行業(yè)新聞
即將于11月1日生效的《個人信息保護法》第五十四條和第六十四條分別規(guī)定了個人信息處理者的定期合規(guī)審計義務以及監(jiān)管機構的強制審計制度。此項要求是在立法層面針對個人信息處理者保護個人信息義務方面提出的新要求,如何理解、落實此項要求,如何將此項要求融入企業(yè)現(xiàn)有的個人信息保護合規(guī)框架中,是企業(yè)當前面臨的問題。本文將圍繞個人信息保護合規(guī)審計的定義、對此項義務要求的理解、企業(yè)需要進行合規(guī)審計的原因以及如何進行合規(guī)審計等幾個方面做出評論。
1.個人信息保護合規(guī)審計是什么?
個人信息保護合規(guī)審計是以審查被審計主體的個人信息處理活動是否遵守我國相關的法律法規(guī)為目的進行的監(jiān)督性審計。
從立法目的來看,目前我國的個人信息保護合規(guī)審計以自行審計為原則,以強制審計為補充。個人信息保護的合規(guī)審計是所有個人信息處理者的一項自律性義務,而監(jiān)管機構只有在發(fā)現(xiàn)個人信息處理活動存在較大風險或者發(fā)生個人信息安全事件時,才要求個人信息處理者委托專業(yè)機構對其個人信息處理活動進行合規(guī)審計。
《個人信息保護法》根據(jù)發(fā)動審計的主體不同,將個人信息保護合規(guī)審計分為個人信息處理者主動進行的“定期自行審計”和監(jiān)管機構要求個人信息處理者委托專業(yè)機構進行的“強制審計”。
個人信息保護合規(guī)審計的主要目的是控制和避免企業(yè)及員工因處理個人信息不合規(guī),引發(fā)法律責任、受到相關處罰、造成經(jīng)濟或聲譽損失以及其他負面影響的可能性。
2.如何理解《個人信息保護法》下個人信息處理者定期進行合規(guī)審計的義務要求?
合法原則是《個人信息保護法》的一項基本原則,即個人信息處理者應當采取合法的方式處理個人信息。要確保個人信息處理活動符合法律要求,除了需要來自外界的他律,還需要企業(yè)的自律,即個人信息處理者自行采取技術措施、組織措施以及其他必要措施來確保個人信息處理活動符合法律、行政法規(guī)的規(guī)定。
我們認為,《個人信息保護法》第54條對個人信息處理者定期進行合規(guī)審計的規(guī)定,既是在強調法律的他律,也是強調個人信息處理者的自律,可以理解為立法者希望通過要求個人信息處理者定期核查自身對個人信息的處理是否符合法律規(guī)定的方式,來落實《個人信息保護法》下的合法原則。
3.企業(yè)為什么要進行個人信息保護合規(guī)審計?
首先,從立法層面上看,我國關于個人信息保護的法律法規(guī)、規(guī)范性文件以及部分國家標準都已確立了個人信息保護合規(guī)審計制度。具體規(guī)范包括但不限于:
◆《個人信息保護法》第五十四條、第六十四條;
◆《互聯(lián)網(wǎng)個人信息安全保護指南》第4.3.2條;
◆《信息安全技術 網(wǎng)絡安全等級保護基本要求》(GB/T 22239-2019)第8.1.7.2條;
◆《信息安全技術 個人信息安全規(guī)范》(GB/T 35273-2020)第11.7條。
其次,基于執(zhí)法視角觀察,企業(yè)在個人信息保護領域面臨著多頭監(jiān)管的局面,需要同時面臨國家網(wǎng)信部門、國務院有關部門以及縣級以上地方人民政府有關部門的監(jiān)管。個人信息保護合規(guī)審計有助于企業(yè)積極應對監(jiān)管,適應多頭監(jiān)管與力度日益加強的日常監(jiān)管。
從企業(yè)自身對法律的遵守角度來看,由于個人信息處理者的活動是持續(xù)的,保證個人信息處理活動的合法性也應當是一個持續(xù)的動態(tài)過程。隨著業(yè)務形態(tài)的變化、技術的進步、法律要求的更新,某一階段個人信息處理活動的合法并不意味著處理活動在任何時期都是合法的,定期的合規(guī)審計會使得個人信息處理者對自身處理活動的合法性進行持續(xù)的關注。
最后,企業(yè)自身具有進行個人信息保護合規(guī)審計需求?!秱€人信息保護法》第六十九條確立了個人信息侵權糾紛中,個人信息處理者的“過錯推定”責任規(guī)則。個人信息保護合規(guī)審計可以作為個人信息處理者無過錯的有力證據(jù),從而免除嚴苛的民事責任。此外,個人信息保護合規(guī)審計在一定程度上能夠有效的幫助企業(yè)避免行政處罰甚至刑事處罰。
4.企業(yè)如何進行個人信息保護合規(guī)審計?
