01.《办法》的出台是对《个保法》第54条和第64条合规审计工作的规定的细化和落实,也为企业开展合规审计工作及日常合规治理提供了重要抓手。
02.《办法》第二条明确了本法的适用主体为“个人信息处理者”,确定了“定期审计”和“监督审计”两类适用情形。同时,《办法》对开展合规审计的“专业机构”提出了严格的要求。
03.《办法》附件明确了141个要点,企业或者第三方专业机构可以结合审计对象的性质、审计范围,制作《快速排查表》《审计流程安排》《审计要点对照表》《审计核查验证方案》《审计报告(模板)》等,结合自身业务系统、APP、算法数量,做好逐一对照。
04.欧盟关于数据保护审计活动的规定可见于《通用数据保护条例》(GDPR)和《数字服务法案》(DSA)中,前者做出了基础性规定,后者则对超大型在线平台和超大型在线搜索引擎设定了独立审计的义务和要求。与我国相比,欧盟企业进行合规审计的情形也可分为内部审计与监管机构的主动审计两种,但更为注重内部审计的开展;我国与欧盟在控制者在较多方面做出了类似的规定,如大型平台的特别责任等。
05.考虑到《个人信息保护法》2021年11月1日实施,至今已经快两年,不管是100万以上还是以下存量个人信息的企业,都应尽快启动审计工作。考虑到专业性和监管部门检查,由第三方专业机构,如律师事务所来完成则更佳。
前言
2023年8月3日,国家互联网信息办公室(以下简称“国家网信办”)发布《个人信息保护合规审计管理办法(征求意见稿)》(以下简称“《办法》”)并附《个人信息保护合规审计参考要点》(以下简称“《要点》”),合计141个审计要点,面向社会公开征求意见。《办法》是落实《个人信息保护法》第五十四条、第六十四条的重要举措,旨在指导、规范个人信息保护合规审计活动,提高个人信息处理活动合规水平,保护个人信息权益。本文将解析《办法》的出台背景、适用对象、主要内容,对比域内外类似审计的异同,为相关企业落实141个审计要点提供建议。
一、《办法》概览
(一)出台背景
1、《办法》的出台,是对《个人信息保护法》第54条和第64条合规审计要求的细化和落实。
《个人信息保护法》(以下简称“《个保法》”)及相关配套规则的陆续出台,体现了我国对个人信息保护工作的重视程度日益提升。其中,《个保法》第五十四条明确了“个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计”,第六十四条规定了“履行个人信息保护职责的部门可以要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计”。《办法》未来出台,将在一定程度上改善当前相关企业既面临着高额罚款风险、又不知如何落实合规审计义务的尴尬局面。
2、《办法》的出台,将为企业开展合规审计工作及日常合规治理提供具体依据。
个人信息保护合规审计工作具有复杂性和系统化的特点,涉及企业全业务流程,且在《个保法》规定的高额罚款风险下企业具有有较大的合规审计需求,但目前仍处于摸索阶段。国家网信办发布《办法》,将努力推动企业的合规审计工作从临时、一次性的审计发展到常规、持续的审计,从片面化的审计到全业务流程、系统化的审计,从而实现《办法》第一条提出的“指导、规范个人信息保护合规审计活动,提高个人信息处理活动合规水平,保护个人信息权益”的立法目的,并为企业开展合规审计工作及日常合规治理提供重要抓手。
3、《办法》出台,可以为后续监管部门更好开展执法工作,提供抓手。
2023年6月1日《网信部门行政执法程序规定》正式实施,其中第十七条规定,“网信部门对下列事项应当及时调查处理,并填写案件来源登记表:(一)在监督检查中发现案件线索的;(二)自然人、法人或者其他组织投诉、申诉、举报的;(三)上级网信部门交办或者下级网信部门报请查处的;(四)有关机关移送的;(五)经由其他方式、途径发现的。”此外,网信部门还出台了很多与个人信息有关的部门规章,在具体调查、要求整改以及核查是否整改方面,网信部门均可以按照《办法》第七条,即:“个人信息处理者按照履行个人信息保护职责的部门要求开展个人信息保护合规审计的,应当在收到通知后尽快按照要求选定专业机构进行个人信息保护合规审计。”启动专项个人信息审计工作。
