导语
2023年8月3日,国家互联网信息办公室(“国家网信办”)发布《个人信息保护合规审计管理办法(征求意见稿)》及配套的《个人信息保护合规审计参考要点》(“《审计参考要点》”)(合称为“《个信审计办法》”)),向社会公开征求意见。本次《个信审计办法》是对2021年11月1日起生效的《中华人民共和国个人信息保护法》(“《个人信息保护法》”)第54条和第64条有关个人信息处理者应当定期和可以不定期对其个人信息处理活动进行合规审计的专门细化立法。
本文将对《个信审计办法》中值得企业关注的重点内容展开解读,以期为企业提供应对思路。
一,《个信审计办法》的重点内容
1.细化了个人信息审计制度的要点
值得注意的是,与设立个人信息保护机构和数据出境的相关法律要求不同,《个信审计办法》中规定的个人信息审计义务是强制性义务,且适用于所有个人信息处理者,不因其具体开展的数据处理行为而有所免除或宽松。
在《个人信息保护法》第54条和第64条基础上,《个信审计办法》细化了定期自行审计和不定期监管审计两种审计类型的具体要求:
1.1定期自行审计
对于定期自行审计,具体而言,处理超过100万人个人信息的个人信息处理者,应当每年至少开展一次个人信息保护合规审计;其他个人信息处理者应当每两年至少开展一次个人信息保护合规审计。
1.2不定期监管审计
网信部门在履行职责中,发现“个人信息处理活动存在较大风险”或者“发生个人信息安全事件”的,可以要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。该等风险或事件可能包括用户投诉举报、民事诉讼、行政处罚、舆论风险,还可能包括个人信息处理者在主动披露材料(例如数据出境安全评估自评估报告)中所反映出的数据安全风险。
与定期自行审计不同,应网信部门要求开展的监管审计,必须由个人信息处理者委托专业机构进行,而不能自行内部开展。《个信审计办法》也因此规定了审计机构推荐目录制度,鼓励个人信息处理者优先选择推荐目录中的专业机构开展个人信息保护合规审计活动。
2.设置了个人信息审计的具体流程与各方义务、
2.1审计流程
对于自行审计,《个信审计办法》未作出较多规定,企业应根据《个信审计办法》所规定的频率自行开展审计。但对于监管审计,《个信审计办法》规定的具体流程为:
(a)触发审计节点:网信部门发现个人信息处理活动存在较大风险或者发生个人信息安全事件时,向公司提出开展个人信息合规审计的要求;
(b)选定并委托专业机构:企业收到网信部门要求后,尽快参考专业机构推荐目录或自行选定、委托外部专业机构开展审计;
(c)开展审计:审计应当在90个工作日内完成;情况复杂的,报经履行个人信息保护职责的部门批准后可适当延长;
(d)报送审计报告:个人信息处理者应将专业机构出具的审计报告报送履行个人信息保护职责的部门,报告应当由合规审计负责人、专业机构负责人签字并加盖专业机构公章。
(e)整改并报送整改情况:个人信息处理者应当按照专业机构给出的整改建议进行整改,经专业机构复核后将整改情况报送履行个人信息保护职责的部门。
2.2各方义务
个人信息处理者对专业机构有配合义务,应保证专业机构能够正常行使权限,包括应要求提供或者协助查阅文件或资料、进入处理活动场所进行实地调查和观察、检查设备与数据、访谈有关人员、调查、质询和取证等。可见,委托第三方开展的个人信息合规审计,将不可避免地对企业经营活动产生一定影响。
同样,《个信审计办法》就专业机构行为规范作出了详尽的规定,包括不得转包委托、独立性与客观性、保密义务、不得恶意干扰正常经营、审计真实性等要求。
3.列示了个人信息审计的参考要点
《个信审计办法》在其附件《审计参考要点》中列举了个人信息处理者或其委托的专业机构在开展合规审计时可参考的审查事项,总结概括了《个人信息保护法》和《信息安全技术 个人信息安全规范》(GB/T 35273-2020)中的一般性合规要求,包括:
(a)处理活动合法性基础,如告知和同意取得义务;
(b)特殊处理场景:共同处理、委托处理、转移、对外提供、公开、自动化决策等;
(c)个人信息主体权利:删除权、权利行使方式等;
(d)内部个人信息保护制度:如个人信息保护内部管理制度和操作规程、个人信息保护负责人、个人信息保护影响评估、安全事件应急预案与应急响应处置情况等。
