一、个人信息保护合规审计的内容二、个人信息保护合规审计的适用条件三、根据个人信息保护职责强弱选择不同审计模式四、委托专业机构审计的要点五、个人信息保护合规审计参考要点六、个人信息保护合规审计的意义· 结语
伴随数据逐渐成为企业的一项重要资产并进入交易领域,国家陆续出台了《数据安全法》、《个人信息保护法》等法律不断加强针对企业作为数据处理者对数据处理与管理上的监管,对企业来说,维护数据安全尤其个人信息安全也成为当前重要的一项合规工作。
作为对企业数据安全的重要“体检”工作,现有法律已将企业个人信息合规审计设定为一项法定义务并为其提供了制度框架,根据《个人信息保护法》第五十四条规定,“个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计”,第六十四条规定,“履行个人信息保护职责的部门在履行职责中,发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,可以要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计”。
此外,《网络数据安全管理条例》第五十三条规定,“大型互联网平台运营者应当通过委托第三方审计方式,每年对平台数据安全情况等进行年度审计,并披露审计结果”,也体现了国家对大型互联网企业数据审计赋予了更严格的责任,可以说数据审计已被列入这类企业必需进行的一项合规工作中。
2023年8月3日,国家互联网信息办公室发布《个人信息保护合规审计管理办法(征求意见稿)》(以下简称“办法”)及其附带《个人信息保护合规审计参考要点》(以下简称“要点”),从主体、适用条件、个人信息处理者的责任、专业机构的权限及要求等多个方面进行了更加详细的规定,为企业的个人信息保护合规审计工作提供了具体的操作指引,以激励并提升企业个人信息保护能力。我们依据《办法》与《要点》的内容,总结个人信息保护合规审计的特点,为企业针对个人信息保护合规审计梳理以下可供参考的要点。
个人信息保护合规审计是针对企业个人信息数据管理进行的监督活动,根据《办法》第三条规定,合规审计旨在审查与评价个人信息处理者的个人信息处理活动是否遵守法律、行政法规等。相比于之前国家标准《信息安全技术 个人信息安全规范》将个人信息合规审计的内容规定为审查个人信息保护政策、相关规程和安全措施的有效性,《办法》及《要点》拓展了审查与评价的范围,企业的个人信息处理活动、相关制度的建立和采取的技术措施均列为合规审计的重要内容。根据个人信息处理者主体类型,《办法》规定了适用个人信息保护合规的适用条件,并在合规审计的频率上作出了两种不同的区分。从主体上,所有进行个人信息处理活动的处理者均应开展个人信息保护合规审计;从频率上,处理超过100万人个人信息的个人信息处理者应当每年至少开展一次个人信息保护合规审计,其他个人信息处理者应当每二年至少开展一次个人信息保护合规审计。《个人信息保护法》已为个人信息保护合规审计搭建了制度框架,设置了两类合规审计方式及其不同适用情形,《办法》延续并细化了这一设置,根据《办法》第五条,个人信息处理者定期开展个人信息保护合规审计可由内部机构或者委托专业机构开展审计,同时第六条还规定了依职权委托审计的情形,即“当发现个人信息处理活动存在较大风险或者发生个人信息安全事件时”,企业须委托专业机构对个人信息处理活动进行合规审计。因此,个人审计的突出特点是企业依照法定周期自觉完成自我审计,在是否选择专业机构和审计的时间范围上都有一定的灵活自主性,而委托审计则鲜明显示了国家职能部门的监管性,通常基于监管部门的要求而触发。《办法》要求企业接到监管部门的要求后尽快按照要求选定专业机构进行合规审计。目前“尽快”这个期限具体时间暂未确定,但可推测未来将由监管部门来提供。在专业机构的选择上,《办法》第十二、十三条规定,专业机构应保持独立性和客观性,国家建立专业机构推荐目录制度即网信部门将会同公安机关等有关部门为企业建立个人信息保护合格审计专业机构推荐目录,每年对专业机构根据评估评价情况进行动态调整。《办法》第八条详细列举了专业机构在开展合规审计时应当正常行使的权限,包括查阅文件资料和相关数据信息、进入相关场所观察个人信息处理活动、调查信息系统、检查测试设备、开展访谈和调查取证等内容,对专业机构上述权限内的工作企业应当积极配合以保障顺利开展。此外,《办法》还通过一系列条款对专业机构的责任进行了规定,包括对同一审计对象的连续审计次数限制、禁止专业机构转包委托、专业机构对个人信息保密责任及数据安全责任、不得恶意干扰个人信息处理者的正常经营活动等内容。专业机构如有违规行为,如出具虚假失实报告,经个人信息处理者或第三方投诉并由监管部门核实,将永久列入禁止推荐目录。《办法》第九、十条规定个人信息处理者应当在90个工作日内完成个人信息保护合规审计工作,情况复杂的可经批准后适当延长,并及时将专业机构出具的个人信息保护合规审计报告报送监管部门。专业机构的工作职责不仅限于根据法律法规对企业个人信息保护进行审核与评价,还负有协助数据处理者进行整改的义务,个人信息处理者根据专业机构的审计报告开展整改工作,并需再次由专业机构复核。