Направлять и стандартизироватьЗащита личной информацииНадзорный аудитдеятельность, по данным «Китайской Народной Республики»Закон о защите личной информациии другие законы и постановления, Администрация киберпространства Китая разработала проект «Мер по управлению аудитом соблюдения требований по защите личной информации (проект для комментариев)», который теперь открыт для комментариев общественности. Общественность может обеспечить обратную связь по следующим каналам и методам:
1. Войдите в Правовую информационную сеть правительства Китая Министерства юстиции Китайской Народной Республики (www.moj.gov.cn, www.chinalaw.gov.cn) и войдите в столбец «Сбор мнений законодательных органов» на странице главное меню главной страницы, чтобы выразить свое мнение.
2.Отправьте по электронной почте: shujuju@cac.gov.cn.
3. Отправьте свое мнение письмом по адресу: Бюро управления сетевыми данными Администрации киберпространства Китая, улица Фученг № 15, район Хайдянь, Пекин, почтовый индекс 100048, и укажите на конверте «Запрос мнений по аудиту соблюдения требований по защите личной информации». Меры управления».
Срок подачи отзывов – 2 сентября 2023 г.
Приложение: Меры по управлению аудитом соблюдения требований по защите личной информации (проект для комментариев)
Государственное бюро интернет-информации
3 августа 2023 г.
Меры по управлению аудитом соблюдения требований по защите личной информации
(Черновик для комментариев)
Статья 1 сформулирована в соответствии с «Законом Китайской Народной Республики о защите личной информации» и другими законами, административными регламентами и соответствующими национальными правилами для руководства и стандартизации деятельности по проверке соблюдения требований по защите личной информации, повышения уровня соответствия деятельности по обработке личной информации. и защитить права и интересы личной информации этим методом.
Статья 2 Обработчики личной информации регулярно проводят проверки соблюдения требований по защите личной информации или поручают профессиональным учреждениям проводить проверки соответствия своей деятельности по обработке личной информации в соответствии с требованиями отделов, выполняющих обязанности по защите личной информации, и проводят проверки соответствия деятельности по защите личной информации. Эти меры применяются к надзору и управлению.
Статья 3 Термин «аудит соблюдения требований по защите личной информации», упомянутый в настоящих Мерах, относится к надзорной деятельности, которая проверяет и оценивает, соответствует ли деятельность по обработке личной информации обработчиками личной информации законам и административным правилам.
Статья 4. Обработчики личной информации, обрабатывающие персональную информацию более 1 миллиона человек, должны проводить проверку соблюдения требований по защите личной информации не реже одного раза в год; другие обработчики личной информации должны проводить проверку соблюдения требований по защите личной информации не реже одного раза в два года.
Статья 5 Обработчики личной информации могут проводить проверки соблюдения требований по защите личной информации самостоятельно, которые могут проводиться внутренними органами организации или доверенными профессиональными агентствами в соответствии с требованиями настоящих Мер, исходя из фактических обстоятельств.
Статья 6. При выполнении своих обязанностей отделы, выполняющие обязанности по защите личной информации, обнаруживают, что деятельность по обработке личной информации сопряжена с большими рисками или что личная информация имеет место.информационная безопасностьВ случае инцидента обработчику личной информации может потребоваться поручить профессиональной организации провести проверку соответствия ее деятельности по обработке личной информации.
Статья 7. Если обработчик личной информации проводит проверку соблюдения требований по защите личной информации в соответствии с требованиями отдела, выполняющего обязанности по защите личной информации, он должен выбрать профессиональное учреждение для проведения проверки соблюдения защиты личной информации как можно скорее после получения уведомления. .
Статья 8. Если обработчик личной информации поручает профессиональному учреждению провести аудит соблюдения требований по защите личной информации в соответствии с требованиями отдела, выполняющего обязанности по защите личной информации, он должен гарантировать, что профессиональное учреждение может обычно осуществлять следующие полномочия:
(1) Просьба предоставить или помочь в доступе к соответствующим документам или информации;
(2) Вход в места, связанные с деятельностью по обработке личной информации;
(3) наблюдать за действиями по обработке личной информации, происходящими в помещениях;
(4) Расследовать соответствующую деловую деятельность и информационные системы, на которые она опирается;
(5) Проверять и тестировать оборудование и средства, связанные с деятельностью по обработке личной информации;
(6) Извлекать и просматривать данные или информацию, связанную с деятельностью по обработке личной информации;
(7) Опрос персонала, связанного с деятельностью по обработке личной информации;
(8) Проводить расследования, дознания и сбор доказательств по соответствующим вопросам;
(9) Другие органы, необходимые для проведения аудита соответствия.
