引言
自2021年以来,《个人信息保护法》的及相关配套法规的陆续出台,逐步构建了我国个人信息保护的法律体系。《个人信息保护法》中关于“个人信息保护合规审计”(“合规审计”)的原则性要求一直颇受企业关注,但由于缺乏配套法规及操作指引,鲜有企业开展系统化的合规审计工作。将于2025年5月1日施行的《个人信息保护合规审计管理办法》(“《办法》”)细化了《个人信息保护法》的原则性要求,为企业开展合规审计工作提供了明确指引。本文分析了《办法》对企业可能产生的深层次影响、《办法》的合规要点及重要审计项等要求。
一、《办法》对企业个人信息保护工作的深层次影响
《办法》可能对企业将产生如下重大影响:
(一)合规审计强制化与常态化
《个人信息保护法》及《办法》均明确了开展个人信息保护合规审计是企业和其他组织的法定义务,企业若未依法开展合规审计即构成违法行为。企业必须将合规审计全面纳入企业内部个人信息治理和合规体系,推动形成常态化合规审计机制。
(二)监管评价体系重构
相关监管部门(包括行业主管部门)将逐渐把合规审计实施情况纳入核心监管指标。企业是否已开展合规审计以及合规审计的结果将成为衡量企业个人信息保护水平的重要标志。相关监管部门可能会基于审计报告质量、问题整改效率等量化标准,构建新型企业个人信息保护能力评价体系,而审计结果将成为相关监管部门实施分级分类监管的重要依据。
(三)商业合作门槛提高
随着相关监管部门的重视,企业之间如涉及个人信息方面的合作,一方可能会将对方是否已开展合规审计和审计结果作为是否合作的重要前提条件。例如有些企业在公开招标时可能会要求投标单位必须提供个人信息保护合规审计报告、或承诺已依法开展合规审计且未有重大合规瑕疵。合规审计也可能成为企业对供应商管理的常态化要求之一。
(四)影响企业通过政府审批
对于涉及企业个人信息处理的一些政府审批项目(例如企业上市),一些政府部门可能会明确要求企业提供合规审计报告或相关合规性陈述。如未能满足相关条件,企业可能面临无法获得政府审批的风险。
(五)政企合作门槛提高
政府部门在一些涉及个人信息处理的采购项目中,可能会要求供应商必须提供个人信息保护合规审计报告、或承诺已依法开展合规审计且未有重大合规瑕疵。不满足这些条件的企业将可能失去政府采购竞标资格。
(六)企业个人信息保护合规工作更偏向“实质”合规
《办法》的颁布,标志着相关监管部门要求企业的个人信息工作向深层次迈进。自2021年《个人信息保护法》颁布后很长一段时间,很多企业的合规工作更侧重于解决“有没有”个人信息保护合规体系这一基本问题。从这一角度出发,很多企业合规工作的重心是首先在形式上建立一套相对完整的个人信息保护合规体系,而对这一体系的执行效果未有深层追问。而《办法》下的合规审计,作为一种全面检查企业个人信息保护合规体系落实情况的手段,更侧重于回答这个体系各个环节“好不好”的问题。从这一角度出发的个人信息保护工作,必然会把个人信息保护合规体系的执行效果纳入重要考量,推动企业个人信息工作向深层次迈进。
下表总结了不同阶段企业个人信息保护工作的重点:
(七)新建合规体系需预设审计导向
对于《个保法》颁布后尚未建立个人信息保护合规体系的企业而言,如此时开始搭建这一体系,考虑到由于企业面临后续合规审计的压力,企业会倾向在体系构建之初即充分考虑合规审计的需求,构建合规体系时须遵循“审计友好型”设计原则,例如:
1.个人信息保护合规体系需明确包括审计制度、审计组织、审计规范等内容;
2.为合规审计工作拨付预算;
3.通过业务流程嵌入合规审计取证节点、管理文档配置索引标签等方式,前瞻性避免后续审计中的证据缺失风险。
(八)个人信息影响评估需加强与合规审计工作的衔接