(二)适用对象
《办法》第二条将“个人信息处理者”确定为本法的适用对象,并明确了“定期审计”和“监督审计”两类情形都将适用本《办法》。在此,需要特别关注“个人信息处理者”的定义是否包含个人信息委托处理中的受托人、100万个人信息如何计算、监督审计触发“较大风险”的理解等问题。从我们在数据出境的相关法律服务工作中,可以关注到对于“受托人”的认定越来越窄,为此,实务中企业切不可认为自己的主要角色是受托人,就忽略个人信息审计工作。相反,我们建议企业尽可能只要有个人信息,特别是较多个人信息的情况下,越早开展个人信息审计工作则最佳。
(三)主要内容
1、《办法》基于上述“定期审计”和“监督审计”的二分场景,明确了各场景下的审计频次、方式,以及“监督审计”的流程、审计时限、个人信息处理者需履行的配合义务及报送与整改义务。
2、《办法》确定了个人信息保护合规审计“专业机构”管理模式,并对其提出了严格的要求(见下表)。
《办法》 | 对“专业机构”的具体要求 |
第十二条 | 独立性和客观性 |
连续为同一审计对象开展合规审计不得超过三次 | |
第十四条 | 诚信正直,公正客观 |
不得转包委托第三方开展公众 | |
承担获取的信息的保密责任 | |
采取相应技术措施和其他必要措施,保障数据安全 | |
不得恶意干扰个人信息处理者的正常经营活动 | |
不得出具虚假、失实报告 |
3、《办法》在附件的《要点》中明确了141个审计要点,个人信息处理者在各业务场景和个人信息全生命周期各环节开展合规审计需重点关注的事项,并针对大型互联网平台运营者做出了单独的规定。
内容概括 | 《办法》 | 重点审查事项或涉及的具体场景 |
合法性基础条件 | 第二条 | 关注“同意的取得” |
个人信息处理规则 | 第三条 | 明确个人信息处理规则的重点审查事项,以“透明度”为原则 |
告知义务的履行 | 第四条 | 关注“告知的方式” |
各特殊业务场景 | 第五条至第十六条 | 共同处理;委托处理;转移个人信息;向第三方提供处理的个人信息;自动化决策;公开个人信息;在公共场所安装图像采集、个人身份识别设备;处理已公开个人信息;处理敏感个人信息;业务涉及不满十四周岁未成年人;向境外提供个人信息 |
个人信息主体权利保障 | 第十七条至第十九条 | 个人信息删除权;个人行使个人信息权益的权利;应个人申请解释说明个人信息处理规则 |
个人信息处理者的责任承担 | 第二十条至第二十七条 | 主体责任;内部管理制度和操作规程;安全技术措施;教育培训计划;个人信息保护负责人;个人信息保护影响评估情况;个人信息安全事件应急预案;个人信息安全事件应急响应处置情况 |
大型互联网平台运营者的特别要求 | 第二十八条至第三十一条 | 独立机构监督;大型互联网平台规则的制定及执行情况;平台内个人信息处理活动;个人信息保护社会责任报告的发布 |
二、域内外个人信息审计相关制度对比
(一)欧盟关于数据保护审计活动的规定
欧盟作为数据保护领域的领头羊,在2018年正式生效的《通用数据保护条例》(GDPR)中建立了较为完善的企业合规制度,也明确了数据保护审计活动的相关要求。2022年11月欧盟委员会颁布生效的《数字服务法案》(Digital Service Act,以下简称“DSA”)中针对超大型在线平台和超大型在线搜索引擎特别规定了独立审计的义务,明确了独立审计的频率、平台和搜索引擎的合作与协助义务、审计报告的内容以及进行独立审计的组织的要求。欧盟与数据保护审计相关的条文的梳理见附件1。
(二)我国与欧盟在个人信息审计方面的主要对比
欧盟在GDPR中搭建了基础的合规审计体系,并在DSA中对超大型在线平台或超大型在线搜索引擎的提供者作出了独立审计的特别规定。《办法》与DSA的部分内容对比见附件2。通过附件2的对比,可以得出以下结论:
1、在合规审计的模式上,欧盟企业进行合规审计的情形也可分为内部审计与监管机构的主动审计两种,但是更为注重内部审计的开展,欧盟合规审计的规定也围绕内部审计予以设定。
2、在控制者的配合义务、审计报告的建立、业务建议的提出与采取、专业机构的责任、大型平台的特别责任等方面,我国与欧盟的规定具有相似性,但在其中的部分要点存在一定的差异,如在个人信息处理者的配合义务方面,欧盟只列举了查阅数据和场所、回答口头或书面问题两个要点,但我国列举了九种情形,更为完善。
3、在专业机构的选取方面,欧盟的要求更为严苛,欧盟从专业机构的专业性、客观性、职业道德、独立性,以及审计服务的利益冲突方面提出了更高的要求。
4、在审计报告的内容规定方面,欧盟要求以书面形式予以实质化,列举了审计报告应包含的内容,更为具体。
三、对企业开展个人信息审计工作的建议
为了更好落实《办法》141个审计要点,我们认为企业可以参考下面方法论开展审计工作:
1、盘点自身个人信息存量情况,做好防火墙隔离,合理计算自身和关联公司的存量个人信息,不要遗漏员工个人信息的数量。
2、结合《办法》附件的141个审计要点,制作《快速排查表》《审计流程安排》《审计要点对照表》《审计核查验证方法》《审计报告(模板)》等,建立好底稿。如果公司条件允许,建议第一次审计工作由外部专业机构,如律师事务所来完成,体现中立性和客观性,专业性。
3、考虑到《个保法》2021年11月1日实施,至今快2年,建议企业不管是100万以上还是以下的个人信息存量,都启动个人信息审计的准备工作。
4、推动开发或引入个人信息保护合规审计技术工具和手段。合规审计技术工具的引入,一方面能够解决人为审计存在的合规结果差异性、风险发现不彻底等问题,另一方面也会提升内部合规审计的效率,实现常规化审计。因此,建议相关企业可以开发或引入数字化合规审计工具,并将其嵌入日常业务运营中,从而实现内部合规审计的提质增效。
附件1:
法规 | 条号 | 具体内容 |
《通用数据保护条例》(GDPR) | 第二十八条 | 第二十八条处理者 3.此类合同或法律尤其应当对如下情形作出规定: (h) 给控制者提供所有能够证明其已经遵循本条款规定责任的信息,以及有利于控制者或控制者委任的审计员进行审计和核查的信息。 关于第1段(h) 点,如果处理者认为某项指示违反了本条例或其他欧盟或成员国的数据保护条款,其应当立即告知控制者。 |
第三十九条 | 第39条数据保护官的任务 1.数据保护官应当至少具有如下任务: (b) 确保遵守本条例、其他欧盟或成员国数据保护条款、和个人数据保护相关的控制者或处理者的政策,包括分配处理操作中以及相关审计中的责任、增强意识以及培训职员; | |
第四十七条 | 第47条有约束力的公司规则 2.第1段所规定的有约束力的规则应当至少明确: (h)根据第37条所委任的所有数据保护官的任务,或者企业集才、或进行联合经济活动的一系列经济主体内部负责监控遵守约束性公司规则、监控培训和处置申诉的所有人或实体的任务; (i)企业集团或进行联合经济活动的一系列经济主体,为了核实对约束性公司规则的遵守的而在内部所设立机制。此类机制应当包括数据保护核查以及能够确保采取矫正性活动保护数据主体权利的方法。此类核实结果应当告知(h)点所规定的个人或实体,企业集团或进行联合经济活动的一系列经济主体,而且在有权监管机构的要求下应当能够提供其核实结果; (k)报告和记录规则变化的机制,以及将此类变化报告给监管机构的机制; (l)为了保证企业集团或进行联合经济活动的一系列经济主体的合规性而和监管机构一起设立的合作机制,特别是向监管机构提供(i)点所规定的方法的核查结果; | |