Статья 9. Если обработчик личной информации поручает профессиональному учреждению провести проверку соблюдения требований по защите личной информации в соответствии с требованиями отдела, выполняющего обязанности по защите личной информации, он должен завершить проверку соблюдения защиты личной информации в течение 90 рабочих дней; если ситуация является сложным, обработчик личной информации должен сообщить об этом исполняющему лицу. Это может быть соответствующим образом расширено с одобрения отдела, ответственного за защиту информации.
Статья 10. Если обработчик личной информации поручает профессиональному учреждению провести проверку соблюдения требований по защите личной информации в соответствии с требованиями подразделения, выполняющего обязанности по защите личной информации, он должен организовать и провести проверку соблюдения требований по защите личной информации в соответствии с требованиями После выполнения необходимых процедур аудита соответствия своевременно представить отчет о аудите соблюдения требований по защите личной информации, выданный профессиональной организацией, в отдел, выполняющий обязанности по защите личной информации. Отчет о проверке соблюдения требований по защите личной информации подписывается лицом, ответственным за проверку соответствия, и лицом, ответственным за профессиональное учреждение, и скрепляется официальной печатью профессионального учреждения.
Статья 11. Если обработчик личной информации поручает профессиональному учреждению провести аудит соблюдения требований по защите личной информации в соответствии с требованиями отдела, выполняющего обязанности по защите личной информации, он должен внести исправления в соответствии с предложениями по исправлению, предоставленными профессиональным учреждением, и сообщить исправление ситуации после рассмотрения профессиональным учреждением.Отправьте его в отдел, выполняющий обязанности по защите личной информации.
Статья 12 Профессиональные учреждения, которые проводят проверки соблюдения требований по защите личной информации, должны сохранять независимость и объективность и не должны проводить более трех последовательных проверок соблюдения требований по защите личной информации для одной и той же цели аудита.
Статья 13. Национальный департамент кибербезопасности и информатизации совместно с органами общественной безопасности и другими соответствующими департаментами Государственного совета должен создать рекомендуемый каталог профессиональных учреждений для проверки соблюдения требований по защите личной информации в соответствии с принципами общего планирования, рационального планирования, и рекомендации на основе заслуг, а также организовать ежегодную оценку профессиональных учреждений для проверки соблюдения требований по защите личной информации.Оценка и динамически корректировать рекомендуемый каталог профессиональных учреждений для проверки соблюдения требований по защите личной информации на основе оценки.
Обработчикам личной информации рекомендуется отдавать приоритет профессиональным учреждениям из рекомендуемого каталога для проведения проверок соблюдения требований по защите личной информации.
Статья 14. Когда профессиональные учреждения участвуют в аудите соблюдения требований по защите личной информации, они должны быть честными и честными и выносить суждения по аудиту профессионального соответствия справедливо и объективно.
Профессиональным учреждениям не разрешается привлекать субподрядчиков и поручать третьим сторонам проведение проверок соблюдения требований по защите личной информации.
Информация, полученная профессиональными учреждениями при выполнении обязанностей по аудиту соблюдения требований по защите личной информации, может использоваться только для нужд проверок соблюдения требований по защите личной информации и не должна использоваться для других целей; профессиональные учреждения берут на себя ответственность за конфиденциальность полученной информации; профессиональные учреждения должны принять соответствующие технические меры и другие необходимые меры для обеспеченияБезопасность данных.
Профессиональные учреждения не должны злонамеренно вмешиваться в обычную деловую деятельность обработчиков личной информации при выполнении обязанностей по проверке соблюдения требований по защите личной информации.
Если профессиональные учреждения публикуют ложные или неточные отчеты или совершают другие нарушения, обработчики личной информации и соответствующие стороны могут подать жалобу в отдел, который выполняет обязанности по защите личной информации. Если это будет проверено отделом, который выполняет обязанности по защите личной информации, им будет навсегда запрещено включение в защита личной информации Рекомендуемый каталог профессиональных организаций, осуществляющих аудит соответствия.
Статья 15. Нарушения положений этих мер будут рассматриваться в соответствии с «Законом Китайской Народной Республики о защите личной информации» и другими законами и постановлениями; в случае установления состава преступления уголовная ответственность будет преследоваться в соответствии с закон.
Статья 16. Настоящие меры будут интерпретироваться Администрацией киберпространства Китая и вступят в силу с даты текущего года.
Приложение: Ориентиры для аудита соблюдения требований по защите личной информации
Ориентиры для аудита соблюдения требований по защите личной информации
Статья 1. Эти ключевые моменты сформулированы в соответствии с обязательными требованиями законов, административных правил и национальных стандартов, таких как «Закон Китайской Народной Республики о защите личной информации», и служат ориентиром для проведения проверок соблюдения требований по защите личной информации.
