度长短者不失毫厘——评《个人信息保护合规审计管理办法(征求意见稿)》的七个焦点
度长短者不失毫厘——评《个人信息保护合规审计管理办法(征求意见稿)》的七个焦点
2023年8月3日,国家网信办发布《个人信息保护合规审计管理办法(征求意见稿)》(以下简称“《办法》”),就《个人信息保护法》(以下或称“个保法”)第54、64条项下的个人信息保护合规审计要求提供了落地指引。作为一种监督机制,个人信息保护合规审计于企业需按法律要求实施,也是监管迈向深水区的重要标志;作为一种风险发现工具,企业可据此开展合规自检并形成合规的长效机制,也可作为向监管、公众或合作伙伴展现自身良好合规状态的有力证明。
可以预见,个人信息保护合规审计将成为企业合规治理的重要工具,也是执法机构常态化监管的重要抓手,基于此,我们就《办法》所涉及的七个焦点问题进行解读,以期为企业全面理解、应对个人信息保护合规审计提供参考。
问题一:哪些情形会触发个人信息保护合规审计?
根据《办法》第2条,《办法》适用于个人信息处理者定期开展个人信息保护合规审计(以下称“定期审计”),或者按照履行个人信息保护职责的部门要求委托专业机构对其个人信息处理活动进行合规审计(以下称“监管审计”),据此,与《个人信息保护法》第54、64条一脉相承,触发个人信息保护合规审计的情形包括:
“定期审计”:《个人信息保护法》第54条要求个人信息处理者定期对其处理个人信息遵守法律、行政法规的情况进行合规审计,这是个保法项下的法定要求。所谓“定期审计”,是相对于“监管审计”的概念,并非强调企业仅可由自身内部人员开展审计,根据《办法》第5条,此等“定期审计”可以由企业内部机构开展,也可委托专业机构开展。根据主体不同,开展“定期审计”的周期[1]为:
处理100万人以上个人信息的个人信息处理者:每年至少开展一次;
其他个人信息处理者:每二年至少开展一次。
“监管审计”:《个人信息保护法》第64条规定,履行个人信息保护职责的部门在履行职责中,发现“个人信息处理活动存在较大风险”或者“发生个人信息安全事件”的,可以要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。据此,针对“监管审计”的情形,必须委托专业机构开展,不得由企业内部机构进行,以保持审计的独立性和客观性。关于如何理解“个人信息处理活动存在较大风险”,主要可能包括如下情形:
涉及用户或其他个人信息主体就企业个人信息处理活动向监管部门进行投诉;
发生有权机构向企业提起个人信息保护公益诉讼;
发生了个人信息安全事件或合规事件,例如数据泄露、违法收集处理个人信息、违法数据交易等;
针对企业在履行其他法定义务(例如汽车数据年报、数据出境风险自评估报告、数据出境个人信息保护影响评估报告、网络产品安全漏洞报送)过程中,监管部门发现或企业主动向监管部门披露的个人信息处理活动合规风险或安全风险;
针对大平台企业或重点领域或行业的头部企业,监管部门在日常调查与沟通中了解的个人信息保护合规风险或安全风险;
针对媒体或其他公开渠道所披露的企业个人信息合规风险或安全风险(例如3·15晚会),据此引发监管关切;
处理大量个人信息的新类型网络产品或服务上线(例如Chat-GPT),基于其技术原理及企业合规落实情况,引发监管对其个人信息合规风险或安全风险的关切;
基于执法机构(及所委托的技术检测机构)日常开展安全检测过程中,所了解到的个人信息保护合规风险或安全风险等。
问题二:如何确定个人信息保护合规审计范围?
基于《个人信息保护法》和《办法》所确立的“定期审计”与“监管审计”二分法,我们理解合规审计的范围主要包括两类:
针对企业整体的审计:《办法》第4条提出了企业开展“至少每年一次”或“至少每二年一次”的“年度审计”要求,这是针对“定期审计”的规定。我们理解,此等“年度审计”的监管目标是督促企业定期开展全面合规自检,其审计范围应面向企业整体,包括制度建设、组织架构设置、安全能力、数字产品与服务、个人信息全生命周期管理各个环节等。
针对特定处理活动的审计:一方面,此等针对特殊处理活动的审计可能由监管部门基于《个人信息保护法》第64条所依职权触发,监管部门可以依照发现的风险因素或个人信息安全事件的影响来确定审计范围;另一方面,企业如需与合作伙伴就特定业务场景开展合作,或需就自身特定产品或服务向公众展现合规水平,亦可由企业主动触发,其审计范围则主要面向特定处理活动的合规性和安全性,当然,审计过程中也可能会对企业制度建设、组织架构、安全能力做附带性审查。
问题三:开展个人信息保护合规审计的审计基准是什么?
