2023年8月3日,国家互联网信息办公室发布《个人信息保护合规审计管理办法(征求意见稿)》(以下简称“《办法》”)及《个人信息保护合规审计参考要点》(以下简称“《参考要点》”),细化了个人信息保护合规审计的目的、程序、内容、专业机构等具体规定,为《个人信息保护法》(以下简称“《个保法》”)有关个人信息处理的合规审计提供相对具体的落地指引。
一、合规审计的国际实践
随着数据保护监管要求的提高与对个人信息权利保护的重视,国外多个数据保护监管机构相继开展合规审计工作,监督和协助个人信息处理者切实履行个人信息保护义务。
1.欧盟
欧盟《通用数据保护条例》(GDPR)将数据保护审计作为核查、判断数据处理者及数据控制者是否遵循GDPR的手段,在第28条、第39条、第47条和第58条中分别明确了数据保护审计活动的相关要求,包括规定数据保护官负责监测相关数据保护审计活动的合规性,授权数据监管机构以数据保护审计形式开展调查等。在GDPR规范下,数据保护审计可由企业自主开展,在特定情形下还可由监管部门提起。随后,欧盟数据保护监管机构(EDPS)发布了《EDPS审计指南》(EDPS Audit Guidelines),进一步明确了数据保护审计的定义、触发条件、规范基础、步骤、救济等内容。此外,欧盟委员会颁布了《数字服务法案》,针对超大型在线平台和超大型在线搜索引擎规定了独立审计义务,明确了独立审计的频次、审计的程序步骤、审计报告的内容(包括审计组织、利益声明、审计内容和方法)以及进行独立审计的人员要求。
2.英国
2018年英国《数据保护法》建立了以自愿审计为主、强制审计为辅的数据保护审计制度,随后英国信息专员办公室(ICO)于2021年发布了《ICO审计指南》,涵盖医疗健康、司法、金融、互联网等10多个领域,提出了文件审查、场外访谈及测试、现场审查四种方式,进一步明确了审计的流程要求和审计事项,具体包括被审计主体的数据保护组织和制度问题、处理敏感数据的工作人员的操作指南或手册、数据保护培训模板、个人数据的安全、个人权利请求、数据分享、记录管理,以及数据保护影响评估和信息风险管理等事项。
除此之外,美国加州的《加州隐私权法案(CPRA)》、俄罗斯《联邦个人数据法》、法国《数据保护审计程序指南》也对数据保护审计进行了规定。由此可见,数据保护审计正逐渐成为各国家或地区监督和促进企业数据合规,保障数据安全的重要工具。
二、个人信息保护合规审计的四大要点
目前我国《个保法》对个人信息合规审计的要求如下:
第54条规定,个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。
第64条规定,履行个人信息保护职责的部门在履行职责中,发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,可以按照规定的权限和程序对该个人信息处理者的法定代表人或者主要负责人进行约谈,或者要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。个人信息处理者应当按照要求采取措施,进行整改,消除隐患。
国家网信办发布的《办法》对上述规定提供了具体的执行细则;而配套的《参考要点》重申了《个保法》中已有的原则性要求,并吸收了大量个人信息安全相关国家标准的具体规定,比如《个人信息安全规范》、《个人信息安全影响评估实施指南》,从多方面明确了个人信息处理者或专业机构开展审计活动时应注意审查的事项。下文将对《办法》以及《参考要点》中的重点事项进行解读,以便企业理解、应对个人信息保护合规审计工作。
1.定期审计和监管审计相结合
《办法》第2条规定,《办法》适用于个人信息处理者定期展开的个人信息保护合规审计,或者按照履行个人信息保护职责的部门要求委托专业机构对其个人信息处理活动进行的合规审计。