Статья 2. Аудит соблюдения требований по защите личной информации сначала должен изучить основные условия законности деятельности по обработке личной информации, уделяя особое внимание следующим вопросам:
(1) получено ли согласие физического лица на обработку личной информации, и является ли согласие добровольным и понятным с полного ведома субъекта личной информации;
(2) При обработке персональных данных на основании согласия физического лица, в случае изменения цели обработки персональных данных, способов обработки и видов обрабатываемых персональных данных, необходимо ли повторно получать согласие физического лица;
(3) При обработке личной информации на основании индивидуального согласия предоставляется ли физическому лицу удобный способ отзыва согласия;
(4) При обработке личной информации на основании индивидуального согласия фиксируются ли операции с индивидуальным согласием;
(5) При обработке личной информации на основании индивидуального согласия возникает ли ситуация, при которой в предоставлении товаров или услуг отказано на том основании, что физическое лицо не дает согласия на обработку своей личной информации или отзывает свое согласие; за исключением случаев, когда физическое лицо не дает согласия на обработку своей личной информации. обработка личной информации необходима для предоставления продуктов или услуг;
(6) Подпадает ли обработка личной информации без получения индивидуального согласия к обстоятельствам, которые не требуют индивидуального согласия в соответствии с законами и административными правилами.
Статья 3. При проверке правил обработки персональной информации особое внимание уделяется следующим вопросам:
(1) Сообщается ли имя или имя и контактная информация обработчика личной информации правдиво, точно и полностью;
(2) Указаны ли собранные персональные данные, а также цель, метод и объем обработки в виде списка;
(3) указан ли срок хранения личной информации или метод определения срока хранения, метод обработки после истечения срока действия и минимальное время, необходимое для обеспечения того, чтобы период хранения был необходим для достижения цели обработки;
(4) четко ли определены каналы и методы доступа, копирования, обработки, передачи, исправления, дополнения, удаления, раскрытия, ограничения обработки личной информации, закрытия учетных записей и отзыва согласия отдельными лицами;
(5) При предоставлении личной информации третьему лицу четко сообщается ли лицу имя получателя, контактная информация, цель обработки, метод обработки и тип личной информации и получено ли отдельное согласие физического лица;
(6) Другие вопросы, предусмотренные законами и административными правилами.
Статья 4 Обработчики личной информации должны выполнять обязательства по уведомлению при обработке личной информации и во время проверок уделять внимание следующим вопросам:
(1) Перед обработкой личной информации достоверно, точно и полно информирует лицо, обрабатывающее личную информацию, в наглядной форме, на ясном и понятном языке;
(2) Удобен ли размер, шрифт и цвет текста уведомления для того, чтобы отдельные лица могли полностью прочитать уведомление;
(3) Соответствует ли офлайн-уведомление обязательствам по уведомлению отдельных лиц с помощью различных методов, таких как маркировка и пояснения;
(4) Предоставлять ли текстовую информацию в онлайн-уведомлениях или выполнять обязательства по уведомлению физических лиц с помощью соответствующих средств;
(5) В случае изменения правил обработки личной информации, будут ли об этих изменениях своевременно доведены до сведения физических лиц.
Статья 5. Если обработчик личной информации совместно обрабатывает личную информацию с другими, он должен сосредоточиться на рассмотрении следующих вопросов:
(1) Были ли согласованы их соответствующие права и обязанности;
(2) Меры защиты личной информации, принимаемые всеми сторонами;
(3) Механизм защиты прав на личную информацию;
(4) Механизм сообщения об инцидентах, связанных с безопасностью личной информации;
(5) Ответственность всех сторон, если нарушение прав на личную информацию причиняет ущерб;
(6) Права и обязанности, которые необходимо согласовать в других законах и административных правилах.
Статья 6. Если обработчику личной информации поручена обработка личной информации, он должен сосредоточиться на рассмотрении следующих вопросов:
(1) проводит ли обработчик личной информации оценку воздействия на защиту личной информации, прежде чем поручить обработку личной информации;
(2) Предусмотрены ли в договоре, заключенном между лицом, обрабатывающим персональную информацию, и доверительным управляющим цель, период, метод и тип переданной для обработки личной информации, технические и управленческие меры, которые должен принять управляющий, права и обязанности обеих сторон, и т. д.;
(3) Принимает ли обработчик личной информации регулярные проверки и другие методы для надзора за деятельностью доверительного управляющего по обработке личной информации, чтобы гарантировать, что доверенная обработка личной информации соответствует правовым нормам;
(4) обрабатывает ли доверительный управляющий личную информацию в строгом соответствии с условиями договора доверительного управления и обрабатывается ли личная информация сверх согласованных целей и методов обработки;
(5) Если договор поручения не вступает в силу, становится недействительным, отменяется или прекращается, независимо от того, вернет ли управляющий личную информацию обработчику личной информации или удалит ее;
(6) Поручает ли доверенное лицо другим лицам обработку личной информации и получил ли доверенное лицо согласие обработчика личной информации.
