要求个人信息处理者设置相对独立的个人信息保护负责人负责其个人信息处理事务,是国外立法的通例。国外立法对个人信息保护负责人有不同的称谓,主要包括“数据保护官”“数据(个人信息)保护专员”等。欧盟《通用数据保护条例》第三十七条至第三十九条规定了个人数据控制者、处理者必须任命数据保护官的法定情形以及职责,并赋予数据保护官独立履职权、直接报告权、资源保障权等权力。欧盟各成员国按照《通用数据保护条例》的规定都要求个人信息控制者、处理者设置数据保护官或者类似职位。新加坡《个人数据保护法》要求,处理个人数据的机构应当指定一人或多人确保该机构遵守本法,并向公众提供被指定的人的商业联络信息。韩国《个人信息保护法》规定,个人信息处理者应当指定全面负责个人信息处理的隐私官,无正当理由不得阻碍隐私官履行职责,隐私官履行的职责包括:制定和实施个人信息保护计划;定期检查个人信息处理程序的实际情况并改善不足之处;处理有关个人信息处理事项的投诉以及救济赔偿;建立内部控制机制以防止个人信息的泄露、滥用和误用;准备和实施个人信息保护教育活动;保护、控制、管理个人信息档案;总统令规定的其他职能。
第五十三条 本法第三条第二款规定的中华人民共和国境外的个人信息处理者,应当在中华人民共和国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务,并将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门。
[释义]本条是对境外的个人信息处理者在境内设立个人信息保护机构或代表的规定。
由于网络的无国界性,信息服务企业不必在一国境内设立实体即可远程在其他国家提供服务,导致个人信息在国家之间传输成为必然和常态。与此同时,不同国家法律制度、保护水平之间的差异以及遥远的地理位置,给个人信息跨境转移带来很大的风险,对个人行使其权利、在其权利受到侵害时寻求救济以及个人信息保护执法都带来挑战。本法第三条第二款赋予了本法必要的域外适用效力,规定,在我国境外处理境内自然人个人信息的活动,有下列情形之一的,适用本法:(1)以向境内自然人提供产品或者服务为目的;(2)分析、评估境内自然人的行为;(3)法律、行政法规规定的其他情形。为了保证具有上述情形的境外处理者按照本法规定从事个人信息处理活动,维护境内自然人的个人信息权益,应有必要的途径和监督执行机制。欧盟《通用数据保护条例》规定,没有在欧盟设立控制者和处理者,但是向欧盟的数据主体提供商品或者服务或对欧盟境内的数据主体进行监控的,控制者或者处理者应当以书面方式指定一名在欧盟的代表。
本条借鉴有关国家和地区的立法,要求境外个人信息处理者在境内设立机构或者代表,代表其负责在我国境内的个人信息保护事务。其主要职责应包括:监督个人信息处理者处理境内自然人个人信息的活动符合我国法律规定、达到我国的保护标准;响应境内自然人行使权利的请求;代表境外处理者接受履行个人信息保护职责的部门依法实施的监督检查等。上述专门机构,可以由境外的个人信息处理者委派人员组成,也可以委托境内机构担任;上述专门人员,可以由境外的个人信息处理者委派,也可以在境内自然人中指定。同时,个人信息处理者应当将上述机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门,以保证本条规定的落实。
第五十四条 个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。
[释义]本条是关于合规审计义务的规定。
审计作为一种风险控制和监督手段,被广泛用于许多领域,按照是否有法律强制性的规定,可分为法定审计和非法定审计;按照审计的实施方式,可分为内部审计和外部审计;按照审计的实施对象,可分为财务审计和合规审计。我国法律规定的审计,一是政府审计,即由审计机关组织实施的对各级人民政府及其部门的财政收支、国有企事业单位等财务收支的真实、合法和效益的审计。二是会计师事务所的财务审计,即按照公司法和证券法等法律的规定,对公司特别是上市公司由公司聘请会计师事务所对其财务进行审计的活动。三是内部审计,即按照有关法律法规的规定或者企业根据自身需要,由企业内部审计机构对企业财务会计进行的审计。四是合规审计,即根据法律法规的规定或者企业根据自身需要,由企业内部相关机构或者聘请外部专业机构对企业经营管理或特定事项的合法性、合规性进行的审计。
对个人信息处理者的个人信息处理活动进行合规审计,有利于发现个人信息保护措施存在的问题和合规风险,并提出有针对性的改进措施,以保证其个人信息处理活动符合法律、行政法规的规定,减少直至消除可能承担的法律风险。
按照本条规定,个人信息处理者可以根据自身情况和需要,确定合规审计的时间、频次等,以及是由内部机构还是委托外部专业机构进行合规审计。有关主管部门应当及时制定出台个人信息保护合规审计指引或标准,指导、督促个人信息处理者开展个人信息保护合规审计活动。(www.xing528.com)
需要说明的是,网络安全法等法律、行政法规对网络数据安全风险的评估作出了规定,个人信息处理者应当按照规定对个人信息安全所面临的风险、所采取的安全保护措施的有效性等组织开展安全评估,确保个人信息的安全。
第五十五条 有下列情形之一的,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录:
(一)处理敏感个人信息;
(二)利用个人信息进行自动化决策;
(三)委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;
(四)向境外提供个人信息;
(五)其他对个人权益有重大影响的个人信息处理活动。
[释义]本条是关于个人信息保护影响评估的情形的规定。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