第五十八条 | 第58条权力 1.每个监督机构都具有所有如下调查权力: (b)以数据保护核查的方式进行调查; (d)将可能侵犯本条例的情况告知控制者或处理者; 2. 每个监管机构都有所有如下矫正性权力: (a)对控制者或处理者颁发警告,警告预期的处理操作可能会侵犯本条例的条款; (b)当处理操作侵犯本条例条款的时候,对控制者或处理者进行申诫; (c)命令控制者或处理者尊重数据主体行使符合本条例的权利; (d)命令控制者或处理者的处理操作符合本条例条款,如果适合的话,应对在特定的期限内以特定的方式完成; (e)命令控制者将个人数据泄露的情况告知数据主体; (f)对处理实施暂时性或具有明确期限的禁令; | |
《数字服务法案》(DSA) | (92) | (92) 鉴于需要确保由独立专家进行核查,超大型在线平台和超大型在线搜索引擎的提供者应通过独立审计,对其遵守本条例规定的义务以及根据行为守则和危机协议做出的任何相关补充承诺的情况负责。为了确保以有效、高效和及时的方式进行审计,超大型在线平台和超大型在线搜索引擎的提供者应向进行审计的组织提供必要的合作和协助,包括允许审计人员接触所有必要的相关数据和场所,以适当地进行审计,包括酌情接触与算法系统有关的数据, 并回答口头或书面问题。审计员还应该能够利用其他客观信息来源,包括经过审查的研究人员的研究。超大型在线平台和超大型在线搜索引擎的提供者不应破坏审计的效能。审计工作应按照最佳的行业惯例和高度的职业道德和客观性进行,并酌情适当考虑到审计标准和业务守则。审计人员应保证其在执行任务时获得的信息(如商业秘密)的保密性、安全性和完整性。这种保证不应成为规避本条例中审计义务适用性的一种手段。审计人员应具备风险管理领域的必要专业知识和审计算法的技术能力。审计人员应该是独立的,以便能够以充分和值得信赖的方式执行其任务。审计人员应该遵守关于禁止非审计服务、公司轮换和风险费用的核心的独立性要求。如果审计人员的独立性和技术能力并非不受置疑,其即应辞去或放弃审计工作。 |
(93) | (93) 审计报告应当实质化,以便对其所开展的活动和得出的结论做出有意义的说明。报告应有助于为超大型在线平台和超大型在线搜索引擎的提供者所采取的措施提供信息,并酌情提出改进建议,以履行本条例规定的义务。在收到审计报告后,应将审计报告转交给场所所在地的数字服务协调员、欧盟委员会和数字服务监督委员会。在没有不当拖延的情况下,提供者还应在完成之后转递关于风险评估和纾解措施的所有报告、以及超大型在线平台或超大 型在线搜索引擎提供者的审计实施报告,说明其如何处理审计建议。审计报告应包括基于从所获得的审计证据中得出的结论而提出的审计意见。如果所有证据都表明超大型在线平台或超大型在线搜索引擎的提供者遵守了本条例规定的义务,或在适用情况下遵守了其根据行为守则或危机协议而做出的任何承诺,特别是识别、评估和纾解其系统和服务所带来的系统性风险,则应给出“肯定”意见。如果审计师希望加入对审计结果没有实质性影响的评论,“肯定”意见应附有评论。如果审计师认为超大型在线平台或超大型在线搜索引擎的提供者没有遵守本条例或所做的承诺,则应给出“否定”意见。如果审计意见无法对属于审计范围的具体内容得出结论,则应在审计意见中说明无法得出这种结论的原因。在适用的情况下,报告应包括对无法审计的具体内容的描述,以及对无法审计这些内容的原因的解释。 | |
(143) | (143) 欧盟委员会应当能够采取必要的行动以监测本条例规定的义务的有效实施和遵守情况。这些行动应当包括能够在这一过程中任命独立的外部专家和审计师以协助欧盟委员会,包括在适用情况下,这些专家来自成员国的主管当局,例如数据或消费者保护当局。在任命审计师时,欧盟委员会应确保充分的轮换。 | |
(145) | (145) 欧盟委员会还应该监测超大型在线平台或超大型相关在线搜索引擎的提供者按照其行动计划采取的任何后续措施,同时考虑对相应提供者的独立审计。如果在实施行动计划之后,欧盟委员会仍然认为违反条例的行为没有得到完全纠正,或者没有提供行动计划,或者认为其不合适,委员会应该能够根据本条例使用任何调查或执法权力,包括有权定期支付罚款,并启动程序,停止对侵权服务的访问。 | |
