编者按:
2023年8月3日,国家互联网信息办公室发布了《个人信息保护合规审计管理办法(征求意见稿)》(以下简称“《办法》”)及配套的《个人信息保护合规审计参考要点》(以下简称“《参考要点》”)。《办法》首次从部门规范性文件层面明确提出了个人信息处理者的审计频次要求及相关审计规则,《参考要点》则提供了企业开展审计的合规要点。
可以预见,未来针对个人信息保护合规审计的制度落地仍将面临一些实务困境,例如,针对专业机构,一方面,合规审计对企业的重要性不言而喻,如果专业机构不能客观、中立地作出职业判断,可能影响审计报告的客观性与真实性,进而影响个人信息保护合规审计的效果;另一方面,基于个人信息保护合规审计的特殊性,专业机构将不可避免地获取审计涉及的个人信息,例如客户个人信息或员工个人信息,但应确保专业机构基于合规审计获取的个人信息仅能用于本次审计目的,且应同时遵循个人信息处理的基本原则,如必要原则。针对此等实务难点,本文就个人信息保护合规审计相关焦点问题从实务视角进行解读,期待读者朋友们能够有所收获!
一、哪些情形会触发个人信息保护合规审计?
根据《办法》第2条,《办法》适用于个人信息处理者定期开展个人信息保护合规审计(以下称“定期审计”),或者按照履行个人信息保护职责的部门要求委托专业机构对其个人信息处理活动进行合规审计(以下称“监管审计”),据此,与《个人信息保护法》第54、64条一脉相承,触发个人信息保护合规审计的情形包括:
“定期审计”:《个人信息保护法》第54条要求个人信息处理者定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。根据主体不同,开展“定期审计”的周期为:
处理100万人以上个人信息的个人信息处理者:每年至少开展一次;
其他个人信息处理者:每二年至少开展一次。
“监管审计”:《个人信息保护法》第64条规定,履行个人信息保护职责的部门在履行职责中,发现“个人信息处理活动存在较大风险”或者“发生个人信息安全事件”的,可以要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。关于如何理解“个人信息处理活动存在较大风险”,结合实践经验,可能包括如下情形:
涉及用户或其他个人信息主体就企业个人信息处理活动向监管部门进行投诉;
发生有权机构向企业提起个人信息保护公益诉讼;
发生了个人信息安全事件或合规事件,例如数据泄露、违法收集处理个人信息、违法数据交易等;
针对企业在履行其他法定义务(例如汽车数据年报、数据出境风险自评估报告、数据出境个人信息保护影响评估报告、网络产品安全漏洞报送)过程中,监管部门发现或企业主动向监管部门披露的个人信息处理活动合规风险或安全风险;
针对大平台企业或重点领域或行业的头部企业,监管部门在日常调查与沟通中了解的个人信息保护合规风险或安全风险;
针对媒体或其他公开渠道所披露的企业个人信息合规风险或安全风险(例如3·15晚会),据此引发监管关切;
处理大量个人信息的新类型网络产品或服务上线(例如Chat-GPT),基于其技术原理及企业合规落实情况,引发监管对其个人信息合规风险或安全风险的关切;
基于执法机构(及所委托的技术检测机构)日常开展安全检测过程中,所了解到的个人信息保护合规风险或安全风险等。
二、哪些企业或者行业对个人信息保护合规审计的需求最为迫切?
对企业而言,个人信息保护合规审计是风险发现工具,也是合规工具。由此,相关监管风险较高的企业,其合规审计需求可能会更为迫切。具体而言,可能涉及如下类型的企业:
1.大型互联网平台企业
《个人信息保护法》等法律法规对大型互联网平台企业的个人信息保护水平提出了更高的标准,例如需成立独立的监管机构、制定平台规则、定期发布个人信息保护社会责任报告等。
2.敏感个人信息处理者
针对敏感个人信息处理者,如人脸识别信息处理者、个人金融数据处理者、人类遗传资源信息处理者及个人健康医疗数据处理者(例如医疗机构)等,因其所处理数据较为敏感,如存在合规瑕疵可能会为个人信息主体权益造成更高的影响或损害,故合规审计需求也会更为迫切。
3.开展高风险或高敏感的个人信息处理场景
企业如涉及经常性的数据跨境,或涉及数据交易等数据流通活动以及涉及数据融合等较为敏感的数据处理活动等,均可能会为个人信息主体权益造成一定影响或损害。
4.基于风险判断的路径
企业如果遭遇风险事件或合规事件,如数据泄露、个人信息主体投诉、公益诉讼等,其个人信息保护合规审计的需求也随之凸显。
三、如何确定个人信息保护合规审计范围?
