我国一直是互联网大国,随着云计算、大数据、区块链、AI等新技术的快速发展和应用,对个人信息的收集、加工、使用等活动也更加频繁。个人信息被企业、机构甚至个人广泛收集使用,个人信息保护和个人信息利用的矛盾日益突出。为完善网络空间立法,落实个人信息处理者个人信息保护主体责任,加强个人信息处理活动风险控制和监督,《中华人民共和国个人信息保护法》和《网络数据安全管理条例》对个人信息处理者开展合规审计作了规定。
《中华人民共和国个人信息保护法》第五十四条:“个人信息处理者应当定期对其处理的个人信息遵守法律、行政法规的情况进行合规审计。”以及第六十四条第一款明确规定:“履行个人信息保护职责的部门在履行职责中,发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,可以按照规定的权限和程序对该个人信息处理者的法定代表人或者主要负责人进行约谈,或者要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。个人信息处理者应当按照要求采取措施,进行整改,消除隐患。”
《网络数据安全管理条例》第二十七条规定:“网络数据处理者应当定期自行或者委托专业机构对其处理个人信息遵守法律、行政法规的情况进行合规审计。
01《个人信息保护合规审计管理办法》解读
2025年2月12日,国家互联网信息办公室出台了《个人信息保护合规审计管理办法》,并于2025年5月1日起开始施行。该《个人信息保护合规审计管理办法》(下称“《个保合规审计办法》”)系根据《中华人民共和国个人信息保护法》《网络数据安全管理条例》等法律法规制定,对个人信息保护合规审计的开展、合规审计机构的选择、合规审计的频次等内容作出更细致化的规定。
第一,《个保合规审计办法》适用范围为中华人民共和国境内开展个人信息保护合规审计的行为。
虽然,根据《中华人民共和国个人信息保护法》第三条规定以及《网络数据安全管理条例》第二条第三款规定的处理者实际上也适用于境外主体,明确了域外管辖效力(暨“长臂管辖”),于中华人民共和国境外进行个人信息或数据处理活动的仍受到《个人信息保护法》及《网络数据安全管理条例》的法律规制。但是,《个保合规审计办法》适用范围仍固定为中华人民共和国境内的合规审计行为。
第二,《个保合规审计办法》明确强制开展合规审计的主体范围。根据《个保合规审计办法》第四条明确规定,处理超过1000万人个人信息的个人信息处理者,应当每两年至少开展一次个人信息保护合规审计;以及根据《个保合规审计办法》第五条明确规定保护部门可以强制要求个人信息处理者进行合规审计。
第三,《个保合规审计办法》初步确定了进行合规审计的审计主体和审计指引。
审计专业机构应当具备开展合规审计的能力,明确同一专业机构及其关联机构、同一合规审计负责人不得连续三次以上对同一审计对象开展个人信息保护合规审计。
其中,提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者不得由内部机构进行个人信息保护合规审计。
第四,《个保合规审计办法》明确履行个人信息保护职责的部门对个人信息处理者开展合规审计情况进行监督检查,任何组织、个人有权对合规审计中的违法活动向履行个人信息保护职责的部门进行投诉、举报。
02针对企业合规实务建议
1、开展个保合规审计是境内个人信息处理者应当主动履行的法定义务吗?
根据目前法律法规相关规定,境内个人信息处理者应当根据《个人信息保护法》的明确要求定期进行审计,是境内个人信息处理者应当主动履行的法定义务。其中,若存在处理超过1000万人个人信息且不包含未成年人个人信息的每两年至少开展一次个保合规审计,若存在处理未成年人个人信息的应当针对未成年人个人信息每年开展个保合规审计。
根据相关法律法规,个人信息处理者应当履行的法定义务可以分为定期与保护部门强制审计。
定期审计中根据《个人信息保护法》第五十四条、《个保合规审计办法》第四条以及《未成年人网络保护条例》第三十七条规定分别分为个人信息处理者应当定期审计、处理超过1000万人个人信息的个人信息处理者应当每两年至少开展一次个保合规审计以及处理未成年人信息的每年开展针对未成年人的个保合规审计。
若个人信息处理者存在以下情形,则会被“保护部门”强制要求委托专业机构开展个保合规审计,具体情形为:(一)发现个人信息处理活动存在严重影响个人权益或者严重缺乏安全措施等较大风险的;(二)个人信息处理活动可能侵害众多个人的权益的;(三)发生个人信息安全事件,导致100万人以上个人信息或者10万人以上敏感个人信息泄露、篡改、丢失、毁损的。
2、境内个人信息处理者何时开展个保合规审计以及审计范围?