《办法》的颁布,会使得企业从一个合规审计的视角重新审视个人信息保护影响评估工作。根据《个人信息保护法》,企业需对敏感个人信息处理、自动化决策实施、委托处理个人信息、向第三方提供个人信息、个人信息公开披露、跨境传输个人信息等场景,在处理个人信息之前即开展个人信息保护影响评估。由于个人信息保护影响评估一直缺乏较为权威的强制性标准,在实践中企业的个人信息保护影响评估工作粗浅不一、效果难言。而在《办法》颁布后,由于企业面临后续合规审计压力,企业会倾向于在个人信息保护影响评估环节就将合规审计项纳入评估,并为后续合规审计准备好相关证据,从而实现“评估即备审”的工作闭环。
(九)合规成本升高
合规审计是一项全面、复杂和专业性较强的工作。全面落实合规审计要求无疑会增加各类企业的合规成本。特别是,中小企业缺乏内部数据合规专业人士和聘请外部专业机构的预算。在没有强监管要求的情况下,有些企业可能忽略合规审计或仅是“走个过场”,从而带来合规风险。
(十)数字化和自动化解决方案助力企业合规审计工作
考虑到合规审计的复杂性和结构化的特点,大型企业将有较强动力自研或外采合规审计数字化和自动化解决方案,通过技术手段提高合规审计效率、降低合规审计成本。随着此类解决方案的成熟和市场普及,成本也将显著降低,并使得中小企业受益。
二、《办法》的合规要点(问答)
(一)什么情况下需要开展合规审计?
合规审计可分为自行审计、被动审计两类。
自行审计:个人信息处理者主动依法履行合规审计义务(《个人信息保护法》第五十四条、《办法》第三条、第四条);
被动审计:履行个人信息保护职责的部门在履行职责中,发现个人信息处理者存在信息安全事件或者风险的情况下,要求个人信息处理者依法开展合规审计(《个人信息保护法》第六十四条、《办法》第五条)。
(二)合规审计需要多久做一次?
自行审计:处理超过1000万人个人信息的个人信息处理者,应当每两年至少开展一次个人信息保护合规审计(《办法》第四条);《办法》未对其他个人信息处理者自行开展合规审计的频率提出明确要求,理论上这些个人信息处理者可根据自身情况确定审计频率,但建议企业内部对此进行明确规定并有合理理由。但需要注意的是,根据《未成年人网络保护条例》第三十七条,“个人信息处理者应当自行或者委托专业机构每年对其处理未成年人个人信息遵守法律、行政法规的情况进行合规审计,并将审计情况及时报告网信等部门”。因此,如果企业处理未成年人个人信息,则每年都需要开展合规审计。
被动审计:在存在信息安全事件或者风险时,依照个人信息保护部门的要求开展合规审计(《办法》第五条)。
(三)合规审计都需要审什么内容?
个人信息保护合规审计,是对个人信息处理者的个人信息处理活动是否遵守法律、行政法规的情况进行审查和评价的监督活动。(《办法》第二条)。企业只要涉及个人信息处理,就需要对个人信息处理行为的合法性进行审计。
企业应当参照《办法》附件的《个人信息保护合规审计指引》进行合规审计(《办法》第六条)(详见下文第三部分:《个人信息保护合规审计指引》重点审查事项)。
据报道,全国网络安全标准化技术委员会正在研制一批个人信息保护合规审计重点标准和实践指南,为《办法》的落地实施提供指引。该委员会曾在2024年7月发布推荐性国家标准《数据安全技术个人信息保护合规审计要求(征求意见稿)》(请见https://www.tc260.org.cn/front/bzzqyjDetail.html?id=20240712162705&norm_id=20231220163619&recode_id=55772)。该标准一旦正式颁布,将成为企业开展合规审计工作的重要参考。
(四)谁有资格来开展合规审计?
自行审计:个人信息处理者内部机构可以自行开展合规审计,也可以委托专业机构开展合规审计(《办法》第三条);
被动审计:个人信息处理者仅可委托专业机构开展合规审计(《办法》第五条)。
(五)《办法》对开展合规审计的专业机构有什么要求?
