个人信息保护合规审计义务的五大要点——《个人信息保护合规审计管理办法(征求意见稿)》解读
作者:吴卫明 刘昀东 2023-08-042023年8月3日,国家互联网信息办公室(以下简称“国家网信办”)发布《个人信息保护合规审计管理办法(征求意见稿)》(以下简称《征求意见稿》),向社会公开征求意见。
区别于《信息安全技术 个人信息安全规范》(以下简称《个人信息安全规范》)规定的“安全审计”,个人信息保护合规审计(以下简称“合规审计”)是2021年11月1日生效的《个人信息保护法》对于个人信息处理者设定的合规义务,包括第五十四条规定的个人信息处理者自身应当履行的定期合规审计义务和第六十四条规定的基于履行个人信息保护职责的部门(以下简称“监管部门”)要求的专项合规审计义务。
自《个人信息保护法》发布以来,如何履行该法规定的合规审计义务,以及个人信息矗立着如何确定审计程序、审计要点等问题,一直是各界所关注的问题。《征求意见稿》的出台表明这一制度即将正式落地,为便于企业加强对《征求意见稿》重要内容的理解,笔者特整理如下五大方面进行解读。
一、合规审计的概念
根据《征求意见稿》第三条的规定,合规审计是指对个人信息处理者的个人信息处理活动是否遵守法律、行政法规的情况进行审查和评价的监督活动。
从上述规定可以看出,合规审计是一种监督活动,包括审查和评价两个部分,审查和评价的对象是个人信息处理者的个人信息处理活动,审查和评价的标准是法律、行政法规,评价的结果应当体现个人信息处理者是否遵守法律、行政法规的内容。
作为对比,《个人信息安全规范》规定的“安全审计”,审计的对象是“个人信息保护政策、相关规程和安全措施”,评价的结果体现的是对象的“有效性”。合规审计的对象内涵更丰富,因为个人信息处理活动不仅包括活动本身,还包括为了开展活动而设置的制度、采用的技术措施,安全审计的对象则更为明确和具体。合规审计的评价侧重于个人信息处理的“法律符合性”,安全审计的评价则侧重于个人信息保护的“有效性”。但两者并不是泾渭分明的,因为从《征求意见稿》附件《个人信息保护合规审计参考要点》(以下简称《参考要点》)可以看出,合规审计的其中一项参考要点是“个人信息处理者采取的技术措施的有效性”,也就是对于“法律符合性”的评价还包括了对“有效性”的评价。究其缘由,是因《个人信息保护法》第五十一条规定了个人信息处理者应“采取相应的加密、去标识化等安全技术措施”,从而将技术措施的实施作为了一项合规义务。
二、合规审计的主体和启动条件
如前文所述,《个人信息保护法》第五十四条和第六十四条规定了两类合规审计的发起情形。《征求意见稿》则基于该等规定进行了细化。
对于定期合规审计义务,在定期的频率上作出了细化,区分了两类主体(《征求意见稿》第四条),即:
对于专项合规审计义务,《征求意见稿》延续了《个人信息保护法》第六十四条的规定,即在监管部门发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,可以要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计(《征求意见稿》第六条)。需要注意的是,根据《个人信息保护法》第六十条的规定,国家网信部门、国务院有关部门、县级以上地方政府有关部门都属于监管部门,所以可能要求个人信息处理者开展专项合规审计的监管部门并不是单一部门。
对于具体开展合规审计工作的主体,《征求意见稿》也延续了《个人信息保护法》的规定,即:
虽然《征求意见稿》与《个人信息保护法》一样,没有明确规定专业机构的资质或类型,但是设置了推荐目录制度,规定国家网信部门会同公安机关等国务院有关部门建立个人信息保护合规审计专业机构推荐目录,鼓励个人信息处理者优先选择推荐目录中的专业机构开展合规审计活动(《征求意见稿》第十三条)。
三、专项合规审计要求
相较于定期合规审计,《征求意见稿》对专项合规审计作出了更详细的要求,包括特定期限、报告形式、配合义务、整改义务等,具体包括:
第一,专项合规审计中选定专业机构的期限。《征求意见稿》第七条规定,个人信息处理者接到监管部门的通知后应当尽快按照要求选定专业机构进行个人信息保护合规审计。值得注意的是,这里并没有对“尽快”的期限作出明确规定,如果制度进入执行阶段,可能需要监管部门根据实际情况在通知中设定期限。另外此处的表述方式也提示了监管部门是可以作出“要求”的。
第二,合规审计报告的报送期限和形式要求。《征求意见稿》第十条规定, 个人信息处理者应当在实施必要合规审计程序后,及时将专业机构出具的个人信息保护合规审计报告报送监管部门。个人信息保护合规审计报告应当由合规审计负责人、专业机构负责人签字并加盖专业机构公章。和第七条类似,这里仅规定期限为“及时”。另外,对于合规审计应当形成的成果及签署方式都做出了明确规定。