(一)针对企业整体开展个人信息处理保护合规审计
《办法》第4条提出了企业开展“至少每年一次”或“至少每二年一次”的“年度审计”要求,这是针对“定期审计”的规定。此等“年度审计”的监管目标是督促企业定期开展全面合规自检,其审计范围应面向企业整体,包括制度建设、组织架构设置、安全能力、数字产品与服务、个人信息全生命周期管理各个环节等。
(二)针对特定个人信息处理活动的审计
一方面,此等针对特定处理活动的审计可能由监管部门基于《个人信息保护法》第64条所依职权触发,如监管部门发现企业本身涉及违规开展个人信息交易或者企业发生了侵害个人信息主体权利的事件,由此,监管部门发现的风险将会作为重点的审计事项,监管部门可以依照发现的风险因素或个人信息安全事件的影响来确定审计范围。另一方面,企业如需与合作伙伴就特定业务场景开展合作,或需就自身特定产品或服务(尤其是涉及高风险、高敏感处理活动的产品线)向公众展现合规水平,亦可由企业主动触发。此等审计范围主要面向特定处理活动的合规性和安全性,当然,审计过程中也可能会对企业制度建设、组织架构、安全能力做附带性审查。
四、如何理解“个人信息保护合规审计参考要点”?
虽然文件名为“参考要点”,但如从深层次进行理解,“参考要点”第一条即明确其依据“法律、行政法规和国家标准的强制性要求”制定,我们理解“参考要点”仍在很大程度上反映出监管部门对个人信息处理者合规基准的考虑,并有可能在后续出台的行政法规或强制性国标中被规定,作为企业实质的审计基准,所以应当比较严肃地看待“参考要点”。
五、开展个人信息保护合规审计的审计基准是什么?
审计基准即为审计过程中所需对照的标准。《个人信息保护法》第54条已明确“定期审计”的审计基准为处理个人信息“遵守法律、行政法规”的情况。《个人信息保护法》第64条下的“监管审计”则未参照第54条的模式对审计基准进行明确。由于“监管审计”是监管部门在发现风险后启动的审计程序,触发“监管审计”往往意味着高风险处理活动已然引发监管关切,该情形下审计基准的内涵可能会更为广阔,比如部门规章或强制性国家标准,或将落入“监管审计”的审计基准范畴。
六、如何选择内审和第三方机构外审?
(一)由第三方外审的场景
聘请第三方专业机构开展审计,通常具有更强的独立性和监督性,从而保证审计过程与结论的公平和公允。如果企业自身评估合规风险较高,需要具备相当经验的第三方专业机构进行审计,或是审计过程中需要具有独立性的外部专业机构来对企业内部进行监督,此时采用第三方机构进行外审可能更合适。由此,基于风险过滤和独立性的考虑,第三方外审作为一个内部的承接机制是很有必要的。
(二)内审与外审的审计范围
内审与外审的区分只是形式,而审计范围的确定则与启动审计的目标相关,例如针对某个产品开展审计,或针对某个交易开展审计,以上场景的审计范围通常会针对特定的数据处理活动,这与确定内外审的选择并非同一维度的考虑事项。
七、企业如何选择专业机构?
针对“监管审计”,应当委托专业机构开展;而对于“定期审计”,尽管从规则层面企业有权选择由企业内部机构开展或委托专业机构开展,但从实践层面,基于成本、权威性、中立性、专业性等因素的考量,我们理解企业主动委托外部专业机构协助开展合规审计将成为普遍实践。
在专业机构选择方面,第一类机构是律所,由于开展个人信息保护合规审计的绝大部分要点仍集中在法律符合性的审查和评价,律所具有一定的法律的解构能力,能够对处理个人信息“遵守法律、行政法规”的情况发表专业意见;第二类机构是技术机构,技术机构在审计过程中对企业信息安全能力、技术措施能力更为了解,适宜于企业因遭遇数据泄露等安全事件而触发的个人信息保护合规审计;第三类机构是审计机构,审计机构则对审计工作的开展流程更为熟悉。三种机构共同参与可能是企业开展个人信息保护合规审计的最优解;如企业资源尚不到位,则可根据所面临的实际问题,针对性选择最适合的审计机构。
实务解读:揭开个人信息保护合规审计的面纱(附模板&表格)
作者:陈际红来源:北京市中伦律师事务所

编者按: 2023年8月3日,国家互联网信息办公室发布了《个人信息保护合规审计管理办法(征求意见稿)》(以下简称“《办法》”)及配套的《个人信息保护合规审计参考要点》(以下简称“《参考要点》”