Статья 7. Если обработчику личной информации необходимо передать личную информацию в связи с слиянием, реорганизацией, разделением, роспуском, банкротством и т. д., он должен сосредоточить внимание на рассмотрении следующих вопросов:
(1) Сообщает ли обработчик личной информации физическому лицу имя или имя и контактную информацию получателя;
(2) продолжает ли принимающая сторона выполнять свои обязательства в качестве обработчика личной информации;
(3) Если принимающая сторона меняет первоначальную цель и метод обработки, должна ли она снова получить согласие лица в соответствии с соответствующими положениями законов и административных правил.
Статья 8. Если обработчик личной информации предоставляет обработанную им личную информацию другим обработчикам личной информации, он должен сосредоточить внимание на рассмотрении следующих вопросов:
(1) получено ли отдельное согласие лица;
(2) Сообщается ли лицу имя получателя, контактная информация, цель обработки, метод обработки и тип личной информации;
(3) обрабатывает ли принимающая сторона персональную информацию в рамках целей обработки, методов обработки и типов личной информации, согласованных обеими сторонами;
(4) Если цель или метод обработки изменены, получено ли повторно согласие лица в соответствии с законами и административными правилами;
(5) Была ли проведена заранее оценка воздействия на защиту личной информации.
Статья 9. Если обработчик личной информации использует автоматизированное принятие решений для обработки личной информации, аудит должен быть сосредоточен на оценке прозрачности автоматизированного принятия решений, а также справедливости и беспристрастности результатов:
(1) информируются ли люди заранее о типах личной информации, обрабатываемой посредством автоматизированного принятия решений, и о возможных последствиях;
(2) Была ли модель алгоритма заранее оценена на безопасность и зарегистрирована в соответствии с соответствующими национальными правилами, чтобы минимизировать дефекты модели алгоритма автоматизированного принятия решений. Когда сценарии применения и основные функции изменяются, была ли модель алгоритма изменена. -оцененный;
(3) Была ли модель алгоритма заранее проверена на предмет научной и технологической этики;
(4) Была ли проведена заранее оценка воздействия на защиту личной информации;
(5) Предоставлять ли пользователям механизм защиты, чтобы пользователи могли удобным способом отказываться от принятия решений, оказывающих существенное влияние на личные права, посредством автоматизированного принятия решений, или требовать от обработчиков личной информации принятия решений, оказывающих существенное влияние. о личных правах пользователей посредством автоматизированного принятия решений. Объясните решение;
(6) Предоставлять ли пользователям функцию удаления или изменения пользовательских тегов по их личным характеристикам, используемых для автоматизированных сервисов принятия решений;
(7) Приняты ли необходимые меры для защиты алгоритмов и моделей параметров;
(8) Записываются ли ручные операции в автоматизированных процессах принятия решений, такие как обработка личной информации, управление этикетками и обучение моделей, чтобы предотвратить злонамеренное манипулирование информацией и результатами автоматического принятия решений;
(9) При продвижении информации и коммерческого маркетинга для частных лиц, предоставляет ли он также варианты, не ориентированные на личные характеристики, или предоставляет удобный способ отказаться от услуг автоматизированного принятия решений;
(10) Были ли приняты эффективные меры для предотвращения навязывания автоматизированного принятия решений необоснованного дифференцированного режима к отдельным лицам с точки зрения условий транзакций, основанных на потребительских предпочтениях, транзакционных привычках и т. д.;
(11) Другие вопросы, которые могут повлиять на прозрачность автоматизированного принятия решений, а также на честность и справедливость результатов.
Статья 10. Если обработчик личной информации раскрывает личную информацию, которую он обрабатывает, он должен сосредоточиться на рассмотрении следующих вопросов:
(1) Получает ли обработчик личной информации индивидуальное согласие перед раскрытием обрабатываемой им личной информации, является ли разрешение правдивым и действительным и раскрывается ли личная информация против воли лица;
(2) Провел ли обработчик личной информации оценку воздействия на защиту личной информации перед раскрытием личной информации.
Статья 11. Если обработчик личной информации устанавливает оборудование для сбора изображений или идентификации личности в общественном месте, он должен сосредоточиться на проверке законности установки оборудования для сбора изображений или идентификации личной информации и цели собранной личной информации. Содержание обзора включает, помимо прочего:
(1) Необходимо ли обеспечение общественной безопасности и обрабатывается ли собранная информация в коммерческих целях;
(2) Имеются ли заметные напоминалки;
(3) Если личные изображения и идентификационная информация, собранные обработчиком личной информации, используются для целей, отличных от обеспечения общественной безопасности, необходимо ли получить отдельное согласие от лица.
