指南针炒股软件教程-今日股市买哪个赚得多-【东方资本】,普通人炒股开户哪个好,怎么配资加杠杆的股票,线上股票配资炒股平台有哪些

從企業(yè)自身發(fā)展來看，個人信息合規(guī)審計不僅是企業(yè)履行個人信息保護義務(wù)的強制性要求，也是個人信息處理者實現(xiàn)內(nèi)部風(fēng)險管理控制的有效指引。企業(yè)依法完成個人信息保護合規(guī)審計工作，可以幫助個人信息處理者定期篩查自身在個人信息處理、控制等方面存在的不足，有助于個人信息處理者提高個人信息保護水平，避免企業(yè)及員工因處理個人信息不合規(guī)，引發(fā)承擔(dān)法律責(zé)任、受到相關(guān)處罰、造成經(jīng)濟或聲譽損失以及其他負面影響的可能性。

國家標(biāo)準(zhǔn)具有規(guī)范和引領(lǐng)的雙重作用。國家標(biāo)準(zhǔn)《審計要求》的出臺，不僅是為相關(guān)機構(gòu)對個人信息處理活動進行個人信息保護合規(guī)審計提供參考，明確了個人信息保護合規(guī)審計的實施要求；對企業(yè)自身而言，意味著從審計機構(gòu)的中立性角度來審視企業(yè)進行個人信息處理行為的合法合規(guī)性。未來該項國家標(biāo)準(zhǔn)的出臺，也會為個人信息處理者如何做好個人信息保護合規(guī)工作提供了清晰明確的行為指引。

個人信息處理者如何落實個人信息保護合規(guī)審計工作，需要分別從體系化、前置化、細節(jié)化這三個不同維度，去理解個人信息保護合規(guī)審計的制度特點。

個人信息保護合規(guī)審計的范圍覆蓋了個人信息處理活動全生命周期的各個階段。《審計辦法》及其附件《個人信息保護合規(guī)審計參考要點》（下稱“參考要點”）中涉及的參考要點，包括個人信息處理活動的合法性基礎(chǔ)條件、個人信息處理規(guī)則、個人信息處理者處理個人信息時的告知義務(wù)、與他人共同處理個人信息、委托處理個人信息、因合并、重組、分立、解散、被宣告破產(chǎn)等原因需要轉(zhuǎn)移個人信息、向其他個人信息處理者提供其處理的個人信息等各個階段的個人信息處理行為，以及覆蓋內(nèi)部管理制度和操作規(guī)程、安全技術(shù)措施、教育培訓(xùn)計劃的制定和實施、個人信息保護影響評估、個人信息安全事件應(yīng)急預(yù)案、個人信息安全事件應(yīng)急響應(yīng)處置等不同環(huán)節(jié)與場景，共計31條。《審計要求》附錄C對上述條款全面覆蓋，并進一步細化，形成了C1-C37共37個小節(jié)，分別列明了審計內(nèi)容、審計證據(jù)及其審計方法。個人信息處理者可以據(jù)此厘清自身業(yè)務(wù)流程，對涉及的不同環(huán)節(jié)和應(yīng)用場景進行逐一排查。

相較于《參考要點》的相關(guān)規(guī)定，作為國家標(biāo)準(zhǔn)的《審計要求》進一步擴充了個人信息處理必要性（附錄C.2），未成年人個人信息保護合規(guī)審計（C.17-22）的內(nèi)容。其中，《參考要點》第13條第（二）款、第14條規(guī)定了處理未成年人個人信息時應(yīng)審查是否同意、處理規(guī)則、告知情況以及是否強制要求同意信息處理四個方面。國家標(biāo)準(zhǔn)《審計要求》除了上述四點合規(guī)審查外，新增未成年人真實身份審核（附錄C.17），收集未成年人個人信息等最小必要（附錄C.18.2），未成年人個人信息主體權(quán)利審查（附錄C.19），未成年人個人信息安全事件應(yīng)急響應(yīng)處置（附錄C.20），未成年人個人信息訪問的最小必要（附錄C.21），未成年人私密信息保護（附錄C.22）等審計內(nèi)容。

《審計要求》中的內(nèi)容對于企業(yè)如何合法合規(guī)處理未成年人個人信息也具有借鑒意義。在未成年人個人信息保護相關(guān)的立法規(guī)章未能出臺之前，個人信息處理者可以結(jié)合《審計要求》中的審計要點，來明確行業(yè)實踐中應(yīng)當(dāng)如何處理未成年人個人信息的具體操作步驟。

