律师免费在线法律咨询服务_厚德汇法网
  • 网站首页
  • 法律常识
    • 咨询指南
    • 婚姻家庭
    • 刑事案件
    • 劳动纠纷
    • 网络电商
    • 知识产权
    • 交通事故
    • 债权债务
    • 损害赔偿
    • 合同法律
    • 房产地产
    • 司法典型案例
    • 白皮书
  • 诉讼指南
    • 诉讼常识
    • 民事诉讼
    • 刑事诉讼
    • 行政诉讼
    • 司法鉴定
    • 证据规则
    • 法院执行
  • 企业法务
    • 工商财税
    • 股权
    • 公司治理
  • 律师推荐
    • 婚姻律师
    • 律师业务
  • 法律文书
    • 合同范本
    • 律师函
    • 起诉书
    • 辩护词
    • 表格函件
  • 法律法规
    • 法律条文释义
    • 证券期货法律法规
    • 民商法
    • 刑法
    • 社会法
    • 行政法
    • 经济法
    • 司法解释
    • 党纪法规
    • 国家行政法规
    • 地方法规规章
  • 法律资讯
  • 关于我们
专业律师团队提供免费在线法律咨询
    主页 > 法律法规 > 法律条文释义 > >

个人信息保护法第54条(合规审计义务)条文内容及释义

2024-12-15 10:07 admin
本文介绍个人信息保护法第54条(合规审计义务)条文内容及释义,内容来源于最高人民法院数字图书馆。
 
中华人民共和国个人信息保护法
 

个人信息保护法第54条条文内容

 
第五十四条  个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。
 

个人信息保护法第54条条文释义


  【条文主旨】
 
  本条是关于个人信息处理活动中处理者合规审计义务的规定。
 
  【条文理解】
 
  一、合规审计的目的
 
  合规性审计的性质是一种经济合规监督活动,主要指审计机构和审计人员依据国家法律、法规和财经制度,对被审计单位的生产经营管理活动及其有关资料是否合规所进行的一种监督活动。审计就其组织形式而言,一般分为内审和外审,前者是指信息处理者内部设立的审计部门,后者是指第三方的审计机构。
 
  《个人信息保护法》第54条确立了个人信息处理者的合规审计制度:“个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。”个人信息合规审计的主要目的,一方面是发现、控制和避免处理者处理个人信息不合规,引发法律责任、受到相关处罚、造成经济或声誉损失以及其他负面影响的可能性;另一方面,也是证实处理者处理个人信息活动合规的重要证据。因此,从审计目的出发来看,个人信息处理者应当自发定期地对其个人信息处理活动进行合规审计,审计范围应当包含其全部个人信息处理活动,并留存审计记录,阶段性地积累其合规处理数据的义务履行证明。
 
  二、合规审计的方式
 
  《个人信息保护法(草案)》第53条规定:“个人信息处理者应当定期对其个人信息处理活动、采取的保护措施等是否符合法律、行政法规的规定进行审计。履行个人信息保护职责的部门有权要求个人信息处理者委托专业机构进行审计。”在《个人信息保护法》的正式稿中,仅保留了个人信息处理者发起的定期审计形式,而将“被动审计”列入了第64条的规定,即“履行个人信息保护职责的部门在履行职责中,发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,可以按照规定的权限和程序对该个人信息处理者的法定代表人或者主要负责人进行约谈,或者要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计”。
 
  在主动发起的定期审计中,参考《商务部关于两用物项出口经营者建立出口管制内部合规机制的指导意见》第3条第7款规定合规审计可以由处理者内部专人进行,也可以聘请外部第三方机构进行;此外,国家推荐标准《信息安全技术个人信息安全规范》(GB/T 35273—2020)规定个人信息保护负责人和个人信息保护工作机构的职责之一为进行安全审计。因此,我们认为《个人信息保护法》第54条规定的个人信息处理者主动定期合规审计可以由个人信息处理者内部部门或人员进行,如审计部门、法务部门、合规部门、监察部门等,也可以委托第三方机构进行,如律师事务所、会计师事务所等。对于被动临时性合规审计下的“专业机构”,还有待于法律法规或权威解释的进一步明确。
 