Статья 12. Если обработчик личной информации обрабатывает раскрытую личную информацию, проверка должна быть сосредоточена на том, совершил ли обработчик личной информации следующие нарушения:
(1) Отправлять информацию, не связанную с целью раскрытия, на адрес электронной почты, номер мобильного телефона и т. д., указанный в раскрываемой личной информации;
(2) Использование раскрытой личной информации для совершения кибернасилия;
(3) Обрабатывать общедоступную личную информацию, которую лицо явно отказывается обрабатывать;
(4) Обработка раскрытой личной информации без получения индивидуального согласия оказывает существенное влияние на права и интересы личности.
Статья 13. Если обработчик личной информации обрабатывает конфиденциальную личную информацию, в ходе проверки необходимо сосредоточить внимание на следующих вопросах:
(1) Получено ли отдельное согласие лица заранее при обработке конфиденциальной личной информации, такой как биометрические данные, религиозные убеждения, личные данные, медицинское состояние, финансовые счета и местонахождение;
(2) При обработке персональных данных несовершеннолетних в возрасте до четырнадцати лет независимо от того, было ли заранее получено согласие родителей или других опекунов несовершеннолетнего;
(3) Являются ли цель и метод обработки конфиденциальной личной информации законными, законными и необходимыми;
(4) тесно ли связана обработка конфиденциальной личной информации с конкретными целями, такими как предоставление товаров или услуг, выполнение юридических обязанностей или обязательств, и является ли обработка несущественной;
(5) проводится ли заранее оценка воздействия на защиту личной информации и уведомляются ли лица о необходимости обработки конфиденциальной личной информации и влиянии на личные права и интересы;
(6) Если в соответствии с законами и административными правилами требуется письменное согласие, получено ли письменное согласие;
(7) Записывается ли процесс обработки конфиденциальной личной информации, чтобы гарантировать, что процесс обработки конфиденциальной личной информации является законным и соответствует требованиям.
Статья 14. Если деятельность обработчика личной информации связана с обработкой личной информации несовершеннолетних в возрасте до четырнадцати лет, в ходе проверки должны быть сосредоточены следующие вопросы:
(1) Сформулировать ли специальные правила обращения с личной информацией несовершеннолетних;
(2) информируются ли несовершеннолетние и их опекуны о целях обработки персональных данных несовершеннолетних, способе их обработки, необходимости обработки, видах обрабатываемых персональных данных и принимаемых мерах защиты;
(3) Имеет ли место какое-либо поведение, вынуждающее несовершеннолетних или их опекунов дать согласие на ненужную обработку личной информации.
Статья 15. Если обработчик личной информации предоставляет личную информацию за границу, он должен сосредоточиться на рассмотрении следующих вопросов:
(1) прошла ли личная информация, предоставленная за границей операторами критической информационной инфраструктуры и обработчиками личной информации, которые обрабатывают личную информацию более 1 миллиона человек, оценку безопасности, организованную национальным департаментом кибербезопасности и информатизации;
(2) Прошел ли обработчик личной информации, который предоставил личную информацию 100 000 человек или конфиденциальную личную информацию 10 000 человек за рубежом с 1 января предыдущего года, оценку безопасности, организованную национальным департаментом киберпространства;
(3) Предоставляется ли какая-либо личная информация, хранящаяся на территории Китайской Народной Республики, иностранным судебным или правоохранительным органам, и если да, то было ли это одобрено компетентным органом Китайской Народной Республики;
(4) Если международные договоры или соглашения, заключенные Китайской Народной Республикой или к которым она присоединилась, предусматривают условия предоставления личной информации за пределами территории Китайской Народной Республики, следует ли соблюдать эти положения;
(5) Было ли оно сертифицировано для защиты личной информации профессиональной организацией в соответствии с правилами национального департамента киберпространства или подписано контракт с зарубежным получателем в соответствии со стандартным контрактом, сформулированным национальным департаментом киберпространства, или оно соблюдал законы, административные правила или положения национального департамента киберпространства.Другие условия;
(6) Понимаете ли вы политику защиты личной информации и политику страны или региона, где находится зарубежный получатель.информационная безопасностьВлияние окружающей среды на исходящую личную информацию;
(7) Имеются ли нарушения при предоставлении персональных данных организациям и физическим лицам, включенным в перечень ограниченных или запрещенных к предоставлению персональных данных.