第三,专项合规审计的完成期限。《征求意见稿》第九条明确规定了个人信息处理者应当在90个工作日内完成个人信息保护合规审计,但也规定了调整程序,即在情况复杂的前提下,报经监管部门批准后可适当延长。这里给予了监管部门一定裁量权限,也可以在一定程度降低因为时间所限对于审计情况全面性的影响。但是90个工作日的起算时点是通知之日还是选定专业机构之日,可能有待正式版文件细化或者通过监管部门的通知予以明确。结合上述规定,我们倾向于按照通知之日起算。
第四,个人信息处理者对专业机构的配合义务。为降低个人信息处理者作为委托者对于专业机构的限制,《征求意见稿》第八条明确规定了个人信息处理者应当保证专业机构能够正常行使下列权限:
(一)要求提供或者协助查阅相关文件或资料;
(二)进入个人信息处理活动相关场所;
(三)观察场所内发生的个人信息处理活动;
(四)调查相关业务活动及所依赖的信息系统;
(五)检查、测试个人信息处理活动相关设备设施;
(六)调取、查阅个人信息处理活动相关数据或信息;
(七)访谈与个人信息处理活动有关的人员;
(八)就相关问题进行调查、质询和取证;
(九)其他开展合规审计工作所必需的权限。
换一个角度理解,上述权限也可以推导出专业机构开展合规审计工作应当考虑的审计方法。
第五,个人信息处理者的整改义务。《征求意见稿》第十一条规定,个人信息处理者应当按照专业机构给出的整改建议进行整改,经专业机构复核后将整改情况报送监管部门。这意味着专项合规审计工作中专业机构的任务不仅仅包括单纯的审查和评价,在发现合规问题后还应当给予企业整改建议,并对整改情况进行复核。
关于整改的期限,按照一般理解和实践经验,整改建议应当是在完成合规审计报告时形成的,而整改的时间则根据整改工作涉及的具体方面不同可能产生巨大差别,如果将整改时间也包含在《征求意见稿》第九条规定的90个工作日内,可能会缺乏可操作性,但是由于第九条亦规定了完成期限的调整程序,所以也不排除90个工作日确实包括了整改期限的可能性。这一点亦有待正式版文件细化或者通过监管部门的通知予以明确。
四、专业机构工作要求
《征求意见稿》对专业机构的合规审计工作要求并没有区分合规审计的类型,目前看来是具有泛用性的,即无论是定期合规审计还是专项合规审计,专业机构均需要遵守如下规范:
第一,专业机构的工作原则。《征求意见稿》第十四条第一款规定专业机构应当诚信正直,公正客观地作出合规审计职业判断,第十二条规定专业机构保持独立性和客观性,这些均可以作为专业机构的合规审计工作原则。
同时,第十二条针对如何保持独立性和客观性还作出了细化的次数限制,即不得连续为同一审计对象开展个人信息保护合规审计超过三次。
第二,专业机构不得转包。《征求意见稿》第十四条第二款规定,专业机构不得转包委托第三方开展合规审计。该规定可以理解为对专业机构独立性要求的延伸。
第三,专业机构的保密责任和数据安全责任。《征求意见稿》第十四条第三款规定,专业机构在履行合规审计职责中获得的信息,只能用于合规审计的需要,不得用于其他用途;专业机构应当对获得的信息承担保密责任;专业机构应当采取相应技术措施和其他必要措施,保障数据安全。个人信息处理者需要对所处理的个人承担个人信息保护责任和数据安全责任,专业机构作为审计外包机构,对个人信息处理者承担保密责任和数据安全责任也是应有之义。
第四,专业机构不得恶意干扰正常经营活动。《征求意见稿》第十四条第四款规定,专业机构在履行合规审计职责时不得恶意干扰个人信息处理者的正常经营活动。需要注意的是适用条件有“恶意”和“正常”的前提,一方面需要防范个人信息处理者滥用该条款阻碍合规审计工作的开展,同时也需要防范专业机构在进行审计过程中滥用相应的职权。但是,考虑到专业机构和个人信息处理者在地位上的不对等性,而是否构成“恶意”的边界也并不清晰,因此,对于“恶意”的认定标准,尚需进一步予以明确。
第五,专业机构的违规后果。《征求意见稿》第十四条第五款规定,专业机构有出具虚假、失实报告等违规行为的,个人信息处理者及相关方可向监管部门进行投诉,经监管部门核实的,永久禁止列入推荐目录。前面几点提到了专业机构开展合规审计工作的合规要求,相对应的,这里提到了违反合规要求的法律后果。需要注意的是,投诉的发起主体不仅包括个人信息处理者,还包括“相关方”。同时,这里提到的违规行为明确列出的是“出具虚假、失实报告”,不难理解这是因为该行为是违反了专业机构在合规审计工作中的核心要求,虽然明确的后果是剥夺其列入推荐目录的资格,但可能引发的进一步后果是个人信息处理者如果选择该专业机构,其合规审计结果将不再为监管机构所接受。而且,由于专业机构类型的不同,其违规行为还可能触犯相应行业监管规则、自律规则,承担相应不利后果。
五、合规审计要点
从《参考要点》的名称和其第一条规定可以看出其列出的内容不是全部合规审计要点,但是如果在合规审计过程未对《参考要点》明确列出的要点进行审查和评价,可能会被视为遗漏,影响合规审计报告被接受的程度。
为方便查看要点内容,笔者根据《参考要点》的规定对审查方面、重点审查事项整理成表格如下。需要注意作为大型互联网平台运营者的个人信息处理者(对应《个人信息保护法》第五十八条规定的“提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”)具有特别的合规义务。