中國(guó)企業(yè)管理研究會(huì)副理事長(zhǎng)趙永輝：企業(yè)應(yīng)從四方面加強(qiáng)個(gè)人信息保護(hù)力度

在國(guó)家網(wǎng)信辦就《個(gè)人信息保護(hù)合規(guī)審計(jì)管理辦法（征求意見(jiàn)稿）》（以下簡(jiǎn)稱“征求意見(jiàn)稿”）面向社會(huì)公開征求意見(jiàn)。征求意見(jiàn)稿指出，個(gè)人信息保護(hù)合規(guī)審計(jì)是指對(duì)個(gè)人信息處理者的個(gè)人信息處理活動(dòng)是否遵守法律、行政法規(guī)的情況進(jìn)行審查和評(píng)價(jià)的監(jiān)督活動(dòng)，而辦法的制訂旨在指導(dǎo)、規(guī)范個(gè)人信息保護(hù)合規(guī)審計(jì)活動(dòng)，提高個(gè)人信息處理活動(dòng)合規(guī)水平，保護(hù)個(gè)人信息權(quán)益。

可以預(yù)見(jiàn)，個(gè)人信息保護(hù)合規(guī)審計(jì)將成為執(zhí)法機(jī)構(gòu)常態(tài)化監(jiān)管的關(guān)鍵手段。對(duì)此，涉及個(gè)人信息保護(hù)的相關(guān)企業(yè)應(yīng)如何正確應(yīng)對(duì)？

中國(guó)企業(yè)管理研究會(huì)副理事長(zhǎng)趙永輝在接受中國(guó)經(jīng)濟(jì)時(shí)報(bào)記者采訪時(shí)表示，個(gè)人信息保護(hù)合規(guī)審計(jì)是進(jìn)一步規(guī)范數(shù)字經(jīng)濟(jì)運(yùn)行的重要舉措，涉及個(gè)人信息保護(hù)的相關(guān)企業(yè)應(yīng)高度重視，并重點(diǎn)從以下四個(gè)方面進(jìn)一步加強(qiáng)個(gè)人信息保護(hù)力度。

在企業(yè)管理中第一是將個(gè)人信息合規(guī)工作納入企業(yè)內(nèi)部控制體系，作為企業(yè)內(nèi)部控制工作的一個(gè)重要組成部分，明確個(gè)人信息保護(hù)的風(fēng)險(xiǎn)點(diǎn)、關(guān)鍵點(diǎn)、控制點(diǎn)，將個(gè)人信息保護(hù)融入現(xiàn)有企業(yè)業(yè)務(wù)合規(guī)控制流程之中，以流程、體系、制度建立企業(yè)對(duì)個(gè)人信息的長(zhǎng)效機(jī)制。

在企業(yè)管理中第二是將個(gè)人信息合規(guī)工作融入企業(yè)組織體系，形成對(duì)個(gè)人信息合規(guī)管理的專責(zé)和專職管理體系。對(duì)于數(shù)字平臺(tái)公司，應(yīng)將個(gè)人信息合規(guī)工作融入公司戰(zhàn)略、納入董事會(huì)監(jiān)管，形成高級(jí)管理層的工作職責(zé)，以上率下，層層落實(shí)合規(guī)管理責(zé)任。

在企業(yè)管理中第三是將個(gè)人信息合規(guī)工作融入企業(yè)考核體系，增強(qiáng)個(gè)人和組織進(jìn)一步做好個(gè)人信息合規(guī)保護(hù)的積極性。企業(yè)應(yīng)根據(jù)自身行業(yè)特點(diǎn)、業(yè)務(wù)運(yùn)行、經(jīng)營(yíng)規(guī)模等情況，因地制宜制定適應(yīng)本單位個(gè)人信息保護(hù)方面的量化的指標(biāo)體系，并將這些指標(biāo)體系分解到組織和崗位，形成個(gè)人信息合規(guī)管理的“指揮棒”。