(152) | (152) 为了实现本条例的目标,应将根据《欧盟条约》第290 条通过法案的权力下放给欧盟委员会,以补充本条例,包括涉及识别超大型在线平台和超大型在线搜索引擎的标准,审计的程序步骤、方法和报告模板,访问请求的技术规范以及确定监管费用的详细方法和程序。 | |
第37条 | 1. 超大型在线平台和超大型在线搜索引擎的提供者应至少每年一次自费接受独立审计,以评估遵守以下规定的情况: (a) 第三章规定的义务;以及, (b) 根据第45 条和第46 条所述的行为守则和第48 条所述的危机协议做出的任何承诺。 | |
2. 超大型在线平台和超大型在线搜索引擎的提供者应向根据本条进行审计的组织提供必要的合作和协助,使其能够以有效、高效和及时的方式进行审计,包括允许其查阅所有相关的数据和场所,并回答口头或书面的问题。其应避免妨碍或不适当地影响或破坏审计工作的进行。 相应审计应确保在审计的过程中,包括在审计结束后,从超大型在线平台和超大型在线搜索引擎的提供者和第三方获得的信息具备足够的保密性和职业秘密性。但是,遵守这一要求不得对审计工作和本条例的其他规定,特别是关于透明度、监管和执行的规定产生负面影响。 在根据第42 条第4 款进行透明度报告的必要情况下,本条第4 款和第6 款所述的审计报告和审计实施报告应附有不包含任何可以合理地认为是保密信息的版本。 | ||
3. 根据第1 款进行的审计应由以下组织进行: (a) 独立于相应超大型在线平台或超大型在线搜索引擎的提供者以及与相应提供者有关的任何法人,并且与相应提供者和相应的有关法人没有任何利益冲突;特别是: (i) 在审计开始前的 12 个月内,没有向相应超大型在线平台或超大型在线搜索引擎的提供者、以及与相应提供者有关的任何法人提供与被审计事项有关的非审计服务,并承诺在审计结束后的 12 个月内不向他们提供此类服务。 (ii) 连续 10 年以上期间,没有根据本条规定向相应超大型在线平台或超大型在线搜索引擎的提供者以及与相应提供者有关的任何法人提供审计服务。 (iii) 在进行审计时,不以审计结果作为收费的依据。 (b) 在风险管理、技术水平和能力方面有成熟的专业知识。 (c) 具有经过证实的,特别是基于对业务守则或适当标准的遵守而证实的的客观性和职业道德。 | ||
4. 超大型在线平台和超大型在线搜索引擎的提供者应确保执行审计的组织为每次审计建立一份审计报告。相应报告应以书面形式予以实质化,并至少包括以下内容: (a) 受审计的超大型在线平台或超大型在线搜索引擎的提供者的名称、地址和联络点以及所涉期间; (b) 执行审计的组织的名称和地址; (c) 利益声明; (d) 对所审计的具体内容和所采用的方法的描述; (e) 对审计得出的主要结果进行描述和总结; (f) 作为审计工作的一部分,咨询过的第三方的名单; (g) 就接受审计的超大型在线平台或超大型在线搜索引擎的提供者是否遵守了第1 款所述的义务和承诺发表审计意见,即“肯定”“附评论肯定”或“否定”;以及, (h) 如果审计意见不是“肯定”的,就实现合规的具体措施和实现合规的建议期间提出业务建议。 | ||
5. 如果进行审计的组织无法对特定具体内容进行审计,或无法根据其调查发表审计意见,审计报告应包括对这些内容无法审计的情况和原因的解释。 | ||
6. 收到非“肯定”审计报告的超大型在线平台或超大型在线搜索引擎的提供者应适当考虑向其提出的业务建议,以便采取必要措施来落实这些建议。其应在收到这些建议后的一个月内通过一份列明相应措施的审计实施报告。如果其不予执行业务建议,其应在审计执行报告中说明不予执行的理由,并说明其为解决所发现的任何不符合规定的情况而采取的任何替代性措施。 | ||
7. 欧盟委员会有权根据第87 条通过授权法案以补充本条例,规定根据本条进行审计的必要规则,特别是关于根据本条进行审计的程序步骤、审计方法和报告模板的必要规则。相应授权方案应考虑到第44 条第1 款(e)项所述的任何自愿性审计标准。 |
