事件处理情况;
(七)促进个人信息保护社会共治的科普宣传、公益活动情况;
(八)法律、行政法规规定的其他事项。
关键字: 个人信息保护合规审计