中國企業(yè)管理研究會副理事長趙永輝：企業(yè)應(yīng)從四方面加強(qiáng)個人信息保護(hù)力度

在國家網(wǎng)信辦就《個人信息保護(hù)合規(guī)審計(jì)管理辦法（征求意見稿）》（以下簡稱“征求意見稿”）面向社會公開征求意見。征求意見稿指出，個人信息保護(hù)合規(guī)審計(jì)是指對個人信息處理者的個人信息處理活動是否遵守法律、行政法規(guī)的情況進(jìn)行審查和評價的監(jiān)督活動，而辦法的制訂旨在指導(dǎo)、規(guī)范個人信息保護(hù)合規(guī)審計(jì)活動，提高個人信息處理活動合規(guī)水平，保護(hù)個人信息權(quán)益。

可以預(yù)見，個人信息保護(hù)合規(guī)審計(jì)將成為執(zhí)法機(jī)構(gòu)常態(tài)化監(jiān)管的關(guān)鍵手段。對此，涉及個人信息保護(hù)的相關(guān)企業(yè)應(yīng)如何正確應(yīng)對？

中國企業(yè)管理研究會副理事長趙永輝在接受中國經(jīng)濟(jì)時報(bào)記者采訪時表示，個人信息保護(hù)合規(guī)審計(jì)是進(jìn)一步規(guī)范數(shù)字經(jīng)濟(jì)運(yùn)行的重要舉措，涉及個人信息保護(hù)的相關(guān)企業(yè)應(yīng)高度重視，并重點(diǎn)從以下四個方面進(jìn)一步加強(qiáng)個人信息保護(hù)力度。

在企業(yè)管理中第一是將個人信息合規(guī)工作納入企業(yè)內(nèi)部控制體系，作為企業(yè)內(nèi)部控制工作的一個重要組成部分，明確個人信息保護(hù)的風(fēng)險(xiǎn)點(diǎn)、關(guān)鍵點(diǎn)、控制點(diǎn)，將個人信息保護(hù)融入現(xiàn)有企業(yè)業(yè)務(wù)合規(guī)控制流程之中，以流程、體系、制度建立企業(yè)對個人信息的長效機(jī)制。

在企業(yè)管理中第二是將個人信息合規(guī)工作融入企業(yè)組織體系，形成對個人信息合規(guī)管理的專責(zé)和專職管理體系。對于數(shù)字平臺公司，應(yīng)將個人信息合規(guī)工作融入公司戰(zhàn)略、納入董事會監(jiān)管，形成高級管理層的工作職責(zé)，以上率下，層層落實(shí)合規(guī)管理責(zé)任。

在企業(yè)管理中第三是將個人信息合規(guī)工作融入企業(yè)考核體系，增強(qiáng)個人和組織進(jìn)一步做好個人信息合規(guī)保護(hù)的積極性。企業(yè)應(yīng)根據(jù)自身行業(yè)特點(diǎn)、業(yè)務(wù)運(yùn)行、經(jīng)營規(guī)模等情況，因地制宜制定適應(yīng)本單位個人信息保護(hù)方面的量化的指標(biāo)體系，并將這些指標(biāo)體系分解到組織和崗位，形成個人信息合規(guī)管理的“指揮棒”。

在企業(yè)管理中第四是將個人信息合規(guī)工作融入企業(yè)評價體系，增強(qiáng)個人信息保護(hù)合規(guī)管理的科學(xué)性、針對性。按照即將頒布實(shí)施的《個人信息保護(hù)合規(guī)審計(jì)管理辦法》，依托企業(yè)內(nèi)控管理流程，定期對企業(yè)個人信息合規(guī)工作進(jìn)行復(fù)盤、評價，排查在實(shí)際管理中可能存在的控制漏洞，形成問題清單，將問題整改責(zé)任落實(shí)到人，確保將“問題清單”轉(zhuǎn)化為“成效清單”，循序漸進(jìn)，不斷提高個人信息合規(guī)管理水平。

中國貿(mào)促會全國企業(yè)合規(guī)委員會專家、北京丹華盛管理咨詢有限公司首席合規(guī)專家丁繼華在接受記者采訪時表示，征求意見稿及《個人信息保護(hù)合規(guī)審計(jì)參考要點(diǎn)》對開展個人信息處理的企業(yè)開展有效的個人信息保護(hù)合規(guī)管理有重要意義，也對開展個人信息保護(hù)合規(guī)審計(jì)有明確的指導(dǎo)性。

丁繼華認(rèn)為，對于開展個人信息處理的企業(yè)來說，首先，應(yīng)該結(jié)合加快個人信息處理的業(yè)務(wù)特點(diǎn)建立健全個人信息保護(hù)合規(guī)管理制度，包括內(nèi)部管理制度和操作規(guī)程，明確組織架構(gòu)、崗位職責(zé)，建立工作流程、完善內(nèi)控制度，保障個人信息處理合規(guī)與安全，從而實(shí)現(xiàn)對個人信息保護(hù)合規(guī)風(fēng)險(xiǎn)的有效防范。

其次，應(yīng)加快完善企業(yè)個人信息保護(hù)合規(guī)管理機(jī)制，確保個人信息保護(hù)管理有效，包括落實(shí)培訓(xùn)機(jī)制，加強(qiáng)對員工進(jìn)行個人信息保護(hù)培訓(xùn)，提升全體員工個人信息保護(hù)合規(guī)意識；強(qiáng)化責(zé)任考核機(jī)制，明確業(yè)務(wù)部門的個人信息保護(hù)職責(zé)及相關(guān)專業(yè)管理部門的個人信息保護(hù)合規(guī)管理職責(zé)，并設(shè)置相應(yīng)的關(guān)鍵績效指標(biāo)，嚴(yán)格開展合規(guī)考核；建立咨詢舉報(bào)機(jī)制，針對員工或相關(guān)個人對企業(yè)個人信息保護(hù)存在合規(guī)疑慮，或者出現(xiàn)個人信息保護(hù)不合規(guī)行為時，可以及時向企業(yè)進(jìn)行咨詢或舉報(bào)，便于企業(yè)及時進(jìn)行補(bǔ)救。

第三，按照要求自行組織或者委托第三方開展個人信息保護(hù)合規(guī)審計(jì)。比如，處理超過100萬人的個人信息處理者每年至少開展一次個人信息保護(hù)合規(guī)審計(jì)，其他的應(yīng)每兩年至少開展一次個人信息保護(hù)合規(guī)審計(jì)，且企業(yè)聘任的合規(guī)審計(jì)機(jī)構(gòu)不得連續(xù)超過三次審計(jì)。