在企業(yè)管理中第四是將個(gè)人信息合規(guī)工作融入企業(yè)評(píng)價(jià)體系，增強(qiáng)個(gè)人信息保護(hù)合規(guī)管理的科學(xué)性、針對(duì)性。按照即將頒布實(shí)施的《個(gè)人信息保護(hù)合規(guī)審計(jì)管理辦法》，依托企業(yè)內(nèi)控管理流程，定期對(duì)企業(yè)個(gè)人信息合規(guī)工作進(jìn)行復(fù)盤、評(píng)價(jià)，排查在實(shí)際管理中可能存在的控制漏洞，形成問(wèn)題清單，將問(wèn)題整改責(zé)任落實(shí)到人，確保將“問(wèn)題清單”轉(zhuǎn)化為“成效清單”，循序漸進(jìn)，不斷提高個(gè)人信息合規(guī)管理水平。

中國(guó)貿(mào)促會(huì)全國(guó)企業(yè)合規(guī)委員會(huì)專家、北京丹華盛管理咨詢有限公司首席合規(guī)專家丁繼華在接受記者采訪時(shí)表示，征求意見(jiàn)稿及《個(gè)人信息保護(hù)合規(guī)審計(jì)參考要點(diǎn)》對(duì)開展個(gè)人信息處理的企業(yè)開展有效的個(gè)人信息保護(hù)合規(guī)管理有重要意義，也對(duì)開展個(gè)人信息保護(hù)合規(guī)審計(jì)有明確的指導(dǎo)性。

丁繼華認(rèn)為，對(duì)于開展個(gè)人信息處理的企業(yè)來(lái)說(shuō)，首先，應(yīng)該結(jié)合加快個(gè)人信息處理的業(yè)務(wù)特點(diǎn)建立健全個(gè)人信息保護(hù)合規(guī)管理制度，包括內(nèi)部管理制度和操作規(guī)程，明確組織架構(gòu)、崗位職責(zé)，建立工作流程、完善內(nèi)控制度，保障個(gè)人信息處理合規(guī)與安全，從而實(shí)現(xiàn)對(duì)個(gè)人信息保護(hù)合規(guī)風(fēng)險(xiǎn)的有效防范。

其次，應(yīng)加快完善企業(yè)個(gè)人信息保護(hù)合規(guī)管理機(jī)制，確保個(gè)人信息保護(hù)管理有效，包括落實(shí)培訓(xùn)機(jī)制，加強(qiáng)對(duì)員工進(jìn)行個(gè)人信息保護(hù)培訓(xùn)，提升全體員工個(gè)人信息保護(hù)合規(guī)意識(shí)；強(qiáng)化責(zé)任考核機(jī)制，明確業(yè)務(wù)部門的個(gè)人信息保護(hù)職責(zé)及相關(guān)專業(yè)管理部門的個(gè)人信息保護(hù)合規(guī)管理職責(zé)，并設(shè)置相應(yīng)的關(guān)鍵績(jī)效指標(biāo)，嚴(yán)格開展合規(guī)考核；建立咨詢舉報(bào)機(jī)制，針對(duì)員工或相關(guān)個(gè)人對(duì)企業(yè)個(gè)人信息保護(hù)存在合規(guī)疑慮，或者出現(xiàn)個(gè)人信息保護(hù)不合規(guī)行為時(shí)，可以及時(shí)向企業(yè)進(jìn)行咨詢或舉報(bào)，便于企業(yè)及時(shí)進(jìn)行補(bǔ)救。

第三，按照要求自行組織或者委托第三方開展個(gè)人信息保護(hù)合規(guī)審計(jì)。比如，處理超過(guò)100萬(wàn)人的個(gè)人信息處理者每年至少開展一次個(gè)人信息保護(hù)合規(guī)審計(jì)，其他的應(yīng)每?jī)赡曛辽匍_展一次個(gè)人信息保護(hù)合規(guī)審計(jì)，且企業(yè)聘任的合規(guī)審計(jì)機(jī)構(gòu)不得連續(xù)超過(guò)三次審計(jì)。