Статья 16. Обработчики личной информации, предоставляющие личную информацию за границу, должны принять необходимые меры для обеспечения того, чтобы деятельность по обработке личной информации зарубежного получателя соответствовала стандартам защиты личной информации, предусмотренным Законом о защите личной информации Китайской Народной Республики. Аудит должен быть сосредоточен на изучении эффективности мер надзора, принимаемых обработчиками личной информации в отношении зарубежных получателей, включая, помимо прочего:
(1) известна ли и понятна ситуация зарубежного получателя, особенно имеет ли получатель необходимые возможности защиты личной информации;
(2) Информирован ли зарубежный получатель о требованиях законов и административных правил моей страны по защите личной информации, и обязан ли зарубежный получатель принимать соответствующие меры защиты;
(3) Призваны ли зарубежные получатели эффективно выполнять свои обязательства по защите личной информации путем подписания соглашений, регулярных проверок и т. д.
Статья 17. При проверке защиты права на удаление личной информации удаление личной информации при следующих обстоятельствах должно быть сосредоточено на:
(1) Цель обработки личной информации достигнута, не может быть достигнута или более не является необходимой для достижения цели обработки;
(2) Прекратить предоставление продуктов или услуг или закрыть свою учетную запись;
(3) Достигнут согласованный с лицом срок хранения;
(4) Отзыв согласия физического лица;
(5) Из-за использования технологий автоматизированного сбора и т. д. невозможно избежать сбора ненужной личной информации или личной информации без согласия;
(6) Обработчики личной информации обрабатывают личную информацию с нарушением законов, административных правил или соглашений.
Если срок хранения, предусмотренный законами и административными правилами, не истек или удаление личной информации технически сложно осуществить, обработчик личной информации должен прекратить обработку, кроме хранения, и принять необходимые меры безопасности.
Статья 18 Обработчики личной информации должны защищать права отдельных лиц на реализацию прав на личную информацию и в ходе проверок уделять особое внимание следующим вопросам:
(1) Установлен ли механизм приема заявлений физических лиц для реализации своих прав;
(2) Предоставляет ли оно людям удобные способы доступа, копирования, передачи, исправления, дополнения и удаления личной информации;
(3) Своевременно ли он отвечает на заявление физического лица об осуществлении прав и предоставляет ли он своевременное, полное и точное уведомление о заключениях по обработке или результатах исполнения.
Статья 19. Обработчики личной информации должны отвечать на индивидуальные заявления и разъяснять свои правила обработки личной информации. В ходе проверок они должны сосредоточиться на оценке следующего содержания:
(1) обеспечивает ли обработчик персональной информации удобные способы и средства для приема и обработки запросов физических лиц о разъяснении правил обработки персональной информации;
(2) После получения запроса лица разъясняет ли распорядитель личной информации правила обработки личной информации простым и понятным языком в разумные сроки.
Статья 20. Обработчики личной информации несут основную ответственность за защиту личной информации. В ходе проверки основное внимание должно быть уделено оценке выполнения основных обязанностей обработчиков личной информации, включая, помимо прочего, следующие вопросы:
(1) Адаптивность формулировки, организационной структуры и процедур управления системой защиты личной информации к характеру, масштабу, сложности и риску обработки личной информации;
(2) является ли разделение обязанностей по защите личной информации разумным, ясны ли обязанности и ясны ли отношения отчетности;
(3) Совместимость человеческой, финансовой и материальной защиты, обеспечиваемой обработчиком личной информации для защиты личной информации, с масштабом бизнеса предприятия, планом работы и управлением рисками соответствия личной информации.
Статья 21. Обработчики личной информации должны разработать системы внутреннего управления и рабочие процедуры в соответствии с положениями законов и административных регламентов, уточнить организационную структуру и должностные обязанности, установить рабочие процессы, усовершенствовать системы внутреннего контроля, а также обеспечить соблюдение и безопасность обработки личной информации. В ходе аудита основное внимание должно быть уделено проверке внутренней системы управления обработчика личной информации и рабочих процедур по защите личной информации, включая, помимо прочего:
(1) Соответствуют ли политика, цели и принципы работы по защите личной информации законам и административным правилам;
(2) соответствуют ли организационная структура защиты личной информации, кадровое обеспечение, нормы поведения и обязанности руководства обязанностям по защите личной информации, которые должны быть выполнены;
(3) классифицирована ли личная информация в соответствии с типом, источником, конфиденциальностью, назначением и т. д. личной информации, а также приняты ли целевые технические меры управления или безопасности;
(4) создан ли механизм экстренного реагирования на инциденты, связанные с безопасностью личной информации;
(5) Была ли создана система оценки воздействия на защиту личной информации и аудита соответствия;
(6) Установлен ли беспрепятственный процесс приема жалоб и сообщений о защите личной информации;
(7) Следует ли сформулировать и реализовать планы обучения и подготовки в области безопасности личной информации;
(8) создана ли система оценки эффективности лица, ответственного за защиту личной информации, и соответствующего персонала;
(9) Была ли создана и эффективно внедрена система обработки нарушений личной информации или ответственности за нарушения для персонала, участвующего в обработке личной информации;
(10) Иное содержание, предусмотренное законами и административными регламентами.