因此,触发个人信息保护合规审计的情形可分为“定期审计”和“监管审计”两种类型。对于“定期审计”的频次要求,《办法》在《个保法》的基础上进一步细化,规定处理超过100万人个人信息的个人信息处理者每年至少开展一次个人信息保护合规审计,其他个人信息处理者应当每二年至少开展一次个人信息保护合规审计。
对于“监管审计”情形,《办法》第6条规定有关部门可以在发现个人信息处理活动存在较大风险或者发生个人信息安全事件时,依职权要求个人信息处理者开展个人信息保护合规审计工作。但目前法律法规对“存在较大风险”情形未做具体规定,参考《ICO审计指南》以及我国现有的国家标准文件,监管部门可能会依下列情形判断是否“存在较大风险”:
(1)用户或其他个人信息主体就个人信息处理者的信息处理活动向监管部门进行投诉;
(2)个人信息处理者在履行其他法定义务过程中(如个人信息保护影响评估报告、数据出境风险自评估报告),监管部门发现或个人信息处理者主动向监管部门披露的个人信息处理活动存在合规风险或安全风险;
(3)曾发生过个人信息安全泄露事件、违法收集处理个人信息事件;
(4)监管部门依法检查或测试中作出个人信息处理活动存在较大风险的判断;
(5)个人信息处理者对合规控制/管理以及个人信息保护立法的认知和掌控;
(6)信息系统组件或运行环境发生重大变更(或发现新的高安全等级威胁和漏洞),引发监管关注;
(7)正在处理的个人信息的数量和性质等。
2.审计机构的具体要求
根据《办法》规定,“定期审计”可由企业内部机构或委托专业审计机构自行开展,而在“监管审计”情形下,企业应当委托专业机构进行审计,而不能由其内部组织进行审计。
对于专业机构的选择,根据《办法》第13条,国家网信部门将会同公安机关等国务院有关部门建立个人信息保护合规审计专业机构推荐目录,每年对专业机构开展评估评价,并根据评估评价情况动态调整推荐目录,鼓励个人信息处理者优先选择推荐目录中的专业机构。
此外,《办法》对专业机构的权限和义务做出了详细规定,并强调应保障专业机构的独立性和客观性。
权限 | 义务 |
1. 要求提供或者协助查阅相关文件或资料; 2. 进入个人信息处理活动相关场所; 3. 观察场所内发生的个人信息处理活动; 4. 调查相关业务活动及所依赖的信息系统; 5. 检查、测试个人信息处理活动相关设备设施; 6. 调取、查阅个人信息处理活动相关数据或信息; 7. 访谈与个人信息处理活动有关的人员; 8. 就相关问题进行调查、质询和取证; 9. 其他开展合规审计工作所必需的权限。(第8条) | 1. 为保障合规审计的独立性和客观性,连续为同一审计对象开展个人信息保护合规审计不得超过三次。(第12条) 2. 应当诚信正直,公正客观地作出合规审计职业判断。 3. 不得转包委托第三方开展个人信息保护合规审计。 4. 在履行个人信息保护合规审计职责中获得的信息,只能用于个人信息保护合规审计的需要,不得用于其他用途;应当对获得的信息承担保密责任;应当采取相应技术措施和其他必要措施,保障数据安全。 5. 在履行个人信息保护合规审计职责时不得恶意干扰个人信息处理者的正常经营活动。 6. 不得出具虚假、失实报告。(第14条) |
3.个人信息保护合规审计程序
首先,在“监管审计”情形下,个人信息处理者应当在收到通知后尽快按照要求选定专业机构进行个人信息保护合规审计。
其次,个人信息处理者应当在90个工作日内完成个人信息保护合规审计;情况复杂的,报经履行个人信息保护职责的部门批准后可适当延长。如该审计时限是从个人信息处理者收到监管部门通知之日起计算,建议企业尽早开展个人信息保护合规部署工作。