《办法》对专业机构的类型未进行限制,因此有合规审计能力的各类机构(例如律师事务所、会计师事务所、科研机构等)均可以提供合规审计服务;
专业机构需具备开展个人信息保护合规审计的能力,有与服务相适应的审计人员、场所、设施和资金等(《办法》第七条);
遵循自愿性、市场化的原则,专业机构可自愿参加认证(《个人信息保护合规审计管理办法》答记者问)。
专业机构在从事个人信息保护合规审计活动时,应当遵守法律法规,诚信正直,公正客观地作出合规审计职业判断,对在履行个人信息保护合规审计职责中获得的个人信息、商业秘密、保密商务信息等应当依法予以保密,不得泄露或者非法向他人提供,在合规审计工作结束后及时删除相关信息(《办法》第十三条)。
专业机构不得转委托其他机构开展个人信息保护合规审计(《办法》第十四条);
同一专业机构及其关联机构、同一合规审计负责人不得连续三次以上对同一审计对象开展个人信息保护合规审计(《办法》第十五条)。
(六)合规审计结果是否需要向政府部门提供?
自行审计:《办法》未明确要求个人信息处理者主动向政府部门提供合规审计报告,但保护部门(国家网信部门和其他履行个人信息保护职责的部门)有权对个人信息处理者开展个人信息保护合规审计情况进行监督检查(《办法》第十六条);
被动审计:个人信息处理者按照保护部门要求开展个人信息保护合规审计的,在完成合规审计后,应当将专业机构出具的个人信息保护合规审计报告报送保护部门。个人信息保护合规审计报告应当由专业机构主要负责人、合规审计负责人签字并加盖专业机构公章。(《办法》第十条)-应当按照保护部门要求对合规审计中发现的问题进行整改。在整改完成后15个工作日内,向保护部门报送整改情况报告(《办法》第十一条)。
(七)企业不开展合规审计会承担法律责任吗?
会承担法律责任。个人信息处理者违反《办法》规定的,依照《中华人民共和国个人信息保护法》、《网络数据安全管理条例》等法律法规的规定处理;构成犯罪的,依法追究刑事责任(《办法》第十八条)。
企业不开展合规审计,还面临举报的风险。《办法》规定,任何组织、个人有权对个人信息保护合规审计中的违法活动向保护部门进行投诉、举报。收到投诉、举报的部门应当依法及时处理,并将处理结果告知投诉、举报人(《办法》第十七条)。
(八)《办法》还有哪些重要内容需要关注?
个人信息保护负责人:《个保法》对企业任命个人信息保护负责人仅有原则性要求,未明确企业的具体条件。《办法》明确规定处理100万人以上个人信息的个人信息处理者应当指定个人信息保护负责人,负责个人信息处理者的个人信息保护合规审计工作(《办法》第十二条);
独立监督机构:提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当成立主要由外部成员组成的独立机构对个人信息保护合规审计情况进行监督(《办法》第十二条)。
三、《个人信息保护合规审计指引》重点审查事项
《办法》的附件《个人信息保护合规审计指引》详细地列举了合规审计需重点审查的事项,涵盖了个人信息处理全周期的各个环节。企业合规审计中需全面审查这些重点事项,并可根据实际情况增加额外的审查事项。
四、合规审计相关国家标准
据报道,全国网络安全标准化技术委员会正在研制一批个人信息保护合规审计重点标准和实践指南,为《办法》的落地实施提供指引。[1]该委员会曾在2024年7月发布推荐性国家标准《数据安全技术个人信息保护合规审计要求(征求意见稿)》(见https://www.tc260.org.cn/front/bzzqyjDetail.html?id=20240712162705&norm_id=20231220163619&recode_id=55772),该标准列出了合规审计的推荐性实施要求、工作方法和主要审计项。该标准一旦正式颁布,将为企业开展合规审计工作提供重要参考。
[1]https://www.cac.gov.cn/2025-02/14/c_1741232815133352.htm
来源: 律商视点
作者:
杨洪泉,安杰世泽律师事务所合伙人;擅长领域:数据保护、网络安全、电信、互联网、硬件和软件、技术采购和转让、分销和许可以及其他与技术有关的领域;联系方式:yanghongquan@anjielaw.com
赵梓彤,安杰世泽律师事务所律师;擅长领域:TMT(科技、媒体与通信)、数据合规及网络安全;联系方式:zhaozitong@anjielaw.com