Статья 22. Обработчики личной информации должны принять технические меры безопасности, соответствующие масштабу и типу обрабатываемой личной информации, и оценить эффективность технических мер, принятых обработчиками личной информации. Содержание оценки включает, помимо прочего:
(1) Ссылается ли он на соответствующие национальные стандарты или технические требования и принимает ли соответствующие технические меры безопасности для достижения конфиденциальности, целостности и доступности личной информации;
(2) Приняты ли технические меры безопасности, такие как шифрование и деидентификация, для обеспечения того, чтобы идентифицируемый характер личной информации был устранен или уменьшен без использования дополнительной информации;
(3) Могут ли принятые технические меры безопасности разумно определить рабочие разрешения соответствующего персонала на доступ, копирование, передачу и т. д. личной информации, а также снизить риск несанкционированного доступа и злоупотребления личной информацией во время процесса обработки.
Статья 23. При проверке разработки и реализации планов обучения и профессиональной подготовки для обработчиков личной информации необходимо сосредоточить внимание на оценке:
(1) Проводится ли соответствующее обучение и обучение технике безопасности для руководящего персонала, технического персонала, операторов и всех сотрудников, как запланировано, и оцениваются ли осведомленность и навыки защиты личной информации соответствующего персонала;
(2) Могут ли содержание обучения, методы обучения, объекты обучения, частота обучения и т. д. удовлетворить потребности в защите личной информации.
Статья 24. Обработчики личной информации, которые обрабатывают объем личной информации, требуемый национальным департаментом кибербезопасности и информатизации, назначают лицо, ответственное за защиту личной информации, которое несет ответственность за соответствие деятельности по обработке личной информации. В ходе проверки следует сосредоточить внимание на следующих вопросах:
(1) Имеет ли лицо, ответственное за защиту личной информации, соответствующий опыт работы и профессиональные знания, а также знакомо с законами и административными правилами, касающимися защиты личной информации;
(2) имеет ли лицо, ответственное за защиту личной информации, четкие и ясные обязанности и предоставлены ли ему достаточные полномочия для координации соответствующих отделов и персонала, связанных с обработкой личной информации внутри организации;
(3) Имеет ли лицо, ответственное за защиту личной информации, право назначать ответственного за группу по защите личной информации и поддерживать с ним бесперебойную связь и контакт;
(4) имеет ли лицо, ответственное за защиту личной информации, право высказывать соответствующие мнения и предложения до принятия решений по важным вопросам, связанным с обработкой личной информации;
(5) имеет ли лицо, ответственное за защиту личной информации, право прекращать противоправные действия при внутренней обработке личной информации в организации и принимать необходимые корректирующие меры;
(6) Раскрывает ли обработчик личной информации контактную информацию лица, ответственного за защиту личной информации, и сообщает ли имя, контактную информацию и т. д. лица, ответственного за защиту личной информации, отделу, выполняющему обязанности по защите личной информации. .
Статья 25. При проверке оценки воздействия на защиту личной информации, проводимой обработчиками личной информации, проверка должна быть сосредоточена на реализации и содержании оценки воздействия:
(1) Прошло ли оно в соответствии с положениями законов и административных постановлений оценку воздействия на защиту личной информации, прежде чем осуществлять действия по обработке личной информации, которые оказывают существенное влияние на личные права и интересы;
(2) Была ли проанализирована и оценена законность, легитимность и необходимость действий по обработке персональных данных, а также имеется ли чрезмерный сбор личной информации;
(3) Проводился ли анализ и оценка рисков безопасности, таких как ограничение права человека на независимое принятие решений, причинение различного обращения, причинение ущерба личной репутации или перенесение психического стресса, причинение ущерба личному имуществу;
(4) Были ли проанализированы и оценены законность, эффективность и адаптивность принятых защитных мер;
(5) Хранятся ли отчеты об оценке воздействия на защиту личной информации и записи об ее обработке не менее трех лет.
Статья 26 Обработчики личной информации должны разработать планы действий в чрезвычайных ситуациях на случай инцидентов, связанных с безопасностью личной информации. В ходе аудита должна оцениваться полнота, эффективность и осуществимость плана реагирования на чрезвычайные ситуации, включая, помимо прочего:
(1) Провело ли оно систематическую оценку и прогнозирование рисков безопасности личной информации, с которыми оно сталкивается, исходя из реальных условий ведения бизнеса;
(2) достаточны ли руководящая идеология, основные стратегии, организационная структура, персонал, технологии, материальное обеспечение, процедуры управления и управления, меры экстренной помощи и поддержки и т. д. для борьбы с прогнозируемыми рисками;
(3) Проводится ли обучение по плану действий в чрезвычайных ситуациях для соответствующего персонала и проводятся ли регулярные учения по плану действий в чрезвычайных ситуациях.
