個人信息保護合規審計義務的五大要點——《個人信息保護合規審計管理辦法(征求意見稿)》解讀
作者:吳衛明 劉昀東 2023-08-042023年8月3日,國家互聯網信息辦公室(以下簡稱“國家網信辦”)發布《個人信息保護合規審計管理辦法(征求意見稿)》(以下簡稱《征求意見稿》),向社會公開征求意見。
區別于《信息安全技術 個人信息安全規范》(以下簡稱《個人信息安全規范》)規定的“安全審計”,個人信息保護合規審計(以下簡稱“合規審計”)是2021年11月1日生效的《個人信息保護法》對于個人信息處理者設定的合規義務,包括第五十四條規定的個人信息處理者自身應當履行的定期合規審計義務和第六十四條規定的基于履行個人信息保護職責的部門(以下簡稱“監管部門”)要求的專項合規審計義務。
自《個人信息保護法》發布以來,如何履行該法規定的合規審計義務,以及個人信息矗立著如何確定審計程序、審計要點等問題,一直是各界所關注的問題。《征求意見稿》的出臺表明這一制度即將正式落地,為便于企業加強對《征求意見稿》重要內容的理解,筆者特整理如下五大方面進行解讀。
一、合規審計的概念
根據《征求意見稿》第三條的規定,合規審計是指對個人信息處理者的個人信息處理活動是否遵守法律、行政法規的情況進行審查和評價的監督活動。
從上述規定可以看出,合規審計是一種監督活動,包括審查和評價兩個部分,審查和評價的對象是個人信息處理者的個人信息處理活動,審查和評價的標準是法律、行政法規,評價的結果應當體現個人信息處理者是否遵守法律、行政法規的內容。
作為對比,《個人信息安全規范》規定的“安全審計”,審計的對象是“個人信息保護政策、相關規程和安全措施”,評價的結果體現的是對象的“有效性”。合規審計的對象內涵更豐富,因為個人信息處理活動不僅包括活動本身,還包括為了開展活動而設置的制度、采用的技術措施,安全審計的對象則更為明確和具體。合規審計的評價側重于個人信息處理的“法律符合性”,安全審計的評價則側重于個人信息保護的“有效性”。但兩者并不是涇渭分明的,因為從《征求意見稿》附件《個人信息保護合規審計參考要點》(以下簡稱《參考要點》)可以看出,合規審計的其中一項參考要點是“個人信息處理者采取的技術措施的有效性”,也就是對于“法律符合性”的評價還包括了對“有效性”的評價。究其緣由,是因《個人信息保護法》第五十一條規定了個人信息處理者應“采取相應的加密、去標識化等安全技術措施”,從而將技術措施的實施作為了一項合規義務。
二、合規審計的主體和啟動條件
如前文所述,《個人信息保護法》第五十四條和第六十四條規定了兩類合規審計的發起情形。《征求意見稿》則基于該等規定進行了細化。
對于定期合規審計義務,在定期的頻率上作出了細化,區分了兩類主體(《征求意見稿》第四條),即:
對于專項合規審計義務,《征求意見稿》延續了《個人信息保護法》第六十四條的規定,即在監管部門發現個人信息處理活動存在較大風險或者發生個人信息安全事件的,可以要求個人信息處理者委托專業機構對其個人信息處理活動進行合規審計(《征求意見稿》第六條)。需要注意的是,根據《個人信息保護法》第六十條的規定,國家網信部門、國務院有關部門、縣級以上地方政府有關部門都屬于監管部門,所以可能要求個人信息處理者開展專項合規審計的監管部門并不是單一部門。
對于具體開展合規審計工作的主體,《征求意見稿》也延續了《個人信息保護法》的規定,即:
雖然《征求意見稿》與《個人信息保護法》一樣,沒有明確規定專業機構的資質或類型,但是設置了推薦目錄制度,規定國家網信部門會同公安機關等國務院有關部門建立個人信息保護合規審計專業機構推薦目錄,鼓勵個人信息處理者優先選擇推薦目錄中的專業機構開展合規審計活動(《征求意見稿》第十三條)。
三、專項合規審計要求
相較于定期合規審計,《征求意見稿》對專項合規審計作出了更詳細的要求,包括特定期限、報告形式、配合義務、整改義務等,具體包括:
第一,專項合規審計中選定專業機構的期限。《征求意見稿》第七條規定,個人信息處理者接到監管部門的通知后應當盡快按照要求選定專業機構進行個人信息保護合規審計。值得注意的是,這里并沒有對“盡快”的期限作出明確規定,如果制度進入執行階段,可能需要監管部門根據實際情況在通知中設定期限。另外此處的表述方式也提示了監管部門是可以作出“要求”的。
第二,合規審計報告的報送期限和形式要求。《征求意見稿》第十條規定, 個人信息處理者應當在實施必要合規審計程序后,及時將專業機構出具的個人信息保護合規審計報告報送監管部門。個人信息保護合規審計報告應當由合規審計負責人、專業機構負責人簽字并加蓋專業機構公章。和第七條類似,這里僅規定期限為“及時”。另外,對于合規審計應當形成的成果及簽署方式都做出了明確規定。
第三,專項合規審計的完成期限。《征求意見稿》第九條明確規定了個人信息處理者應當在90個工作日內完成個人信息保護合規審計,但也規定了調整程序,即在情況復雜的前提下,報經監管部門批準后可適當延長。這里給予了監管部門一定裁量權限,也可以在一定程度降低因為時間所限對于審計情況全面性的影響。但是90個工作日的起算時點是通知之日還是選定專業機構之日,可能有待正式版文件細化或者通過監管部門的通知予以明確。結合上述規定,我們傾向于按照通知之日起算。