通常情况专业机构需要根据审计报告对企业给出有针对性的整改建议,并对之后的整改情况进行复核,经专业机构复核后的整改情况也需要报送给监管部门。《个人信息保护合规审计参考要点》作为《办法》的补充,整理并列举了专业机构开展个人信息保护合规审计时审核与评价所需关注的重点内容。《要点》包括31条,通过其内容可以看出它覆盖了《个人信息保护法》《数据出境安全评估办法》《个人信息出境标准合同办法》等法律法规、部门规章以及《个人信息安全规范》等国家标准中大部分关于数据处理者对于个人信息安全保护以及风险防范所需要着重关注与审核的重要问题。《要点》基于《个人信息保护法》等法律法规对于企业合规义务进一步细化,共将其划分为21个方面,主要包括企业处理个人信息合法性基础、个人信息处理规则、告知义务的履行、个人信息的共同处理、个人信息的委托处理、个人信息的对外提供、自动化决策过程中的个人信息处理、个人信息公开、公共场所个人信息处理、已公开的个人信息的处理、敏感个人信息处理、不满十四周岁未成年人信息处理、个人信息出境、个人信息删除权及知情权保障、内部制度及组织、个人信息保护技术、个人信息保护教育与培训、个人信息保护负责人履职、个人信息保护影响评估及应急与处置、大型互联网平台的个人信息保护、以及公司在合并分立解散等场景下的个人信息保护等多方面内容。每个方面也均详细罗列了具体的参考性问题,范围较广也具有很强的针对性,因而对企业开展个人信息保护自评估与自我合规审计也具有很强的参考价值。从这份《参考要点》不难看出,企业开展个人信息保护合规审计也是一次帮助自身梳理个人信息管理情况,对齐企业数据合规现状与法律法规标准的重要机会,有利于企业提升数据合规能力并对后续开展数据出境等合规工作起到重要辅助作用。近来年,无论欧盟的GDPR还是我国《个人信息保护法》均提升了个人信息保护的要求,通过规定各个方面的法律义务确保企业遵守隐私及数据保护法律法规,维护个人信息安全。而周期性的个人信息保护合规审计有助于确保企业在数据管理以及相关技术措施和制度建设上都持续保持在合法合规的状态,避免数据违规带来的法律风险。尽管国家已出台多个个人信息保护相关的法律法规,对通过职责部门对数据处理者进行数据管理上的监管,但从相关新闻可见,企业因数据及网络安全违规而被网信部门约谈、下架APP、要求整改等惩治案例仍大量发生,诸多企业缺少对自身网络安全及数据合规的认知。个人信息保护合规审计有助于发现企业个人信息管理漏洞并针对薄弱环节及时加以修复,避免或减少数据泄露、滥用、误用等事故发生,有效评估企业数据安全,确保个人信息持续有效获得保障,将企业数据风险及事故控制在最小范围内,将企业的数据保护能力提升一个层级。
3. 有利于企业顺利衔接其互联网平台及数据出境业务
《个人信息保护法》第五十八条中已为提供互联网平台的企业设置了“成立主要由外部成员组成的独立机构对个人信息保护情况进行监督,定期发布个人信息保护社会责任报告”的法律义务。而存在数据出境需求的企业,在申报数据出境安全评估或个人信息出境标准合同备案时,监管部门也都要求对企业数据安全进行风险自评估。而此次《个人信息保护合规审计管理办法》及《要点》的出台无论对企业内部自我评估与审计还是通过专业机构进行合规审计,均给予了落实性的规定与指引,整合了《个人信息保护法》《数据出境安全评估办法》等在先法律法规对企业数据安全保护的要求,通过《要点》的规定,指导企业从法律法规各个方面义务对自身数据安全进行全面了解与审查,可以有效成为企业后续进行互联网平台业务或数据出境业务合规工作的基础,顺利达到法律法规的标准,衔接其他数据合规路径的要求,对企业具有重要实践意义。个人信息保护合规审计无疑是一项重要的个人信息保护制度,在欧盟GDPR规则及境外上市公司监管规则中也都能看到个人信息保护合规审计的实践要求。此次《个人信息保护合规审计办法》的出台弥补了目前这项规则在国内的空白,对企业提升数据保护能力、规避法律风险具有重要意义,值得企业参考。
作者简介
冯超,资深知识产权律师,泰和泰(北京)律师事务所高级合伙人。
冯超律师毕业于美国杜克大学和中国外交学院,获得法学硕士学位,曾在知名国际和国内律所执业。过去二十年里,冯律师代理了大量知识产权申请案件、知识产权侵权、确权诉讼案件、不正当竞争案件和与知识产权相关的反垄断案件,参与了大量知识产权交易合同的起草、谈判和执行。同时,冯律师在网络安全、数据保护和数据合规领域具有丰富经验,是较早关注并从事企业数据安全与保护、数据跨境传输相关法律业务的律师之一,并获得ALB、MIP、WTR、Legal band、AsiaIP等国内外权威评级机构的认可和推荐。
冯超律师团队由十余名律师和专利代理人组成,可用中、英、日、法、马来语等向客户提供知识产权、数据保护、外商投资、民商事争议解决等领域的法律服务。
联系方式:
+86-13910336970
Charlesfeng@tahota.com
Fchao7847@hotmail.com
作者:冯超 陆益凡 薛莲
编辑:Sharon
点击图片查看文章
(www.pharmaip.cn)
(www.meddeviceip.com)