行業新聞
即將于11月1日生效的《個人信息保護法》第五十四條和第六十四條分別規定了個人信息處理者的定期合規審計義務以及監管機構的強制審計制度。此項要求是在立法層面針對個人信息處理者保護個人信息義務方面提出的新要求,如何理解、落實此項要求,如何將此項要求融入企業現有的個人信息保護合規框架中,是企業當前面臨的問題。本文將圍繞個人信息保護合規審計的定義、對此項義務要求的理解、企業需要進行合規審計的原因以及如何進行合規審計等幾個方面做出評論。
1.個人信息保護合規審計是什么?
個人信息保護合規審計是以審查被審計主體的個人信息處理活動是否遵守我國相關的法律法規為目的進行的監督性審計。
從立法目的來看,目前我國的個人信息保護合規審計以自行審計為原則,以強制審計為補充。個人信息保護的合規審計是所有個人信息處理者的一項自律性義務,而監管機構只有在發現個人信息處理活動存在較大風險或者發生個人信息安全事件時,才要求個人信息處理者委托專業機構對其個人信息處理活動進行合規審計。
《個人信息保護法》根據發動審計的主體不同,將個人信息保護合規審計分為個人信息處理者主動進行的“定期自行審計”和監管機構要求個人信息處理者委托專業機構進行的“強制審計”。
個人信息保護合規審計的主要目的是控制和避免企業及員工因處理個人信息不合規,引發法律責任、受到相關處罰、造成經濟或聲譽損失以及其他負面影響的可能性。
2.如何理解《個人信息保護法》下個人信息處理者定期進行合規審計的義務要求?
合法原則是《個人信息保護法》的一項基本原則,即個人信息處理者應當采取合法的方式處理個人信息。要確保個人信息處理活動符合法律要求,除了需要來自外界的他律,還需要企業的自律,即個人信息處理者自行采取技術措施、組織措施以及其他必要措施來確保個人信息處理活動符合法律、行政法規的規定。
我們認為,《個人信息保護法》第54條對個人信息處理者定期進行合規審計的規定,既是在強調法律的他律,也是強調個人信息處理者的自律,可以理解為立法者希望通過要求個人信息處理者定期核查自身對個人信息的處理是否符合法律規定的方式,來落實《個人信息保護法》下的合法原則。
3.企業為什么要進行個人信息保護合規審計?
首先,從立法層面上看,我國關于個人信息保護的法律法規、規范性文件以及部分國家標準都已確立了個人信息保護合規審計制度。具體規范包括但不限于:
◆《個人信息保護法》第五十四條、第六十四條;
◆《互聯網個人信息安全保護指南》第4.3.2條;
◆《信息安全技術 網絡安全等級保護基本要求》(GB/T 22239-2019)第8.1.7.2條;
◆《信息安全技術 個人信息安全規范》(GB/T 35273-2020)第11.7條。
其次,基于執法視角觀察,企業在個人信息保護領域面臨著多頭監管的局面,需要同時面臨國家網信部門、國務院有關部門以及縣級以上地方人民政府有關部門的監管。個人信息保護合規審計有助于企業積極應對監管,適應多頭監管與力度日益加強的日常監管。
從企業自身對法律的遵守角度來看,由于個人信息處理者的活動是持續的,保證個人信息處理活動的合法性也應當是一個持續的動態過程。隨著業務形態的變化、技術的進步、法律要求的更新,某一階段個人信息處理活動的合法并不意味著處理活動在任何時期都是合法的,定期的合規審計會使得個人信息處理者對自身處理活動的合法性進行持續的關注。
最后,企業自身具有進行個人信息保護合規審計需求。《個人信息保護法》第六十九條確立了個人信息侵權糾紛中,個人信息處理者的“過錯推定”責任規則。個人信息保護合規審計可以作為個人信息處理者無過錯的有力證據,從而免除嚴苛的民事責任。此外,個人信息保護合規審計在一定程度上能夠有效的幫助企業避免行政處罰甚至刑事處罰。
4.企業如何進行個人信息保護合規審計?
目前,我國立法對于個人信息保護合規審計的審計要點沒有明確的規定。參考國外的成熟實踐(如英國信息專員辦公室發布的審計指南),筆者認為我國的個人信息保護審計的要點應當包括:
● 一般性或已知風險的個人信息保護事項;
● 個人信息保護政策與程序;
● 個人信息保護治理和問責制;
● 工作人員的個人信息保護培訓和意識;
● 個人信息的安全;
● 對于個人信息權利的要求;
● 個人信息共享;
● 個人信息管理記錄;
● 個人信息保護影響評估和風險管理。
對于強制審計活動的流程,可參見下圖。
相較監管機構發起的強制審計流程,個人信息處理者自發進行的合規審計在流程上可以參照強制審計并省略部分步驟,是以制度性的形成定期開展的個人數據保護合規審計的規范流程,從而更靈活便捷的適應日常的合規管理。
此外,個人信息保護合規審計在滿足審計活動開展的獨立性、保密性、客觀性和專業性等一般原則性要求的同時,監管機構發動強制審計還需滿足特定要求,即監管機構“發現個人信息處理活動存在較大風險或者發生個人信息安全事件”。如何認定風險和識別個人信息安全事件是這一制度適用的關鍵。
首先,是明確認定風險和識別安全事件的信息來源:
▼ 報告的違規行為;
▼ 個人信息處理者受到投訴的數量和性質;
▼ 個人信息處理者關于個人信息處理的聲明以及其他可公開獲得的信息;
▼ 商業情報;
▼ 其他相關的信息。
其次,是明確認定風險和識別安全事件的相關因素:
▼ 對于投訴的答復與合規“歷史”;
▼ 自我報告的違規行為以及確定的補救行動;
▼ 溝通過程中是否凸顯了對于個人信息保護的薄弱理解;
▼ 關于個人信息保護的內部控制聲明和/或其他信息以及內部或外部審計;
▼ 個人信息保護的投入和歷史;
▼ 在公眾擔心隱私可能受到威脅的情況下是否實施新的系統或程序;
▼ 正在處理的個人信息的數量和性質;
▼ 受認可的相關外部認證的證據;
▼ 任何潛在的不合規行為對個人信息保護的影響。
最后,根據獲得的信息結合相關因素的識別分析,監管機構將做出是否要求個人信息處理者接受強制審計的決定。
個人信息保護合規審計是持續保證企業遵守法律要求、協助企業應對監管調查,降低企業及員工因個人信息處理不合規引發處罰的風險的重要措施。由于目前我國立法對于個人信息保護合規審計的審計要點沒有較為明確的規定,因此在討論企業如何進行合規審計時,參考域外的立法經驗是不可或缺的。企業在參考域外的個人信息保護相關審計指南或指引時,也應根據自身情況對其中的具體操作流程予以調整。
400-700-1218
微信公眾號
公司微博
公安備案號:44030502000376