陸監管再升級 網信辦:個人訊息處理者應每年審計一次
大陸國家網信辦近期持續收緊網路監管力道。(搜狐新聞網)
大陸的網路控制又要再加大力道了嗎?大陸國家互聯網信息辦公室宣佈,擬對個人訊息保護做出新規定,要求處理超過100萬人個人訊息的個人訊息處理者,每年至少接受一次個人訊息保護的「合規審計」。
澎湃新聞報導,大陸網信辦8月3日於官網上公佈,該單位起草「個人信息保護合規審計管理辦法(徵求意見稿)」,向社會公開徵求意見,且意見回饋將止於9月2日。
據徵求意見稿,處理超過100萬人個人信息的個人信息處理者,每年應至少展開一次個人訊息保護合規審查。而其他個人信息處理者應當每兩年至少開展一次個人信息保護合規審計。
報導還指出,個人訊息處理者按照履行個人信息保護職責部門要求、委託專業機構開展個人信息保護合規審計的,應在90個工作日內完成個人信息保護合規審計。若情況複雜者,報經履行個人訊息保護職責的部門批准後可適當延長。
其中,該辦法在「個人信息保護合規審計參考要點」的附件中,明確列出共31條要點。其中,網信辦提及,對個人訊息處理規則進行審計時,應當重點審查是否真實、準確、完整地告知個人信息處理者的名稱或者姓名和聯繫方式。還有,是否以清單形式列明所收集的個人信息及其處理目的、方式、範圍。再來,明確個人訊息存儲期限或者存儲期限的確定方法、到期後的處理方式,以及確保存儲期限爲實現處理目的所必要的最短時間。是否明確個人查閱、複製、加工、轉移、更正、補充、刪除、公開、限制處理個人信息以及註銷帳號、撤回同意的途徑和方法。向第三方提供個人信息的,是否明確向個人告知接收方的名稱或者姓名、聯繫方式、處理目的、處理方式和個人信息的種類,是否取得個人的單獨同意。法律、行政法規規定的其他事項。
其次,個人訊息處理者存在因合併、重組、分立、解散、被宣告破產等原因需要轉移個人訊息情形的,應當重點審查其個人訊息處理者是否向個人告知接收方的名稱或者姓名和聯繫方式。以及接收方是否繼續履行個人訊息處理者的義務。還有,接收方變更原先處理目的、處理方式的,是否依照法律、行政法規有關規定重新取得個人同意。
再來,個人訊息處理者處理敏感個人資訊時,審計時應當重點審查,處理生物識別、宗教信仰、特定身份等敏感個人資訊的,是否事前取得個人的單獨同意。並且,處理不滿十四周歲未成年人的個人訊息,是否事前取得未成年人的父母或者其他監護人的同意。還要注意到,處理敏感個人信息的目的、方式是否合法、正當、必要。其中,在法律、行政法規規定應當取得書面同意的,是否取得書面同意。並且,是否對處理敏感個人訊息的過程進行了記錄,以保障處理敏感個人訊息流程合法合規。
最後,個人訊息處理者存在向境外提供個人信息情形時,應審查其關鍵訊息基礎設施運營者和處理100萬人以上個人訊息的個人訊息處理者向境外提供個人信息「是否經過國家網信部門組織的安全評估」等。
另,報導還稱,若違反上述辦法及規定者,將依「個人信息保護法」等法律法規處理。而構成犯罪者,則依法追究刑事責任。
中國國家網信辦表示,未來處理超過百萬人個人訊息者,應每年展開一次「合規審計」。(路透)