第四,個人信息處理者對專業機構的配合義務。為降低個人信息處理者作為委托者對于專業機構的限制,《征求意見稿》第八條明確規定了個人信息處理者應當保證專業機構能夠正常行使下列權限:
(一)要求提供或者協助查閱相關文件或資料;
(二)進入個人信息處理活動相關場所;
(三)觀察場所內發生的個人信息處理活動;
(四)調查相關業務活動及所依賴的信息系統;
(五)檢查、測試個人信息處理活動相關設備設施;
(六)調取、查閱個人信息處理活動相關數據或信息;
(七)訪談與個人信息處理活動有關的人員;
(八)就相關問題進行調查、質詢和取證;
(九)其他開展合規審計工作所必需的權限。
換一個角度理解,上述權限也可以推導出專業機構開展合規審計工作應當考慮的審計方法。
第五,個人信息處理者的整改義務。《征求意見稿》第十一條規定,個人信息處理者應當按照專業機構給出的整改建議進行整改,經專業機構復核后將整改情況報送監管部門。這意味著專項合規審計工作中專業機構的任務不僅僅包括單純的審查和評價,在發現合規問題后還應當給予企業整改建議,并對整改情況進行復核。
關于整改的期限,按照一般理解和實踐經驗,整改建議應當是在完成合規審計報告時形成的,而整改的時間則根據整改工作涉及的具體方面不同可能產生巨大差別,如果將整改時間也包含在《征求意見稿》第九條規定的90個工作日內,可能會缺乏可操作性,但是由于第九條亦規定了完成期限的調整程序,所以也不排除90個工作日確實包括了整改期限的可能性。這一點亦有待正式版文件細化或者通過監管部門的通知予以明確。
四、專業機構工作要求
《征求意見稿》對專業機構的合規審計工作要求并沒有區分合規審計的類型,目前看來是具有泛用性的,即無論是定期合規審計還是專項合規審計,專業機構均需要遵守如下規范:
第一,專業機構的工作原則。《征求意見稿》第十四條第一款規定專業機構應當誠信正直,公正客觀地作出合規審計職業判斷,第十二條規定專業機構保持獨立性和客觀性,這些均可以作為專業機構的合規審計工作原則。
同時,第十二條針對如何保持獨立性和客觀性還作出了細化的次數限制,即不得連續為同一審計對象開展個人信息保護合規審計超過三次。
第二,專業機構不得轉包。《征求意見稿》第十四條第二款規定,專業機構不得轉包委托第三方開展合規審計。該規定可以理解為對專業機構獨立性要求的延伸。
第三,專業機構的保密責任和數據安全責任。《征求意見稿》第十四條第三款規定,專業機構在履行合規審計職責中獲得的信息,只能用于合規審計的需要,不得用于其他用途;專業機構應當對獲得的信息承擔保密責任;專業機構應當采取相應技術措施和其他必要措施,保障數據安全。個人信息處理者需要對所處理的個人承擔個人信息保護責任和數據安全責任,專業機構作為審計外包機構,對個人信息處理者承擔保密責任和數據安全責任也是應有之義。
第四,專業機構不得惡意干擾正常經營活動。《征求意見稿》第十四條第四款規定,專業機構在履行合規審計職責時不得惡意干擾個人信息處理者的正常經營活動。需要注意的是適用條件有“惡意”和“正常”的前提,一方面需要防范個人信息處理者濫用該條款阻礙合規審計工作的開展,同時也需要防范專業機構在進行審計過程中濫用相應的職權。但是,考慮到專業機構和個人信息處理者在地位上的不對等性,而是否構成“惡意”的邊界也并不清晰,因此,對于“惡意”的認定標準,尚需進一步予以明確。
第五,專業機構的違規后果。《征求意見稿》第十四條第五款規定,專業機構有出具虛假、失實報告等違規行為的,個人信息處理者及相關方可向監管部門進行投訴,經監管部門核實的,永久禁止列入推薦目錄。前面幾點提到了專業機構開展合規審計工作的合規要求,相對應的,這里提到了違反合規要求的法律后果。需要注意的是,投訴的發起主體不僅包括個人信息處理者,還包括“相關方”。同時,這里提到的違規行為明確列出的是“出具虛假、失實報告”,不難理解這是因為該行為是違反了專業機構在合規審計工作中的核心要求,雖然明確的后果是剝奪其列入推薦目錄的資格,但可能引發的進一步后果是個人信息處理者如果選擇該專業機構,其合規審計結果將不再為監管機構所接受。而且,由于專業機構類型的不同,其違規行為還可能觸犯相應行業監管規則、自律規則,承擔相應不利后果。
五、合規審計要點
從《參考要點》的名稱和其第一條規定可以看出其列出的內容不是全部合規審計要點,但是如果在合規審計過程未對《參考要點》明確列出的要點進行審查和評價,可能會被視為遺漏,影響合規審計報告被接受的程度。
為方便查看要點內容,筆者根據《參考要點》的規定對審查方面、重點審查事項整理成表格如下。需要注意作為大型互聯網平臺運營者的個人信息處理者(對應《個人信息保護法》第五十八條規定的“提供重要互聯網平臺服務、用戶數量巨大、業務類型復雜的個人信息處理者”)具有特別的合規義務。