Статья 27. При оценке реагирования на чрезвычайную ситуацию и реагирования на инциденты, связанные с безопасностью личной информации, обработчиками личной информации следует в основном учитывать следующие факторы:
(1) Были ли оперативно выявлены влияние, масштаб и возможный вред инцидента безопасности личной информации в соответствии с планом действий в чрезвычайных ситуациях и оперативными процедурами, проанализированы и определены причины инцидента, а также предложены меры по предотвращению распространения ущерба. ;
(2) Установлен ли канал уведомления и могут ли быть уведомлены отделы и лица, выполняющие обязанности по защите личной информации, в течение 72 часов после возникновения инцидента;
(3) Приняты ли соответствующие меры для минимизации потерь и рисков возможного вреда, вызванных инцидентами, связанными с безопасностью личной информации.
Статья 28. Операторы крупных интернет-платформ должны создать независимую организацию, состоящую в основном из внешних членов, для надзора за защитой личной информации. В ходе аудита следует оценить независимость, возможности выполнения обязанностей, надзорную роль и т. д. независимого агентства.
(1) Оценивать независимость независимых учреждений по надзору за защитой личной информации, уделяя особое внимание изучению того, есть ли у внешних членов отношения с обработчиками личной информации и их основными акционерами, которые могут помешать их независимому и объективному суждению;
(2) Оценивать способность внешних членов выполнять свои обязанности, уделяя особое внимание проверке того, обладают ли внешние члены соответствующими профессиональными знаниями, способностями и опытом, а также могут ли они контролировать и направлять защиту личной информации обработчиков личной информации и высказывать объективные и беспристрастные мнения. и предложения;
(3) Оценить надзорную роль независимых учреждений, сосредоточив внимание на роли, которую играют независимые учреждения в построении систем соответствия для обработчиков личной информации, формулировании правил платформы, урегулировании крупных инцидентов, связанных с безопасностью личной информации, и призывании компаний к выполнению своих социальных обязательств. обязанности.
Статья 29. Что касается правил крупных интернет-платформ, при аудите должны быть сосредоточены следующие вопросы:
(1) Оценивать законность и соответствие правил платформы и их противоречие законам и административным нормам;
(2) Оценить справедливость и беспристрастность правил платформы, наличие злонамеренной конкуренции, влияния на права потребителей и другого контента, который нарушает принципы честной конкуренции, добросовестности, общественного порядка и хороших обычаев;
(3) Оценить эффективность положений правил платформы о защите личной информации, разумно ли определены права и обязанности платформы, поставщиков продуктов или услуг по защите личной информации на платформе, а также является ли обработка личной информации операторами на платформа регулируется, ясны ли обязательства оператора по защите личной информации;
(4) Проверьте выполнение правил платформы и проверьте, эффективно ли реализуются правила платформы, с помощью выборки и других методов.
Статья 30. Операторы крупных интернет-платформ должны контролировать деятельность по обработке личной информации поставщиков продуктов или услуг на своих платформах. В ходе проверки следует сосредоточить внимание на следующих вопросах:
(1) регулярно ли проверяется законность и рациональность правил обработки личной информации поставщиков продуктов или услуг на платформе;
(2) регулярно проверяется ли соответствие продуктов или поставщиков услуг законам и административным нормам при обработке личной информации;
(3) Прекратит ли платформа незамедлительно предоставлять услуги поставщикам продуктов или услуг, которые серьезно нарушают законы и административные правила при обработке личной информации.
Статья 31 Крупные операторы интернет-платформ должны ежегодно публиковать отчет о социальной ответственности за защиту личной информации. В ходе аудита раскрытие следующего содержания отчета о социальной ответственности должно быть сосредоточено на:
(1) Организационная структура защиты личной информации и внутреннее управление;
(2) Создание возможностей защиты личной информации;
(3) Меры и эффективность защиты личной информации;
(4) Прием заявлений физических лиц на реализацию своих прав;
(5) Выполнение обязанностей независимыми надзорными органами;
(6) Обработка крупных инцидентов, связанных с безопасностью личной информации;
(7) Другие ситуации, предусмотренные законами и административными правилами.
Оригинал статьи подготовлен компанией Compliance Requirements, при воспроизведении просьба указывать: https://cncso.com/ru/защита-персональных-данных-аудит-соо.