网络安全和数据合规新规提报2023年8月

|提报期间：2023/08/01-08/31|发件人：北京市竞天公诚律师事务所|联系人：周杨zhou.yang@jingtian.com 主题：网络安全和数据合规新规提报期间：2023年8月1日——8月31日 本期提示和分析回顾了2023年8月1日至8月31日期间可能影响企业业务的网络安全和数据合规领域重要新规和重要事件，具体如下所示： 目录 一、国家网信办发布《个人信息保护合规审计管理办法（征求意见稿）》................. 1 （一）发布背景.........................................................................................................1（二）国际立法.........................................................................................................1（三）主要内容和合规要点......................................................................................2（四）简析和建议.....................................................................................................3 二、国家网信办发布《移动互联网未成年人模式建设指南（征求意见稿）》............. 4 （一）主要内容.........................................................................................................4（二）合规要点.........................................................................................................4（三）简析和建议.....................................................................................................7 三、国家互联网信息办公室发布《人脸识别技术应用安全管理规定（试行）（征求意见稿）》................................................................................................................................... 9 （一）主要内容.........................................................................................................9（二）合规要点.........................................................................................................9（三）简析和建议...................................................................................................15 四、国标《信息安全技术敏感个人信息处理安全要求》公开征求意见..................... 17 （一）主要内容.......................................................................................................17（二）合规要点.......................................................................................................17（三）简析和建议...................................................................................................23 五、《网络安全标准实践指南——生成式人工智能服务内容标识方法》发布........... 25 （一）主要内容.......................................................................................................25（二）合规要点.......................................................................................................25（三）简析和建议...................................................................................................30 六、国标《信息安全技术数据交易服务安全要求（征求意见稿）》发布................. 32 （一）主要内容.......................................................................................................32（二）合规要点.......................................................................................................32（三）简析和建议...................................................................................................34 七、国标《信息安全技术重要数据处理安全要求》征求意见..................................... 35 （一）主要内容.......................................................................................................35（二）合规要点.......................................................................................................35（三）简析和建议...................................................................................................38 八、国标《信息安全技术基于个人信息的自动化决策安全要求（征求意见稿）》发布 （一）主要内容.......................................................................................................39（二）合规要点.......................................................................................................39（三）简析和建议...................................................................................................42 九、国标《信息安全技术大型互联网企业内设个人信息保护监督机构要求》征求意见 （一）主要内容.......................................................................................................44（二）合规要点.......................................................................................................44（三）简析和建议...................................................................................................45 （一）主要内容.......................................................................................................47（二）合规要点.......................................................................................................47（三）简析和建议...................................................................................................48 十一、工信部发布《关于开展移动互联网应用程序备案工作的通知》....................... 50 一、国家网信办发布《个人信息保护合规审计管理办法（征求意见稿）》 （一）发布背景 2021年8月正式通过的《中华人民共和国个人信息保护法》（以下简称“《个保法》”）第五十四条和第六十四条中规定，个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计；履行个人信息保护职责的部门在履行职责中，发现个人信息处理活动存在较大风险或者发生个人信息安全事件的，可以要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。然而上述关于定期审计和监管审计的两种形式规定并未有进一步的操作细则，导致个人信息处理者的审计义务在履行中存在模糊，因此仍需完善制度体系、明确落地要求。 2023年8月3日，为指导、规范个人信息保护合规审计活动，根据《中华人民共和国个人信息保护法》等法律法规，国家互联网信息办公室起草了《个人信息保护合规审计管理办法（征求意见稿）》（以下简称“《办法》”），并向社会公开征求意见。《办法》在之前立法的基础上，规定了审计对象、审计流程、专业机构的要求，同时发布了《个人信息保护合规审计参考要点》（“《要点》”），对个人信息处理者提出了许多全新的实质性义务规定。本文将对该《办法》的适用范围、个人信息处理者的合规义务以及《要点》内容进行提示和解读，以期为企业提供合规建议和应对方法。 （二）国际立法 自2018年《通用数据保护条例》（GDPR）的出台，为加强对各组织落实GDPR及相关数据保护法律情况的合规监管，英、法、德等多个欧洲国家相继展开了数据保护审计工作。 英国以2018年《数据保护法》第129条和第146条为依据，建立了以自愿审计为主、强制审计为辅的数据保护审计制度，将审计分为第一方审计（内部