News CCTV: Согласно официальной учетной записи «Информация об Интернете Китае», Государственное информационное информационное бюро в Интернете недавно объявило о «правилах по управлению аудитами по защите от личной информации» (в дальнейшем названо «меры»), которые вступит в силу 1 мая 2025 года. Укажите проведение личных информационных процессоров для аудита соответствия защиты от личной информации. The "Measures" make detailed provisions on the development of compliance audit activities, the selection of compliance audit institutions, the frequency of compliance audits, and the obligations of personal information processors and professional institutions in compliance audits, aiming to provide systematic, targeted and operational specifications for personal information processors to carry out personal information protection compliance audits, improve the legality and compliance level of personal information processing activities, and protect personal information rights and interests.

Меры проясняют две ситуации, в которых процессоры личной информации проводят аудиты соответствия. Во -первых, если процессор личной информации проводит самостоятельный аудит соответствия, внутренняя организация процессора личной информации или порученная профессиональная организация должна провести аудит соответствия своему соблюдению законов и административных норм при обработке личной информации. Персональные информационные процессоры, которые обрабатывают личную информацию более 10 миллионов человек, должны провести аудиты по защите от личной информации, по крайней мере, один раз в два года. Во -вторых, если департамент, который выполняет обязанности по защите личной информации, обнаруживает, что деятельность по обработке личной информации имеет большие риски, может нарушать права и интересы многих людей, или происходят инциденты личной информационной безопасности, это может потребовать от процессора личной информации для поручения профессиональному учреждению провести аудит соответствия деятельности по обработке личной информации.

Меры проясняют обязательства, которые должны выполнять личные информационные процессоры, которые проводят аудиты по соблюдению требований. Если предусмотрено, что если процессор личной информации проводит аудиты соответствия в соответствии с требованиями Департамента, который выполняет обязанности по защите личной информации, он должен предоставлять необходимую поддержку профессиональным учреждениям для выполнения аудитов по соблюдению нормативных требований и выполнять аудиторские сборы, полные аудиты по соблюдению нормативных требований в течение ограниченного времени, представлять аудиторские отчеты по соответствию и выполнять исправления.

Меры проясняют обязательства профессиональных учреждений по аудитам соответствия. Во -первых, у нас должна быть возможность проводить аудиты по защите личной информации и иметь аудиторы, места, объекты и средства, которые подходят для услуг. Во -вторых, мы должны соблюдать законы и правила, быть честными и честными, делать профессиональные суждения в соответствии с аудитами справедливо и объективно, а также хранить личную информацию, бизнес -секреты, конфиденциальную деловую информацию и т. Д., Известные во время выполнения наших обязанностей в соответствии с законом. В -третьих, не доверяет другим учреждениям провести аудиты соответствия для защиты личной информации. В -четвертых, в одном и том же профессиональном учреждении и его дочерних учреждениях и одного и того же аудиторского лица не должны проводить аудиты по защите от личной информации по одному и тому же предмету аудита в течение более трех раз подряд.

Меры предоставляют «руководящие принципы для аудита соответствия для защиты личной информации» в форме вложения, разбирая ключевые моменты законов и административные нормы, связанные с защитой личной информации, и уточняют их с точки зрения аудита соответствия. Процессоры личной информации проводят аудиты по защите от личной информации самостоятельно или поручить профессиональным учреждениям провести аудиты по защите от личной информации в соответствии с требованиями департаментов, которые выполняют обязанности по защите личной информации. Они должны ссылаться на «Рекомендации по аудиту защиты от личной информации».

Меры также устанавливают обязанности по надзору и управлению департаментами, которые выполняют обязанности по защите личной информации и юридические обязанности личных информационных процессоров и профессиональных учреждений, которые нарушают положения мер.