目前,我國立法對于個人信息保護合規(guī)審計的審計要點沒有明確的規(guī)定。參考國外的成熟實踐(如英國信息專員辦公室發(fā)布的審計指南),筆者認為我國的個人信息保護審計的要點應當包括:
● 一般性或已知風險的個人信息保護事項;
● 個人信息保護政策與程序;
● 個人信息保護治理和問責制;
● 工作人員的個人信息保護培訓和意識;
● 個人信息的安全;
● 對于個人信息權利的要求;
● 個人信息共享;
● 個人信息管理記錄;
● 個人信息保護影響評估和風險管理。
對于強制審計活動的流程,可參見下圖。
相較監(jiān)管機構發(fā)起的強制審計流程,個人信息處理者自發(fā)進行的合規(guī)審計在流程上可以參照強制審計并省略部分步驟,是以制度性的形成定期開展的個人數(shù)據(jù)保護合規(guī)審計的規(guī)范流程,從而更靈活便捷的適應日常的合規(guī)管理。
此外,個人信息保護合規(guī)審計在滿足審計活動開展的獨立性、保密性、客觀性和專業(yè)性等一般原則性要求的同時,監(jiān)管機構發(fā)動強制審計還需滿足特定要求,即監(jiān)管機構“發(fā)現(xiàn)個人信息處理活動存在較大風險或者發(fā)生個人信息安全事件”。如何認定風險和識別個人信息安全事件是這一制度適用的關鍵。
首先,是明確認定風險和識別安全事件的信息來源:
▼ 報告的違規(guī)行為;
▼ 個人信息處理者受到投訴的數(shù)量和性質;
▼ 個人信息處理者關于個人信息處理的聲明以及其他可公開獲得的信息;
▼ 商業(yè)情報;
▼ 其他相關的信息。
其次,是明確認定風險和識別安全事件的相關因素:
▼ 對于投訴的答復與合規(guī)“歷史”;
▼ 自我報告的違規(guī)行為以及確定的補救行動;
▼ 溝通過程中是否凸顯了對于個人信息保護的薄弱理解;
▼ 關于個人信息保護的內部控制聲明和/或其他信息以及內部或外部審計;
▼ 個人信息保護的投入和歷史;
▼ 在公眾擔心隱私可能受到威脅的情況下是否實施新的系統(tǒng)或程序;
▼ 正在處理的個人信息的數(shù)量和性質;
▼ 受認可的相關外部認證的證據(jù);
▼ 任何潛在的不合規(guī)行為對個人信息保護的影響。
最后,根據(jù)獲得的信息結合相關因素的識別分析,監(jiān)管機構將做出是否要求個人信息處理者接受強制審計的決定。
個人信息保護合規(guī)審計是持續(xù)保證企業(yè)遵守法律要求、協(xié)助企業(yè)應對監(jiān)管調查,降低企業(yè)及員工因個人信息處理不合規(guī)引發(fā)處罰的風險的重要措施。由于目前我國立法對于個人信息保護合規(guī)審計的審計要點沒有較為明確的規(guī)定,因此在討論企業(yè)如何進行合規(guī)審計時,參考域外的立法經(jīng)驗是不可或缺的。企業(yè)在參考域外的個人信息保護相關審計指南或指引時,也應根據(jù)自身情況對其中的具體操作流程予以調整。