任务来源
为明确开展个人信息保护合规审计时应满足的审计原则、总体要求等,规范个人信息处理者开展个人信息保护合规审计的行为,全国网络安全标准化技术委员会于2023年8月30日立项《数据安全技术 个人信息保护合规审计要求》国家标准制定项目。该标准由中国电子技术标准化研究院牵头,并联合中国电子信息产业发展研究院、中国信息通信研究院、中央网信办数据与技术保障中心等几十家单位共同编制。
制定背景
《个人信息保护法》第五十四条、第六十四条要求个人信息处理者自行开展合规审计以及个人信息处理活动存在较大风险或发生安全事件时,按照履行个人信息保护职责部门要求委托专业机构开展个人信息保护合规审计。为支持《个人信息保护法》落地实施,需要从国家标准层面提出开展个人信息保护合规审计的审计原则、审计总体要求。
标准编制原则
本标准在编制过程中遵循了问题导向原则、协调性原则。
本标准旨在支撑《个人信息保护法》第五十四条、第六十四条提出的个人信息保护合规审计制度的贯彻落实,解决由于缺少具体审计过程规范要求、审计开展方式步骤要求等,导致个人信息保护合规审计不易开展的问题。
本标准与现行相关标准相协调。本标准规范性引用了GB/T 35273—2020等标准,确保标准间相互协调,避免重复和不必要的差异
主要内容及其确定依据
本标准规定了依据《个人信息保护法》开展个人信息保护合规审计的审计原则、审计总体要求。适用于个人信息处理者内部机构或委托专业机构开展的个人信息保护合规审计工作。个人信息处理者按照履行个人信息保护职责的部门要求委托专业机构对其个人信息处理活动进行合规审计时可作为参考。主要内容包括:
(1)本标准给出了个人信息保护合规审计的审计原则、审计总体要求,针对个人信息处理者以及开展个人信息保护合规审计的审计人员提出了总体要求。
(2)本标准具体落地《个人信息保护法》第五十四条规定的“个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。”为更好得提供落地性指导,本标准附录给出了个人信息保护合规审计流程、个人信息保护合规审计证据、个人信息保护合规审计内容和审计方法、个人信息保护合规审计底稿模板、个人信息保护合规审计报告模板等参考。
(3)本标准附录C个人信息保护合规审计内容和审计方法主要根据中央网信办2023年8月发布的《个人信息保护合规审计管理办法(征求意见稿)》确定审计内容,在此基础上,补充了对收集个人信息最小必要要求的审计内容,和依据《未成年人网络保护条例》补充了针对未成年人个人信息保护的审计内容。针对个人信息出境的内容,则根据《促进和规范数据跨境流动规定》进行了修改。
中华人民共和国国家标准
GB/T XXXXX—XXXX
?????
数据安全技术 个人信息保护合规审计要求
Data security technology — Personal Information Protection Compliance Audit Requirements
?????
(本稿完成时间:2024年6月27日)
XXXX - XX - XX发布
XXXX - XX - XX实施