同時，個人信息處理者還可以根據(jù)《審計要求》附錄所列明的審計證據(jù)要求，來規(guī)劃未成年人個人信息處理活動中應(yīng)保存和記錄的文檔，保證信息處理活動的透明度和可追溯性，例如留存隱私政策、用戶協(xié)議、告知文案、未成年人或其監(jiān)護人行使權(quán)利的記錄等方面的信息。

合規(guī)審計工作是在個人信息處理活動發(fā)生后的評估審查，審計證據(jù)是審計機構(gòu)出具意見和做出審計結(jié)論的依據(jù)，因此，個人信息保護合規(guī)審計工作落地的重點在于審計證據(jù)的前期準(zhǔn)備工作。

個人信息處理者需要按照《審計要求》的規(guī)定進行證據(jù)管理。按照《審計法》的要求，被審計的單位應(yīng)當(dāng)對提供資料的及時性、真實性和完整性負責(zé)。《審計要求》第5.1.3條“個人信息保護合規(guī)審計證據(jù)管理”中明確規(guī)定了對審計證據(jù)如何進行管理，即個人信息處理者應(yīng)保證提供的審計證據(jù)真實、完整、有效，并滿足特定要求。例如，要求訪問日志、存儲日志、傳輸日志、刪除日志等網(wǎng)絡(luò)日志應(yīng)是未經(jīng)篡改的原始記錄。

同時，《審計要求》附錄B“個人信息保護合規(guī)審計證據(jù)”給出了個人信息保護合規(guī)審計證據(jù)類型及有效性參考，要求審計證據(jù)應(yīng)能體現(xiàn)個人信息處理者的個人信息保護情況，而且應(yīng)對于個人信息合規(guī)判斷具有相關(guān)性，其取得的方式應(yīng)具有合法性，其記錄的內(nèi)容應(yīng)具有真實性。

需要特別提示的是，既然審計證據(jù)必須是合法、真實、準(zhǔn)確的，難以通過后天的努力而進行事后補救，那么，企業(yè)應(yīng)當(dāng)提前著手做好審計證據(jù)的記錄留存工作。企業(yè)對于個人信息保護合規(guī)審計的準(zhǔn)備工作，需要前置到企業(yè)的日常合規(guī)工作流程中去，可以參考《審計要求》附錄B的內(nèi)容，規(guī)劃自身在進行個人信息處理行為時應(yīng)記錄、管理的相關(guān)文件清單，及時對涉及個人信息處理活動的客觀證據(jù)進行記錄、歸檔、留存和維護，以供審計部門查閱。同時，除了審計證據(jù)管理之外，個人信息處理者也需要進行相應(yīng)的人員配置、制度建立、設(shè)施安排等準(zhǔn)備工作。

如前所述，個人信息保護合規(guī)審計工作落地的難點，正是在于企業(yè)就如何應(yīng)對審計內(nèi)容，應(yīng)當(dāng)準(zhǔn)備哪些與之相關(guān)的審計證據(jù)。審計證據(jù)的充分性和適當(dāng)性也是審計證據(jù)的兩個重要特征，只有充分且適當(dāng)?shù)膶徲嬜C據(jù)方可具有證明力，如何細化審計證據(jù)，也必然成為國家標(biāo)準(zhǔn)重點規(guī)定的內(nèi)容。

《審計辦法》及其《審計要點》已經(jīng)較為全面地覆蓋了《個人信息保護法》中涉及的個人信息保護處理活動的合規(guī)義務(wù)，審計范圍涵括企業(yè)的個人信息處理活動的各類應(yīng)用場景。國家標(biāo)準(zhǔn)《審計要求》在此基礎(chǔ)上進一步細節(jié)化，通過附錄B、附錄C等資料性文件，對審計證據(jù)和審計方法逐一分解，清晰明了地列明企業(yè)所需要提供哪些具體證明材料的類型及內(nèi)容。便于個人信息處理者結(jié)合個人信息處理者的業(yè)務(wù)情況和行業(yè)發(fā)展等綜合考量，來建立自身的個人信息保護制度體系，履行相應(yīng)的合規(guī)義務(wù)，并在企業(yè)經(jīng)營過程中記錄并留存相關(guān)的各類文件及證明材料，以備審計部門查閱需要。

朱蕓陽，北京清律律師事務(wù)所主任

來源： 數(shù)據(jù)安全共同體計劃