引言
为指导个人信息保护合规审计(下称“合规审计”)规定的落地,进一步规范相关审计工作,2023年8月3日,国家互联网办公室(下称“网信办”)发布《个人信息保护合规审计管理办法(征求意见稿)》(下称“《管理办法(征求意见稿)》”)及配套的《个人信息保护合规审计参考要点》(下称“《参考要点》”),向社会公众公开征求意见。
《中华人民共和国个人信息保护法》(下称“《个人信息保护法》”)第五十四条及第六十四条,明确规定了合规审计义务,即:
(1)个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计(下称“自主审计”);以及
(2)履行个人信息保护职责的部门[1](下称“监管部门”)在履行职责中,发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,可以要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计(下称“强制审计”)。
网信办于2023年2月22日发布的《个人信息出境标准合同办法》亦提出,个人信息处理者应当向监管机构提供境外接收方对合同涵盖的处理活动的合规审计结果[2]。但尚未有法律法规或规范性文件对于具体如何开展合规审计进行规定。多数现行的部门规范性文件及国家标准,如《互联网个人信息安全保护指南》《App违法违规收集使用个人信息自评估指南》《信息安全技术 个人信息安全规范(GB/T 35273—2020)》等,从安全审计的角度进行规范,如规定个人信息处理系统节点安全审计要求、安全审计覆盖范围、审计记录和留存要求等,未对合规审计内容及程序进行规范,对于落实《个人信息保护法》中规定的合规审计义务参考性有限。值得注意的是,在《管理办法(征求意见稿)》发布同日,清华大学智能法治研究院也公开了其牵头制作的《信息安全技术 个人信息保护合规审计指南》草案[3],其中详细规定了合规审计的内容及流程,该草案虽尚未生效,但一定程度上也可以为企业合规审计的执行提供参考价值。
本次发布《管理办法(征求意见稿)》共十六条,具体规范了合规审计中的参考依据(第一条)、适用范围(第二条、第三条)、审计频率(第四条)、审计方式(第五条、第六条)、强制审计义务(第七条至第十一条)、专业机构(第十二条至第十四条)、违规责任(第十五条)、制定单位及生效时间(第十六条);并附《参考要点》共三十一条,具体规范了合规审计应关注的重点内容,为企业履行《个人信息保护法》中的合规审计义务提供了可落地的具体细则指引。
本文从自主审计与强制审计的区分、强制审计相关义务、专业机构相关规定以及未履行合规义务可能产生的法律责任四个方面,全面解读《管理办法(征求意见稿)》及《参考要点》,以期帮助企业更好地理解合规要点,并在正式版发布后尽快落实相应合规义务。
一、区分自主审计与强制审计
根据《个人信息保护法》第五十四条与第六十四条规定,合规审计可分为自主审计与强制审计,两类合规审计的触发条件和开展方式也有所差异。企业在正式开展合规审计前,应当先梳理相应工作思路,决定企业内部自行开展或委托专业机构开展合规审计。
(一)自主审计
《个人信息保护法》第五十四条规定,个人信息处理者应当定期开展个人信息保护合规审计。而《管理办法(征求意见稿)》第四条,针对个人信息处理者主体身份的不同,进一步规定:
-
处理超过100万人个人信息的个人信息处理者,应当每年至少开展一次合规审计;
-
其他个人信息处理者,应当每二年至少开展一次合规审计。
根据《管理办法(征求意见稿)》第五条,对于自主审计,企业可自行开展或委托专业机构开展。
(二)强制审计
《个人信息保护法》第六十四条和《管理办法(征求意见稿)》第六条规定,监管部门在履行职责中,发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,可以要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。其中:
(1)目前法律法规中尚未界定“个人信息处理活动存在较大风险”的具体判定标准,通常可能是因个人信息处理者没有依法采取相应的个人信息保护措施、或个人信息处理者在处理个人信息时没有遵守法律的要求、或由于外部攻击等原因导致个人信息存在被非法收集、窃取、篡改、丢失等风险[4]。在实践中的具体触发场景可能包括[5]:
-
被监管部门调查、处罚或者通报违规问题;
-
被用户投诉带来的合规调查;
-
企业所涉行业或者特定产品、服务被纳入专项审查工作;
-
出现重大个人信息保护问题的舆情或者对外披露的文件凸显了个人信息处理活动存在问题;
-
个人信息处理活动存在其他较大风险的情况。