此外,《审计参考要点》还融入了《数据出境安全评估办法》、《个人信息出境标准合同办法》等数据出境相关法律法规中对于个人信息跨境处理活动的合规要求、针对大型互联网平台运营者的合规要求,以及关于网络暴力活动治理、推荐算法的法律规制等。
该《审计参考要点》基本涵盖了个人信息处理全流程,可供开展个人信息保护合规审计时参考。由于其具有推荐和非强制性质,我们理解企业和个人信息审计机构也可根据其他适用法律法规的规定以及可能的法律法规更新,在《审计参考要点》所列明的事项之外进行补充调整。
4.违反《个信审计办法》的法律责任
《个信审计办法》第15条规定,违反该办法规定的个人信息处理者,依据《个人信息保护法》的规定处理。因此,不履行合规审计相关义务的个人信息处理者可能适用《个人信息保护法》的违反个人信息保护义务罚则,包括但不限于高额罚金和高管个人责任。
二,企业的实践关注点和建议
1.关注立法动向并适当履行个人信息审计义务
我们理解,一方面,个人信息合规审计制度,尤其是第三方专业机构进行的审计,将被网信部门纳入其日常执法过程中的“法规工具箱”,供查明和整改企业个人信息处理活动的不合规情形。另一方面,一份完备、客观的个人信息合规审计报告,也可成为企业向网信部门证明自身个人信息处理合规性的有力材料。因此,我们建议企业关注《个信审计办法》正式发布稿的相关规定,并将合规审计制度与其他个人信息保护法律法规的合规要求相衔接。
由于个人信息合规审计势必会对个人信息处理者的经营活动产生一定影响,我们建议个人信息处理者在日常经营中积极依照《个信审计办法》所规定的频率与《审计参考要点》所列明的参考审计要点,自觉履行自行审计,以尽可能提早发现并避免个人信息安全事件的发生,导致触发监管审计。
2.留意个人信息合规审计制度和其他信息披露义务的重叠
企业在自行审计中所收集编制的审计资料、报告等,也可在网信部门问询或调查时作为企业已履行个人信息保护义务的证明。审计报告的相关内容同样可与企业所进行的其他法定披露,例如申报数据出境安全评估时编制的数据出境风险自评估报告、个人信息保护影响评估报告、网络产品安全漏洞报送、年度汽车数据安全管理情况报送,乃至上市过程中的披露与问询回复等相互参照,以确保披露内容正确并节省相关披露文件的编制成本。
3.尽早建立企业内部个人信息合规审计制度
为顺利开展个人信息保护合规审计,企业应尽早建立内部相关审计制度,囊括 (a) 个人信息保护合规审计开展频率、流程;(b) 个人信息保护合规审计事项及标准;(c) 审计部门(可为IT、法务、合规部门)的职责与其他部门(人事、业务等)的对接流程,以加强企业内部跨部门、跨专业领域的沟通与配合;(d) 专业机构选任要求与流程;(e) 和监管部门的对接与沟通机制;以及 (f) 审计后的整改纠正管控措施等。
4.跨国企业的特殊关注点
纵观全球,众多法域对于个人信息合规审计也出台了类似法规。欧盟的GDPR是其中最具影响力的一项,它不仅规范了数据处理和保护,还和《EDPS审计指南》(EDPS Audit Guidelines)一同,明确了数据保护审计的具体要求。与中国《个信审计办法》相似,欧盟企业既可以通过合规审计证明自身个人信息处理行为的合法合规性,监管部门也可在调查中要求企业进行合规审计。
英国的信息专员办公室(ICO)也发布了《数据审计指南》(A Guide to ICO Audits),与中国和欧盟不同,英国的审计由企业自愿选择,但由ICO组织开展。在美国,《加州隐私权法案》(California Privacy Rights Act)要求在个人信息处理活动中对消费者隐私或安全构成重大风险的企业应当进行年度网络安全审计,该审计须每年进行一次,企业应当明确审计范围并通过审计程序确保审计的彻底性和独立性。
鉴于此,对于跨国企业,尤其是在美国、欧洲、中国等数据保护立法较为完善的法域均有业务的企业,需要加强总部与中国子公司间的双向沟通,特别关注各国既有的个人信息或数据合规审计制度与中国《个信审计办法》所确立的个人信息合规审计制度的区别和联系,熟谙各法域触发审计义务的不同时点,以及厘清各国审计事项的重叠与区别之处,确保整个跨国企业总部和中国子公司的操作全面符合适用法律法规的要求。