审计基准决定了企业开展合规审计的成本,也决定了企业如何在法律、行政法规项下的“合规红线”与其他规章、规范性文件和标准性文件项下的“最佳实践”作出取舍。遗憾的是,《办法》未明确规定开展个人信息保护合规审计的审计基准,尽管《办法》附件提供了“个人信息保护合规审计参考要点”,但由于仅仅是“参考”,对此问题的理解有必要回溯至个保法本身。
事实上,个保法第54条已明确“定期审计”的审计基准为处理个人信息“遵守法律、行政法规”的情况,企业如基于成本等因素,在未触发高风险时优先就法律、行政法规所规定的“合规红线”开展定期审计,属个保法的应有之义。然而,个保法第64条下的“监管审计”则未参照第54条的模式对审计基准进行明确。从体系解释的角度,可能立法者认为个保法第54条已经明确合规审计的基准是“法律、行政法规”(不必区分“定期审计”和“监管审计”),故第64条下的合规审计自然也适用,无需再重复表述。从目的解释的角度,由于触发“监管审计”往往意味着高风险处理活动已然引发监管关切,故由专业机构对企业进行更全面、深入的审计(例如以《办法》附件“个人信息保护合规审计参考要点”作为审计基准)亦符合监管利益。考虑到审计基准于企业的重要性,为避免制度落地过程中陷入审计基准边界不清晰的局面,我们也期待未来《办法》正式稿可以对此问题做出明确。
问题四:如何理解“个人信息保护合规审计参考要点”?
《办法》附件详细列举了30条个人信息保护合规审计的参考要点,其中有相当部分内容系基于既有“法律、行政法规”的延伸性或解释性规定。为厘清审计基准这一关键问题,我们对《办法》附件之规定与现有规定进行了匹配,以期为企业或专业机构未来确定审计基准提供参考。
(注:蓝色字体标识系基于既有生效“法律、行政法规”的延伸性或解释性内容)
上下滑动可查看
图1 个人信息保护合规审计参考要点匹配表
尽管“参考要点”仅为参考性示例,且当前“参考要点”中的部分内容超出了既有“法律、行政法规”规定范围,但考虑到“参考要点”第一条即明确其依据“法律、行政法规和国家标准的强制性要求”制定,我们理解“参考要点”仍在很大程度上反映出监管部门对个人信息处理者合规基准的考虑,并有可能在后续出台的行政法规或强制性国标中被规定,作为企业实质的审计基准。
企业或第三方专业机构在具体运用“参考要点”搭建审计标准时,需充分考虑审计结论的评价方法,尽可能将“参考要点”体系化、逻辑化,如基于各要点风险差异进行赋值,并确保要点完整,且避免在不同要点中重复出现同一要求,导致评价重复。例如,对于“参考要点”目前在第3条、第8条重复出现的对外提供场景下的告知与单独同意要求,可考虑将之分别整合至整体性的“透明性”与“合法性”要求中,并以相同逻辑整合其他场景下的“透明性”与“合法性”要求,例如,应补充“参考要点”中未提及的跨境传输个人信息场景下的告知与单独同意(如以同意为合法性基础)要求。
问题五:企业内部机构审计应按照什么程序开展?
针对由专业机构开展的“定期审计”或“监管审计”,需遵循相关专业机构提出的合规审计程序要求。针对由企业内部机构开展的“定期审计”,结合《个人信息保护法》《办法》规定及我们的实务经验,建议可按照如下“六步法”推进。
第一步:识别合规审计义务。根据前述分析,我国《个人信息保护法》《网数条例》《平台指南》等分别对个人信息处理者、数据处理者、重要数据处理者、大型互联网平台运营者、超大型平台经营者的合规审计义务做出了规定,不同类型的主体在审计方式、审计频次、审计报告披露、审计内容等方面需要遵循的法律要求有所不同。企业应结合法律法规的要求,准确判断自身主体类型,识别相应的合规审计义务。
第二步:确定审计目标。企业开展内部机构审计的原因可能是履行《办法》第4条的年度审计要求,也可能是针对特定高风险业务场景主动对某项个人信息处理活动发起审计。前者的审计目标可能包括制度建设、组织架构设置、个人信息全生命周期各个环节的合规状况,后者的审计目标则主要是针对一项个人信息处理活动的合规性和安全性开展深入的审查和评估。
第三步:明确合规审计流程。2021年12月,由信通院牵头成立的“个人信息保护合规审计推进小组”发布了《关于推进个人信息保护合规审计的若干建议》(以下简称“《若干建议》”),其第四章对“审计程序”做出了建议,主要包括计划、准备、实施、报告和后续跟踪等多个阶段,为企业开展合规审计提供了有益参考。国际标准化组织发布的《ISO 19011:2018管理体系审计指南》(ISO 19011:2018, Guidelines for Auditing Management Systems)也对管理体系的审计流程作出了规定,在合规审计项目管理层面及合规审计项目实施层面遵循“计划-实施-检查-落实(Plan-Do-Check-Act)”四大步骤,企业可考虑参照执行。具体如下:
图2 ISO 19011:2018审计流程
第四步:开展合规审计活动。具体需考虑如下方面:
审计范围:审计范围应该根据审计目标确定。具体而言,如为年度审计,审计范围至少应涵盖对现有内部管理制度和操作规程的完备性、执行的有效性的审查;组织架构层面,是否依法设置数据保护机构和个人信息保护负责人,其履职是否符合法律要求;个人信息处理活动层面,就个人信息的收集、存储、使用、跨境传输、个人信息主体行权响应等环节,是否具备合法性基础、采取了法律要求的合规措施;安全事件响应机制是否有效运转等事项,企业可以《个人信息保护法》等法律、行政法规作为基准,并参考《办法》附件“个人信息保护合规审计参考要点”。
审计组织:应结合审计目标、审计范围等确定内部审计小组成员。为确保合规审计执行的有效性,需确立审计开展的领导部门,并考虑由合规、法务、IT、业务、HR等多个部门负责人作为审计小组成员来推进审计的实施。在审计小组成立后,审计小组应将审计的目标、实施流程、相关部门需要提供的支持等事项通知到公司内部各个相关部门,为审计的实施做好准备。
审计方式:在具体进行审计时,审计小组可以通过入场调查、审阅制度文件、访谈、进行产品及服务合规或安全测试等方式对现有合规措施的完备性和有效性进行审查,发现并记录问题,生成审计报告,并针对审计报告中发现的合规问题,依据个保法等法律、行政法规的规定,参考其他规定、标准性文件等,提出整改建议,由相关部门予以落实。
第五步:输出审计报告。建议企业应根据审计报告所面向的对象,在报告内容上作出区别。例如,针对拟向监管部门提交的年度审计报告,可能需重点体现监管机构关注的风险问题,并对企业遵守相关法律、行政法规的情况予以说明。而针对作为企业合规的支持性文件,例如面向合作伙伴提交时,则应就合作伙伴对企业在个人信息保护方面的主要关切予以明确。此外,审计报告中应包含整改建议。
第六步:开展合规整改。针对“监管审计”,《办法》第11条要求企业需将整改情况向监管部门报送。尽管开展整改并非《个人信息保护法》《办法》项下针对“定期审计”的法定要求,但合规审计的最终目标不仅仅是发现风险,而是控制、缓释乃至消除风险。据此,建议企业对审计报告提出的合规整改建议予以落实,以此也可作为企业积极落实个保法项下的合规义务的有力证明。
问题六:“监管审计”需要遵循哪些特殊要求?
由于“监管审计”系企业开展高风险处理活动或发生安全事件所触发,《办法》对此提出了一系列特殊要求,以确保此等监管手段得到有效落实,具体包括:
审计方式:收到监管通知后,应选定专业机构开展合规审计(《办法》第7条);
权限保证:应保证专业机构的权限行使,包括提供或协助查阅资料、允许其进入处理活动相关场所并观察相关处理活动、允许其调查相关系统或检查测试相关设备设施、允许其调取查阅相关数据、允许其访谈处理活动相关人员、允许其开展调查、质询和取证等(《办法》第8条);
期限限制:应当在90个工作日内完成合规审计;情况复杂的,报批准后可适当延长(《办法》第9条);
审计报告报送:应将专业机构出具的合规审计报告报送履行监管部门,审计报告应当由合规审计负责人、专业机构负责人签字并加盖专业机构公章(《办法》第10条);
整改情况报送:应按专业机构的建议进行合规整改,经专业机构复核后将整改情况报送监管部门(《办法》第11条)。
问题七:企业如何选择专业机构?
如前述,针对“监管审计”,应当委托专业机构开展;而对于“定期审计”,尽管从规则层面企业有权选择由企业内部机构开展或委托专业机构开展,但从实践层面,基于成本、权威性、中立性、专业性等因素的考量,我们理解企业主动委托外部专业机构协助开展合规审计将成为普遍实践。
《办法》第13条规定,网信部门、公安机关等监管部门将建立“个人信息保护合规审计专业机构推荐目录”,并“鼓励”个人信息处理者优先选择推荐目录中的专业机构开展审计活动。据此,与网络安全等级保护、个人信息保护认证等制度类似,监管部门将适时公布个人信息保护合规审计专业机构名单,区别在于,个人信息保护合规审计制度下的专业机构系推荐性质,企业如经综合考虑,选择了监管部门推荐目录之外的专业机构开展合规审计,亦属于《办法》所允许的范围。
针对此等专业机构的专业要求,结合《办法》第8条及《办法》附件“个人信息保护合规审计参考要点”之规定,除极少部分审计要点涉及信息安全能力、技术措施能力验证等偏技术外[2],开展个人信息保护合规审计的绝大部分要点仍集中在法律符合性的审查和评价,因此,企业可选择长期从事个人信息保护合规工作且在该领域有全面法律服务能力的机构,例如第三方律所或咨询公司等作为专业机构,协助开展合规审计工作。
最后,需要注意,实践中企业可能基于长期、友好的合作关系,而愿意选择同一家专业机构持续提供审计支持,但基于独立性、客观性的考量,《办法》第12条提出专业机构“连续为同一审计对象开展个人信息保护合规审计不得超过三次”,我们理解,企业同样应将该要求作为每次开展合规审计前选定专业机构的考虑因素,避免因违反《办法》的法定要求,导致相关审计结论失去效力。
[注]