(2)结合《个人信息保护法》《儿童个人信息网络保护规定》等文件的规定,“发生个人信息安全事件”通常是指,发生或者可能发生未经授权的访问或个人信息泄露、毁损、篡改、丢失等结果的情形[6]。
根据《个人信息保护法》第六十四条和《管理办法(征求意见稿)》第七条,企业应当在收到相关监管部门的通知后,根据监管部门要求,尽快选定专业机构积极开展合规审计工作;并且依法采取措施,进行整改,消除隐患。
二、强制审计中的义务
《管理办法(征求意见稿)》在《个人信息保护法》的基础上,主要针对强制审计(即个人信息处理者按照监管部门要求开展合规审计的)场景,对个人信息处理者进行了义务细分的规范。对于自主审计场景没有强制要求,企业可根据实际情况,由企业内部机构或者委托专业机构按照《管理办法(征求意见稿)》及《参考要求》其他要求开展。
企业作为个人信息处理者进行强制审计的,应当履行如下义务:
(一)在规定时间内完成个人信息保护合规审计
《管理办法(征求意见稿)》第九条规定,对于强制审计,企业作为个人信息处理者“应当在90个工作日内完成个人信息保护合规审计;情况复杂的,报经履行个人信息保护职责的部门批准后可适当延长。”此时间规定不仅对企业提出了要求,更要求专业机构具备个人信息领域的专业性,因此,为满足该时间要求,尤其需要企业和专业机构的配合。
但对于时间的起算点,是自监管部门通知发出到企业向监管部门履行完成报送义务起算,还是以企业开始审计流程至形成相应审计报告起算,《管理办法(征求意见稿)》未详细说明,也期待正式版发布后对此进一步说明。
(二)为专业机构提供必要协助
《管理办法(征求意见稿)》第八条规定,对于强制审计,企业应当保证专业机构能够正常行使下列权限:
- 要求提供或者协助查阅相关文件或资料;
- 进入个人信息处理活动相关场所;
- 观察场所内发生的个人信息处理活动;
- 调查相关业务活动及所依赖的信息系统;
- 检查、测试个人信息处理活动相关设备设施;
- 调取、查阅个人信息处理活动相关数据或信息;
- 访谈与个人信息处理活动有关的人员;
- 就相关问题进行调查、质询和取证;
- 其他开展合规审计工作所必需的权限。
在强制审计的过程中,企业应当配合专业机构为其提供基本的协助及支持,保障合规审计按时高质量完成。根据该条要求,专业机构履行的职责更像是“准监管”的职责,尽职调查工作不仅限于访谈、现场核查,更需要勤勉进行调查、检测和测试。
(三)完成合规整改并经专业机构复核
在《个人信息保护法》第六十四条规定“个人信息处理者应当按照要求采取措施,进行整改,消除隐患”的基础上,《管理办法(征求意见稿)》第十条和第十一条进一步规定,对于强制审计,企业应当按照专业机构给出的整改建议进行整改,并应当经过专业机构复核。但《管理办法(征求意见稿)》未对整改完成期限做出限制。实践中,很多企业其实已经有该类实践,主要是通过整改,由专业机构出具复盘报告、核查报告等形式。
(四)向监管部门报送
《管理办法(征求意见稿)》第十条及第十一条规定,对于强制审计,企业有两次向监管部门报送的义务:
- 在实施必要合规审计程序后,及时将专业机构出具的个人信息保护合规审计报告报送监管部门。个人信息保护合规审计报告应当由合规审计负责人、专业机构负责人签字并加盖专业机构公章;
- 在按照专业机构给出的整改建议进行整改,并经专业机构复核后,将整改情况报送监管部门。
该条通过对审计报告、整改情况报送的规定,进一步加强了监管部门对于企业合规审计的监管和控制,确保企业对于监管部门要求的强制审计的积极响应。
值得注意的是,《参考要点》针对开展的个人信息处理活动列举了重点审查事项,为企业开展合规审计提供参考指引,详见本文附件《合规审计中重点审查事项》。
三、专业机构
除上述针对个人信息处理者的合规义务外,《管理办法(征求意见稿)》第十二条、第十四条也提出,专业机构:
- 应当保持独立性和客观性,连续为同一审计对象开展个人信息保护合规审计不得超过三次;
- 应当诚信正直,公正客观地作出合规审计职业判断;
- 不得转包委托第三方开展个人信息保护合规审计;
- 在履行个人信息保护合规审计职责中获得的信息,只能用于个人信息保护合规审计的需要,不得用于其他用途;
- 对获得的信息承担保密责任;
- 采取相应技术措施和其他必要措施保障数据安全;
- 不得恶意干扰个人信息处理者的正常经营活动;
- 不得进行出具虚假失实报告等违规行为。
《管理办法(征求意见稿)》要求专业机构勤勉尽责、公正客观,因此,专业机构的选择需要慎之又慎,建议企业优选选择具备执业勤勉义务的专业机构进行,例如依法设立的律师事务所、会计师事务所、认证机构、审计机构等。此外,《管理办法(征求意见稿)》第八条规定专业机构应当对信息系统进行调查,对相关设备设施进行检查、测试,对相关数据、日志进行调取和查阅,这要求专业机构人员既要精通专业个人信息保护法律知识,又要熟悉信息技术原理和实践。