附件2:
内容 | 欧盟 | 中国 |
合规审计的类型 | 内部审计:又可分为针对特定业务模块的监督和审计以及定期全面审计两类; 监管机构的主动调查。 | 定期审计; 监督审计。 |
合规审计类型的采用 | 将内部审计作为主要方式,对内部审计的方式、流程、要求等做出了细致的规定。 | 定期审计和监督审计并重。 |
个人信息处理者(控制者)的配合义务 | 超大型在线平台和超大型在线搜索引擎的提供者应向根据本条进行审计的组织提供必要的合作和协助。 | 规定了个人信息处理者对监督审计情形下,专业机构开展合规审计的配合义务。 |
审计费用的支出主体 | 超大型在线平台和超大型在线搜索引擎的提供者应至少每年一次自费接受独立审计。 | 未明确规定,但按照对第九条的理解,应由企业支付。 |
审计报告的报送及整改 | 应确保执行审计的组织为每次审计建立一份审计报告。相应报告应以书面形式予以实质化; 如果审计意见不是“肯定”的,就实现合规的具体措施和实现合规的建议期间提出业务建议; 如果进行审计的组织无法对特定具体内容进行审计,或无法根据其调查发表审计意见,审计报告应包括对这些内容无法审计的情况和原因的解释; 收到非“肯定”审计报告的,应适当考虑向其提出的业务建议,以便采取必要措施来落实这些建议。其应在收到这些建议后的一个月内通过一份列明相应措施的审计实施报告。如果其不予执行业务建议,其应在审计执行报告中说明不予执行的理由,并说明其为解决所发现的任何不符合规定的情况而采取的任何替代性措施。 | 在实施必要合规审计程序后,及时将专业机构出具的个人信息保护合规审计报告报送履行个人信息保护职责的部门。 个人信息保护合规审计报告应当由合规审计负责人、专业机构负责人签字并加盖专业机构公章。 个人信息处理者应当按照专业机构给出的整改建议进行整改,经专业机构复核后将整改情况报送履行个人信息保护职责的部门。 |
专业机构的选取 | 独立于相应提供者以及与其有关的任何法人,并且没有任何利益冲突; 在审计开始前的12个月内没有向提供者与有关法人提供与被审计事项有关的非审计服务,并承诺在审计结束后的12个月内不向他们提供此类服务; 连续10年以上期间,没有向相应提供者以及与其有关的任何法人提供审计服务; 在进行审计时,不以审计结果作为收费的依据; 在风险管理、技术水平和能力方面有成熟的专业知识; 具有客观性和职业道德。 | 连续为同一审计对象开展个人信息保护合规审计不得超过三次; 国家网信部门会同公安机关等国务院有关部门按照统筹规划、合理布局、择优推荐的原则建立个人信息保护合规审计专业机构推荐目录; 鼓励个人信息处理者优先选择推荐目录中的专业机构开展个人信息保护合规审计活动。 |
专业机构的责任 | 保证其在执行任务时获得的信息(如商业秘密)的保密性、安全性和完整性; 遵守关于禁止非审计服务、公司轮换和风险费用的核心的独立性要求; 具备足够的保密性和职业秘密性。但是,遵守这一要求不得对关于透明度、监管和执行的规定产生负面影响。 | 保持独立性和客观性; 应当诚信正直,公正客观地作出合规审计职业判断; 不得转包委托第三方开展个人信息保护合规审计; 获得的信息只能用于个人信息保护合规审计的需要; 对获得的信息承担保密责任; 采取相应技术措施和其他必要措施,保障数据安全; 不得恶意干扰个人信息处理者的正常经营活动; 不得出具虚假、失实报告。 |
针对大型互联网平台运营者的特别规定 | 应当成立主要由外部成员组成的独立机构对个人信息保护情况进行监督; 重点审计大型互联网平台规则的合法合规性、公平公正性及条款的有效性; 运营者应当对平台内个人信息处理活动进行监督; 每年发布个人信息保护社会责任报告。 | 超大型在线平台和超大型在线搜索引擎的提供者应至少每年一次自费接受独立审计,评估遵守规定义务以及作出的承诺的情况; 应确保执行审计的组织为每次审计建立一次审计报告。相应报告应以书面形式予以实质化。 |