最后,依监管部门要求进行的审计完成后,个人信息处理者应当将专业机构出具的个人信息保护合规审计报告报送履行个人信息保护职责的部门,并且按照专业机构给出的整改建议进行整改,经专业机构复核后将整改情况也报送履行个人信息保护职责的部门。
4.合规审计要点
《参考要点》中详细列举了个人信息处理者或其委托的专业机构开展合规审计时,在各业务场景和个人信息全生命周期各环节中的审查要点,并针对大型互联网平台运营者做出了单独规定,具体可分为以下五部分:
内容概括 | 《参考要点》 | 审计要点 |
个人信息处理规则 | 第2条至第14条 | 1. 个人信息处理活动的合法性基础(如个人同意的取得) 2. 个人信息处理规则,以“透明度”为原则 3. 告知方式 4. 与第三方合作(共同处理、委托处理、对外提供、个人信息转移) 5. 特殊业务场景(自动化决策、公开、公共场所采集、处理已公开信息、处理敏感个人信息、未成年人个人信息) |
个人信息跨境 | 第15条、第16条 | 1. 个人信息的出境评估、司法执法调取、条约协定、个人信息保护认证、标准合同、境外接收方所在地的个人信息保护政策等 2. 个人信息处理者对境外接收方采取监督措施的有效性 |
个人信息主体权利 | 第17条至第19条 | 1. 个人信息删除权保障情况 2. 个人信息权利申请受理机制;查阅、复制、转移、更正、补充、删除个人信息的权利;及时响应等权利保障 3. 个人信息处理解释说明权 |
个人信息处理者责任 | 第20条至第27条 | 1. 主体责任(包括制度制定、组织架构、职责分工等) 2. 内部管理制度和操作规程(包括个人信息分类、个人信息保护负责人及相关人员履职评价制度、违规处置制度等) 3. 技术措施的有效性 4. 教育培训 5. 个人信息保护负责人 6. 个人信息保护影响评估 7. 个人信息安全事件应急预案 8. 个人信息安全事件应急响应处置 |
大型互联网平台 | 第28至第31条 | 1. 独立机构监督 2. 平台规则的合法合规性、公平公正性、保护条款有效性、规则执行情况 3. 监督平台内产品或服务提供者的个人信息处理活动 4. 年度个人信息保护社会责任报告 |
三、合规建议
虽然《办法》仍在征求意见阶段,但对于企业如何开展合规审计工作具有很高的参考价值,建议企业未雨绸缪,提前规划以应对合规审计要求。结合《个保法》《办法》规定及实务经验,建议可采取以下步骤:
1.判断企业在合规审计中的主体类型。由于《办法》《个人信息保护法》《网数条例》等规定对个人信息处理者、委托处理者、重要数据处理者、大型互联网平台运营者的合规审计义务分别做出了不同规定,即不同主体在审计频次、审计内容等方面的侧重点不同。企业应结合个人信息处理情况,判断自身主体类型,识别相应的合规义务,再开展个人信息合规审计工作。
2.建立内部个人信息保护合规工作机制。企业应当依照法律、行政法规的规定制定内部管理制度和操作规程,明确组织架构、人员配备、管理权限,建立工作流程、完善内控制度,保障个人信息处理合规与安全。同时,为应对合规审计要求,建议企业做好个人信息处理留痕工作,留存个人信息主体同意书、处理敏感个人信息的工作人员的操作指南或手册、数据和个人信息保护的治理结构说明、重要数据和个人信息登记册、个人信息处理记录、数据保护培训记录、数据传输协议等文件。
3.完善内部个人信息保护合规审计制度。根据《办法》规定,个人信息处理者应定期开展合规审计。建议企业在《参考要点》的指导下,对内部审计实施流程、审计要求、审计组织、审计方法等方面内容做进一步细化。参考《办法》对于“监管审计”流程的规定,企业自行开展合规审计工作后,也应当出具个人信息保护合规审计报告,同时制定个人信息保护合规审计整改方案,完善当前个人信息保护制度。
