2025年2月14日,国家互联网信息办公室出台《个人信息保护合规审计管理办法》(国家互联网信息办公室令第18号,以下简称《管理办法》),并将于2025年5月1日生效。《中华人民共和国个人信息保护法》(以下简称《个保法》)第五十四条规定,“个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。”《网络数据安全管理条例》第二十七条规定,“网络数据处理者应当定期自行或者委托专业机构对其处理个人信息遵守法律、行政法规的情况进行合规审计。”但相关规定并未进一步细化个人信息保护审计的管理要求。《管理办法》旨在对个人信息处理者开展合规审计、选择合规审计机构、合规审计频次等进行进一步的细化规定,对个人信息保护审计工作的实践落地具有重要指导意义。
根据《管理办法》第四条、第五条的规定,合规审计分为个人信息处理者自主审计以及国家网信部门和其他履行个人信息保护职责的部门(以下简称保护部门)依职权要求审计两种情形。
从个人信息处理数量的角度出发,根据《管理办法》第四条的要求,处理超过1000万个人信息的个人信息处理者,应当每两年至少开展一次个人信息保护合规审计。相较于《个人信息保护合规审计管理办法(征求意见稿)》规定100万人次个人信息的数量要求,本次出台的《管理办法》充分结合社会治理发展情况,大幅提高了个人信息处理的数量要求,有效地避免了企业过重的义务负担。
从行业角度出发,金融、电商、医疗、教育、旅游、社交平台、汽车、互联网等行业通常存在较多的个人信息处理场景,建议上述行业的企业需重点关注是否已经达到《管理办法》要求自主审计的个人信息数量条件。
需要提示的是,并非仅有个人信息处理者需要承担个人信息保护合规审计责任。《管理办法》第五条规定保护部门亦可依职权发起合规审计要求,要求个人信息处理者委托专业机构进行合规审计,具体场景分别为:存在严重影响个人权益或者严重缺乏安全措施等较大风险的;可能侵害众多个人的权益的;发生个人信息安全事件导致100万以上个人信息或者10万人以上敏感信息泄露、篡改、丢失、毁损的。同时,为了避免多头监管导致的企业合规义务过重问题,《管理办法》亦确认了依职权要求合规审计的边界,即不得要求针对同一事件或风险进行重复审计。
针对依职权发起的合规审计要求,个人信息处理者需履行以下义务:
1. 支持义务:为专业机构提供必要支持,并承担审计费用。
2. 时限要求:按照履行个人信息保护职责的部门要求选定专业机构,在限定时间内完成个人信息保护合规审计,情况复杂的,报履行个人信息保护职责的部门批准后,可以适当延长。
3. 合规整改:报送合规审计报告并进行整改,个人信息处理者在完成合规审计后,应当将专业机构出具的个人信息保护合规审计报告报送履行个人信息保护职责的部门,按照履行个人信息保护职责的部门要求对合规审计中发现的问题进行整改,在整改完成后15个工作日内,向履行个人信息保护职责的部门报送整改情况报告。此外,《管理办法》正式稿删除了征求意见稿中专业机构在整改环节的复核义务,亦进一步降低了企业负累。
《管理办法》对国家机关和法律法规授权的具有管理公共事务职能的组织的个人信息保护合规审计,作出了除外情形的规定。因此,对于涉及管理公共事务职能的行政机关在授权范围内履职并收集到个人信息的个人信息处理者,我们倾向于认为不适用《管理办法》。国家网信办在对《管理办法》答记者问中,亦明确对于个人信息处理者对采取何种审计方式即内部机构自行开展或委托专业机构开展、是否选择专业机构,以及选择哪家专业机构没有强制性要求。因此,合规审计可分为内部审计与外部审计两种方式。
根据《管理办法》的规定,个人信息处理者可以由内部机构完成审计工作,即自行内部审计。
《管理办法》正式稿删除了征求意见稿中第十三条规定的“国家网信部门会同公安机关等国务院有关部门按照统筹规划、合理布局、择优推荐的原则建立个人信息保护合规审计专业机构推荐目录”这一要求,我们认为这与《公平竞争审查条例》第八条、第九条所规定的关于禁止限制或者变相限制市场准入和退出、禁止限制商品、要素自由流动的要求保持了一致性,充分释放市场竞争活力。
对于审计义务主体而言,委托外部专业机构审计并不代表全无限制。《管理办法》第十五条明确规定,同一专业机构及关联机构、同一合规审计负责人不得连续三次对同一审计对象开展个人信息保护合规审计。对于该点要求,我们认为审计机构的总分部应属于“关联机构”规范要求范围;若个人信息处理者在自主发起内部审计的同时委托外部专业机构审计,也应考虑是否受到“连续三次”的限制。
根据《个保法》第五十二条的要求,处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。个人信息处理者应当公开个人信息保护负责人的联系方式,并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门。虽然《管理办法》对于审计门槛的个人信息处理数量要求已调整为1000万,但对于个人信息处理数量达100万时则已经达到个人信息保护负责人的设置要求。据此,个人信息处理者需要对标实际的业务数据情况并在内部架构中设置该岗位,但该岗位是否能够以兼岗的形式委任,《管理办法》并没有进一步的要求。
同时,《管理办法》附件《个人信息保护合规审计指引》(以下简称《审计指引》)第二十二条,还将个人信息保护负责人的履职情况纳入了合规审计范围,并提出了从个人信息保护负责人角度而言,其需要具备相关工作经历和专业知识,从个人信息处理者角度而言,需要对个人信息保护负责人提供足够的建议、制止纠正权限,需要公开个人信息保护负责人联系方式并报送保护部门等一系列的要求。
根据国家网信办在《管理办法》答记者问中第9点关于《审计指引》的适用解答,监管意见认为《审计指引》是个人信息处理者对个人信息处理活动是否遵守法律、行政法规要求进行审查和评价重要依据。据此,《审计指引》第二条至第二十七条中规定的审查事项要点如合法性基础、告知个人信息处理规则义务、委托处理、自动化决策等,亦可以作为企业对标审查合规差距的重要依据,本文在此暂不逐一展开赘述。
截至本文起草当日,国家标准中关于个人信息保护合规审计的要求尚处于征求意见的阶段。《管理办法》亦未对审计流程提出细化的要求。因此,我们倾向认为上述国家标准的审计流程亦具备重要参考意义,结合《管理办法》的要求(整改、报送等),审计流程可以按照如下方式:
建议个人信息处理者迅速定位自身是否属于审计义务履行主体范围,进一步判断自身是否需要完成相关合规动作。如判断确属于《管理办法》所规范的主体范围,或根据发展近期即将纳入规范范畴,则先行启动内部合规差距分析。具体分析审查维度可以包括内部岗位架构、内部数据管理、外部合作履行等,对尚未完成的合规要求及时调整应对。
基于《管理办法》的要求,个人信息处理者应将合规纳入常态化管理的范畴,综合技术能力、制度保障和人员配置三方面结合并行,并根据其实际情况选任专业合规审计机构。同时开展教育培训计划并实施,以提升个人信息保护合规能力。
伴随我国监管体系对个人信息保护的进一步重视和强化,建议个人信息处理者对于个人信息保护应当从“被动应对”转向“主动赋能”,有效落实法律法规要求,夯实个人信息保护管理能力,充分激活数据要素并进一步提升竞争力。
感谢实习生石灵逍对本文的贡献。
阅读原文