实践中,很多企业已经开展了合规审计和体检工作,主要流程是通过查阅资料、入场、走访、调查、核查、问询等方式对个人信息合规情况进行梳理和排查、识别不合规项和提出改进建议,并在企业整改后对整改情况再次核查和确认,形成复盘报告。此类工作可作为合规审计工作的基础。待正式版生效后,行业中此类工作的开展将更加常见。我们也建议企业参考下方流程开展审计工作。
此外,针对专业机构的选择,《管理办法(征求意见稿)》第十三条提出,相关监管部门将建立“个人信息保护合规审计专业机构推荐目录”,鼓励企业优先选择推荐目录中的专业机构开展合规审计活动。待正式版发布生效、推荐目录出台后,企业则可以从中选择相关专业机构。值得注意的是,《管理办法(征求意见稿)》第十三条提出鼓励企业选择推荐目录中专业机构,换言之,“专业机构推荐目录”仅作为参考,并非强制要求。但可以预见的是,如企业从“专业机构推荐目录”中进行选择,可能被监管机构接受的概率更高。
专业机构有出具虚假、失实报告等违规行为的,个人信息处理者及相关方可向履行个人信息保护职责的部门进行投诉,经监管部门核实的,永久禁止列入个人信息保护合规审计专业机构推荐目录。
四、未履行合规审计的法律责任
《管理办法(征求意见稿)》第十五条规定,“违反本办法规定的,依据《个人信息保护法》等法律法规处理;构成犯罪的,依法追究刑事责任。”
根据《个人信息保护法》第六十六条,企业未履行合规审计相关义务的:
- 由监管部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;
- 拒不改正的,并处一百万元以下罚款;
- 有前款规定的违法行为,情节严重的,由省级以上监管部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;
- 依照有关法律、行政法规的规定记入信用档案,并予以公示。
对于直接负责的主管人员和其他直接责任人员:
- 拒不改正的,处一万元以上十万元以下罚款;
- 有前款规定的违法行为,情节严重的,处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。
五、 结语
近年来,随着《个人信息保护法》配套法规和规定的陆续发布、全国范围内专项执法和联合执法的开展,我国对于个人信息保护的立法和监管力度不断加强。本次《管理办法(征求意见稿)》及《参考要点》的发布,对《个人信息保护法》第五十四条及第六十四条规定的合规审计进行了进一步细化的规范,帮助企业更好的落实个人信息方面的合规义务外,也向企业提示了合规审计的重要性。一方面,定期开展合规审计可以帮助企业了解其具体个人信息处理活动的合法情况,识别和控制潜在合规风险和违规行为,适应变动的监管环境,降低违规行为可能对企业产生的不利影响;另一方面,基于审计活动合法、独立、客观、全面、公正、保密等原则,相应合规审计报告可作为企业合法合规的有效证明,向相应监管部门、目标客户、合作伙伴等提供合规保障。我们也期待办法正式出台生效后,进一步完善我国个人信息保护相关体系,为企业开展合规审计提供可行方案。
值得注意的是,实践中很多企业已经开始使用系统化工具进行个人信息保护影响评估,鉴于个人信息保护影响评估的相关要求与《参考要点》存在一定重合度,企业在进行个人信息保护影响评估时如有相关线上化材料和评估记录,也可以作为合规审计工作中的支撑文件,以此来提高效率、节省成本。
注释:
[1] 履行个人信息保护职责的部门包括国家网信部门、国务院以及县级以上地方人民政府有关部门,具体职责参见《个人信息保护法》第六十条。
[2] 《个人信息出境标准合同办法》第二条 个人信息处理者应当履行下列义务:
(十一)根据相关法律法规要求,向监管机构提供本合同第三条第十一项所述的信息,包括所有合规审计结果。
第三条境外接收方的义务境外接收方应当履行下列义务:
(十一)承诺向个人信息处理者提供已遵守本合同义务所需的必要信息,允许个人信息处理者对必要数据文件和文档进行查阅,或者对本合同涵盖的处理活动进行合规审计,并为个人信息处理者开展合规审计提供便利。
[3] 参见https://cloud.tsinghua.edu.cn/f/443a31d5f7da42dba143/,访问于2023年8月3日。
[4] 参见《<个人信息保护法>条文精解与适用指引》,周汉华著,法律出版社,P368。
[5] 参考项目经验及《信息安全技术 个人信息保护合规审计指南》清华大学牵头方案,https://cloud.tsinghua.edu.cn/f/443a31d5f7da42dba143/,访问于2023年8月3日。
[6] 参见《<个人信息保护法>条文精解与适用指引》,周汉华著,法律出版社,P368。
请点击“相关下载”,查阅附件:合规审计中重点审查事项。
相关下载