建议境内个人信息处理者存在处理未成年人个人信息的尽快开展个保合规审计,审计范围可控制在仅针对未成年人个人信息范围及相关场景。依据《个人信息保护合规审计管理办法》答记者问中,国家互联网信息办公室有关负责人认为“其他个人信息处理者根据自身情况合理确定定期开展个人信息保护合规审计的频次”,但是除上述问题1中定期审计范围外并未确定相关期限频率。
3、境内个人信息处理者如何进行个保合规审计?
非重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者可以内部机构委托外部专业机构作为指导,并自行开展个保合规审计。若涉及重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者或强制审计,应当委托外部专业机构进行个保合规审计。
《个人信息保护合规审计管理办法》对采取何种审计方式、是否选择专业机构,以及选择哪家专业机构没有强制性要求。而且,《个人信息保护合规审计管理办法》第七条规定:“鼓励相关专业机构通过认证”,且鼓励具备开展个人信息保护合规审计能力,有与服务相适应的审计人员、场所、设施和资金的专业机构,自愿申请相关服务能力认证。
4、根据个保合规审计指引内容如何进行审计工作?
为进行个人信息保护合规审计工作,并确保个人信息处理活动的合法合规性,根据《中华人民共和国个人信息保护法》及相关法律法规,制定以下个人信息保护合规审计工作流程计划。该计划分为准备阶段、实施阶段、报告阶段和整改阶段,具体流程如下:
(1) 准备阶段
a. 确定审计目标
明确审计范围:包括个人信息处理活动的合法性、处理行为、告知义务、个人信息安全保护措施以及个人信息安全保护制度等。
b. 确定审计重点
根据企业业务类型、个人信息处理规模、敏感个人信息情况等,确定重点审计事项。
c. 组建审计团队
指定审计负责人,组建审计小组,包括法律合规、信息安全、技术专家等跨部门人员。
d. 制定审计计划
确定审计时间表:明确各阶段的时间节点。
制定审计清单:根据《个人信息保护合规审计指引》列出重点审查事项。
准备审计工具:包括调查问卷、访谈提纲、检查表等。
(2) 实施阶段
a. 场景确认、资料收集与合规审查
场景确认:确认处理个人信息的具体场景。
收集相关文件:包括个人信息处理政策、隐私声明、合同、技术文档等。
审查文件合规性:重点审查合法性基础、处理规则、告知义务、安全措施等是否符合法规要求。
b. 现场调查与访谈
访谈相关人员:包括个人信息保护负责人、技术负责人、业务负责人等。
现场检查:查看技术措施(如加密、去标识化)的实施情况,检查系统日志、权限管理等。
c. 个人信息处理活动审查
审查个人信息处理流程:包括收集、存储、使用、传输、提供、公开、加工、删除等八大处理环节。
检查自动化决策系统:评估其透明度、公平性及对个人权益的影响。
检查跨境个人信息传输:是否符合法律规定。
d. 风险评估
评估个人信息处理活动的风险:包括合法性风险、正当性风险、必要性风险、安全风险、个人权益影响等。
评估个人信息保护制度以及个人信息安全事件应急预案的有效性:检查是否定期演练,是否具备应对安全事件的能力。
(3) 报告阶段
a. 撰写审计报告
总结审计发现:列出合规项和不合规项,详细描述问题及依据。
提出改进建议:针对不合规项,提出具体的整改措施和建议。
评估风险等级:对发现的问题进行风险评级,区分高、中、低风险。
(4) 整改阶段
a. 制定整改计划
根据审计报告,制定详细的整改计划,明确整改责任人和时间节点,对高风险问题优先整改,确保及时消除重大合规风险。
b. 实施整改措施
修改不合规的政策和流程:如更新隐私声明、调整数据处理规则等。
加强技术措施:如完善加密、权限管理、日志记录等。
开展培训:提升员工个人信息保护意识和技能。
本文仅代表作者个人观点,不可将其视为中闻律师事务所及其律师出具的正式法律意见或结论。如需转载或引用文章中的任何内容,请邮件联系我们:shxz@zwlawyer.com;如您有意就该议题进一步交流或探讨,欢迎留言。
