新法速递 | 网信办发布个人信息保护合规审计新规(征求意见稿)
点击关注“数据与电商研究室”
编者按
2023年8月3日,国家网信办发布了《个人信息保护合规审计管理办法(征求意见稿)》(简称“《审计办法》”),旨在为个人信息保护合规审计制度提供操作指南。
个人信息保护合规审计是一项非常重要的个人信息保护制度,在欧盟GDPR以及境外上市公司监管规则中,我们都可以看到有关个人信息保护合规审计实践要求。个人信息保护合规审计制度不仅是个人信息处理者的法定义务,同时也有助于激励企业合理规避法律风险、主动提升个人信息保护能力。
网信办此次发布的《审计办法》弥补了《个人信息保护法》中个人信息保护合规审计制度的部分空白,对审计频次、委托审计、审计专业机构等作出细化要求。同时,《审计办法》提供了附件《个人信息保护合规审计参考要点》,可作为审计依据,为合规审计工作提供参考。
一、《审计办法》概况
《个人信息保护法》第五十四条与第六十四条分别规定了个人信息保护合规审计的两种方式:自我审计和委托审计。自我审计是个人信息处理者履行保护个人信息权益的常态化义务,应依据法律、行政法规进行审计,《个人信息保护法》未对自我审计采用内部审计还是委托专业机构审计、定期审计频次等进行明确;委托审计是个人信息处理者经监管机构要求,对于存在较大风险或者发生个人信息安全事件的,委托专业机构进行审计的一种方式。
就目前立法趋势而言,我国在个人信息保护合规审计方面的立法趋势呈现出差异化的特点,即对不同的个人信息处理者要求不同的审计义务。根据网信办此前发布的《网络数据安全管理条例(征求意见稿)》(点击蓝色字体,可查阅我们此前发布的:“天将降大任:从互联网平台合规角度解读《网络数据安全管理条例(征求意见稿)》”),根据日活用户数量区分了互联网平台运营者和大型互联网平台运营者,其第五十三条对大型互联网平台运营者进行审计的方式、内容、频率以及审计结果披露义务作出了明确的要求。值得特别关注的是,《审计办法》的合规审计参考要点中也专门针对大型互联网平台的合规审计要点进行了单独的规定。
总体上看,《审计办法》针对委托审计以及合规审计专业机构提出了诸多具体的管理要求,同时提供了较为全面的审计要点建议。《审计办法》体现了对个人信息保护严监管的趋势,也体现出监管希望借此倒逼企业进行个人信息保护的合规体系建设,落实法律和监管的合规要求。
为了进一步促进个人信息保护合规审计制度落地,我们期待新规能够对审计工作的开展流程、专业机构推荐目录评估办法、审计报告的内容等进一步明确,充分发挥个人信息保护合规审计制度在推动监管和促进企业自律中的效能。
二、审计模式的选择
自我审计和委托审计的要求有较大的区别。首先自我审计突出“自觉性”,需要根据法定触发的条件完成自我审计;委托审计突出“监管性”,是基于监管的要求被动触发审计。我们认为,委托审计是合规审计的“增强版”,重点突出在监管执法中,监管部门发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,将会触发委托审计。其次自我审计可以自由选定审计机构,企业按照法定时间范围自己选择处理即可,有较大的自主权;在委托审计场景下,企业大概率需要在 “专业机构推荐目录”中选定专业机构。最后,委托审计中专业机构的权限较大,包括但不限于检查设备、调取信息等,如何平衡保护企业商业秘密和落实监管要求,则要看《审计办法》落地后的实操情况。
对于委托审计下专业机构的选择,《审计办法》规定个人信息处理者在收到监管部门审计通知后,应“尽快按照要求选定专业机构进行个人信息保护合规审计”,我们认为此规定的设计虽不倾向于监管机构直接指定专业机构,但意味着个人信息处理者须在目录中选择审计机构。
根据《审计办法》的规定,我们在梳理了自我审计、委托审计两种审计模式下的审计原因、审计频次、开展审计的频次等内容,具体如下:
(点击可查看大图)
三、委托审计下的合规要点
《审计办法》使用较大的篇幅,对委托审计下的个人信息处理者的配合义务、时间要求、报送要求等进行了具体规定。
1)在个人信息处理者配合审计义务层面,《审计办法》要求个人信息处理者应保证专业机构能够正常行使开展合规审计工作所必需的权限,如提供或者协助查阅相关文件或资料、进入个人信息处理活动相关场所等。
2)在审计时间要求层面,《审计办法》规定个人信息处理者应当在90个工作日内完成个人信息保护合规审计,情况复杂的,可经审批后适当延长。然而,该期限应从审计开始之日起算,还是收到监管部门要求审计通知之日起算仍有待进一步明确。
3)在审计结果报送要求方面,既包括审计报告的报送,也包括实施整改建议后整改情况的报送。前者指向的审计报告,应当由合规审计负责人、专业机构负责人签字并加盖专业机构公章,由个人信息处理者向监管部门报送;后者指向的整改情况报送,是指由专业机构对个人信息处理者整改情况复核后向监管部门报送。
四、专业机构的要求
《审计办法》对专业机构的选择、工作开展提出了具体要求。具体而言包括以下几个要点:
01 原则性要求
执行个人信息保护合规审计的专业机构应当保持独立性和客观性,在开展审计工作时应当诚信正直,公正客观地作出合规审计职业判断。
02 专业机构推荐目录
《审计办法》第十三条提出网信部门将会同公安机关等国务院有关部门建立个人信息保护合规审计专业机构推荐目录,目录内容可能根据年度评估评价结果动态调整,鼓励个人信息处理者优先选择推荐目录中的专业机构开展个人信息合规审计活动。
03 专业机构具体要求
为规范专业机构的工作,《审计办法》对专业机构对同一审计对象的连续审计次数限制、禁止专业机构转包委托、个人信息保护职责、数据安全义务、不得恶意干扰个人信息处理者的正常经营活动等作出了明确要求。专业机构有出具虚假、失实报告等违规行为的,个人信息处理者可向有关部门投诉,经核实该专业机构将永久禁止列入推荐目录。
五、个人信息保护合规审计参考要点整理
《审计办法》在附件中提出了个人信息保护合规审计的参考要点,其制定依据包括法律、行政法规和国家标准的强制性要求。《个人信息保护法》第五十四条规定的合规审计依据限于“法律、行政法规”,但基于个人信息处理活动的复杂性、动态性、场景化等特征,仅依据法律、行政法规可能难以对合规审计工作提供较为具体的指引,因此在实践中有必要参考国家标准、监管部门发布的规范性文件等内容,如GB/T-35273《信息安全技术 个人信息安全规范》、GB/T-39335《信息安全技术 个人信息安全影响评估指南》等。
我们对《审计办法》提出的合规审计参考要点进行了整理,具体如下:
(点击可查看大图)
点击下方“阅读原文”,可获取《审计办法》全文
本文首发自公众号:数据与电商研究室
如需转发,请注明信息来自数据与电商研究室,如有意见建议或合作,请邮件CPdatalaw@zhonglun.com.
往 期 精 彩
往期文章
本期编辑:王梦迪 陈雨婕 唐静思
长按二维码一键关注
期待您的“赞”和“分享”