  三、合规审计的内容
 
  《个人信息保护法》第54条仅对个人信息处理者的安全审计要求进行了原则性规定,在具体实施细则落地以前,《信息安全技术个人信息安全规范》第11.7条关于安全审计的规定具有较高的参考价值,该审计条款“对个人信息控制者的要求包括:a)应对个人信息保护政策、相关规程和安全措施的有效性进行审计;b)应建立自动化审计系统,监测记录个人信息处理活动;c)审计过程形成的记录应能对安全事件的处置、应急响应和事后调查提供支撑;d)应防止非授权访问、篡改或删除审计记录;e)应及时处理审计过程中发现的个人信息违规使用、滥用等情况;f)审计记录和留存时间应符合法律法规的要求。”
 
  在《信息安全技术个人信息安全规范》基础上,《个人金融信息保护技术规范》(JR/T D171—2020)第7.4.1条对于监控与审计的内容也作出了补充要求,包括:“a)应识别并记录包括但不限于管理员用户、业务用户对个人金融信息的访问。b)应对个人金融信息数据交换网络流量进行安全监控和分析,并存储匹配安全规则的数据,以备事件溯源。c)日志文件和匹配规则的数据应至少保存6个月,应定期对所有系统组件日志进行审计,包括但不限于存储、处理或传输个人金融信息的系统组件日志、执行安全功能的系统组件日志(如防火墙、入侵检测系统、验证服务器等)、安全事件日志等。d)应采取技术手段对个人金融信息全生命周期进行安全风险识别和管控,如恶意代码检测、异常流量监测、用户行为分析等”。
 
  四、域外相关制度
 
  英国、欧盟、新加坡、美国等国家也存在个人信息保护合规审计的规定,除英国的审计机构是英国信息专员办公室(ICO)外,其他国家基本由处理者内部指定的数据保护官(DPO)负责审计,其审计条件、审计依据、审计程序、合规清单等方面都存在较完善的法律规范性文件与指南。例如英国,ICO针对双方约定的审计和强制审计规定了不同程序,并针对数据控制者和处理者提供了不同审计清单;欧盟,对需要进行审计的处理者范围有如下规定:“虽然这在技术上只能适用于员工人数超过250人的组织,但也有一些例外情况,例如:数据处理不是偶然的;处理过程中涉及特殊类别的数据,或与刑事事项有关的数据;数据处理可能导致对数据主体的权利和自由的风险”,并根据公司的生产规模,对公司处理的数据的数量和类型等制定了不同的审计清单。其合规审计落地指引部分值得我国参考。
 
 

标签: 个人信息保护 审计 个人信息 合规
上一篇:个人信息保护法第53条(设立专门机构或指定代表义务)条文内容及释义

下一篇:个人信息保护法第55条(个人信息保护影响评估义务与记录义务)条文内容及释义

法律条文释义相关文章:

  • 产品质量法第54条(产品标识不符合规定要求的行政责任)条文内容及释义

    本文介绍产品质量法第54条(产品标识不符合规定要求的行政责任)条文内容及释义,内容来源于最高人民法院数字图书馆。 产品质量法第54条条文内容 第五十四条 产品标识不符合本法...

    时间:2024-12-30阅读:535标签: 产品质量法 行政责任 产品标识

  • 个人信息保护法第73条(相关名词定义)条文内容及释义

    本文介绍个人信息保护法第73条(相关名词定义)条文内容及释义,内容来源于最高人民法院数字图书馆。 个人信息保护法第73条条文内容 第七十三条 本法下列用语的含义: (一)个...

    时间:2024-12-15阅读:338标签: 个人信息保护 个人信息

  • 个人信息保护法第72条(适用主体范围的例外)条文内容及释义

    本文介绍个人信息保护法第72条(适用主体范围的例外)条文内容及释义,内容来源于最高人民法院数字图书馆。 个人信息保护法第72条条文内容 第七十二条 自然人因个人或者家庭事务...

    时间:2024-12-15阅读:230标签: 个人信息保护 适用主体

  • 个人信息保护法第71条(个人信息保护的治安管理处罚责任和刑事责任)条文内容及释义

    本文介绍个人信息保护法第71条(个人信息保护的治安管理处罚责任和刑事责任)条文内容及释义,内容来源于最高人民法院数字图书馆。 个人信息保护法第71条条文内容 第七十一条...

    时间:2024-12-15阅读:330标签: 刑事责任 个人信息保护 个人信息 治安管理处罚

  • 个人信息保护法第70条(个人信息保护民事公益诉讼的规定)条文内容及释义

    本文介绍个人信息保护法第70条(个人信息保护民事公益诉讼的规定)条文内容及释义,内容来源于最高人民法院数字图书馆。 个人信息保护法第70条条文内容 第七十条 个人信息处理者...

    时间:2024-12-15阅读:493标签: 个人信息保护 个人信息 公益诉讼

  • 个人信息保护法第69条(侵害个人信息权益归责原则和损害赔偿规则)条文内容及释义

    本文介绍个人信息保护法第69条(侵害个人信息权益归责原则和损害赔偿规则)条文内容及释义,内容来源于最高人民法院数字图书馆。 个人信息保护法第69条条文内容 第六十九条 处理...

    时间:2024-12-15阅读:966标签: 损害赔偿 个人信息保护 个人信息 归责原则

  • 个人信息保护法第68条(不履行个人信息保护义务的处理)条文内容及释义

    本文介绍个人信息保护法第68条(不履行个人信息保护义务的处理)条文内容及释义,内容来源于最高人民法院数字图书馆。 个人信息保护法第68条条文内容 第六十八条 国家机关不履行...

    时间:2024-12-15阅读:270标签: 个人信息保护 个人信息

  • 个人信息保护法第67条(违法行为记入信用档案并公示)条文内容及释义

    本文介绍个人信息保护法第67条(违法行为记入信用档案并公示)条文内容及释义,内容来源于最高人民法院数字图书馆。 个人信息保护法第67条条文内容 第六十七条 有本法规定的违法...

    时间:2024-12-15阅读:249标签: 个人信息保护 违法行为 公示 信用档案

  • 个人信息保护法第66条(违反本法的行政处罚的规定)条文内容及释义

    本文介绍个人信息保护法第66条(违反本法的行政处罚的规定)条文内容及释义,内容来源于最高人民法院数字图书馆。 个人信息保护法第66条条文内容 第六十六条 违反本法规定处理个...

    时间:2024-12-15阅读:1059标签: 行政处罚 违法 个人信息

  • 个人信息保护法第65条(投诉、举报处理工作机制)条文内容及释义

    本文介绍个人信息保护法第65条(投诉、举报处理工作机制)条文内容及释义,内容来源于最高人民法院数字图书馆。 个人信息保护法第65条条文内容 第六十五条 任何组织、个人有权对...

    时间:2024-12-15阅读:272标签: 举报 个人信息保护 投诉

热门内容

  • 消费者权益保护法第55条(惩罚性赔
  • 公司法第88条原文规定内容及条文释
  • 劳动合同法第38条(劳动者单方解除
  • 劳动合同法第36条(协商解除劳动合
  • 宪法第35条(言论、出版、集会、结
  • 道路交通安全法第52条(机动车在道
  • 道路交通安全法第72条(处理交通事
  • 行政处罚法第28条(纠正违法行为、
  • 行政处罚法第33条(不予行政处罚情
  • 道路交通安全法第101条(交通肇事犯

最新资讯

  • 公司法第24条(电子通讯召开
  • 公司法第23条(股东不得滥用
  • 公司法第22条(禁止利用关联
  • 公司法第21条(股东应当依法
  • 公司法第20条(企业社会责任
  • 公司法第19条(公司经营活动
  • 公司法第18条(党基层组织活
  • 公司法第17条(公司职工依法

推荐内容

热门标签

    审判 工资 实施细则 公安机关 举证 租赁合同 职业病 办法 立功 刑事犯罪 监督 企业并购

 粤ICP备17072420号  粤公网安备 44030902000124号 工商网监备  

深圳市厚德汇法信息技术有限公司网络中心制作

声明:本站部分文章和图片系作者结合相关法律法规、政府官网及互联网相关知识整合。如若侵权请发邮件到494483749@qq.com投诉提交信息,我们将按照规定及时处理。