个人信息保护合规审计实施要点探析(一)——审计启动及专业机构选任

2024-03-25

作者:胡俊、李纯、郭玉瑶、张畅然

2023年8月3日,国家互联网信息办公室(以下简称“国家网信办”)发布《个人信息保护合规审计管理办法(征求意见稿)》(以下简称“《征求意见稿》”)及附件《个人信息保护合规审计参考要点》(以下简称“《要点》”),以规范和引导我国企业开展个人信息保护合规审计活动。个人信息保护合规审计,作为一种监测机制,不仅是企业对自身个人信息处理行为的审慎自查,同时也成为国家机关监管个人信息保护的重要工具。本系列文章将结合我国当前的法规框架,梳理《征求意见稿》的要点,旨在揭示我国个人信息保护合规审计的法律脉络,以期为企业的合规审计工作提供思路。

一、审计的启动

《征求意见稿》第二至十一条规定了开展审计的具体要求,其中根据《征求意见稿》第二条,“个人信息处理者定期开展个人信息保护合规审计,或者按照履行个人信息保护职责的部门要求委托专业机构对其个人信息处理活动进行合规审计,以及对个人信息保护合规审计活动的监督管理适用本办法”。个人信息处理者在工作中可在以下两种情况下启动个人信息保护合规审计,一是做定期审计,即自主审计;二是在监管部门要求下委托专业机构进行审计,即外部强制审计,两者区别详见下表:

微信图片_20240527133348.png

值得注意的是,在合规审计的启动时间点上,目前法律并未具体规定企业应在何种情况下开展自主审计或外部强制审计。在自主审计的情形下,企业可参考《征求意见稿》规定的频率,在到达企业定期开展审计的计划时间节点时开展下一轮审计。除此之外,如企业存在拟申请上市、拟在境外设置分支机构、收到个人信息保护监管部门等的建议、存在被个人信息保护监管部门通报的风险、新发布个人信息保护准则可能导致合规风险、经常被用户投诉举报个人信息相关问题等情形下,企业也应就所涉及的具体业务场景进行合规审理。在外部强制审计的情形下,尚不明确何种情况下可能构成监管部门认为的“个人信息处理活动存在较大风险”,目前有观点倾向认为,如果个人信息处理者被个人信息保护监管部门调查、处罚或通报违规问题,出现重大个人信息保护问题舆情,个人信息处理行为被投诉,个人信息处理行为被公益诉讼等情况可能构成个人信息处理活动存在较大风险。

二、第三方审计机构的选任

1. 对专业机构的要求

企业自行开展个人信息保护合规审计的,可以由公司内部机构进行审计,或者委托专业机构进行审计。根据《征求意见稿》第十三条规定,国家相关监管部门将建立个人信息保护合规审计专业机构推荐目录,并每年评估专业机构、调整推荐目录。鼓励个人信息处理者优先选择推荐目录中的专业机构开展个人信息保护合规审计活动。并在第十二、十四条明确了针对审计的专业机构的相关要求:

l   保持独立性和客观性:连续为同一审计对象开展个人信息保护合规审计不得超过三次;

不得转包委托第三方;

l   信息安全义务:专业机构履行审计职责中获得的信息,只能用于审计需要,不得他用;对获得的信息承担保密责任;专业机构应当采取相应技术措施和其他必要措施,保障数据安全;不得恶意干扰个人信息处理者的正常经营活动;

l   不得有出具虚假、失实报告等违规行为:专业机构有出具虚假、失实报告等违规行为的,个人信息处理者及相关方可向履行个人信息保护职责的部门进行投诉,经履行个人信息保护职责的部门核实的,永久禁止列入个人信息保护合规审计专业机构推荐目录。

值得讨论的是,根据第十三条规定,《征求意见稿》仅鼓励并非强制选择推荐目录中的专业机构开展审计,即意味着企业也可选择推荐目录之外的机构开展审计。而根据第十四条规定,专业机构如有出具虚假、失实报告等违规行为,其将面临的处罚之一为永久禁止列入个人信息保护合规审计专业机构推荐目录,并非永久禁止进行合规审计。从而引申出一个问题,如果专业机构曾经有过违规行为,法律是否禁止其进行审计?此问题尚待法律法规或执法部门进一步明确。此外,目前通过公开途径检索,并未查询到公开的关于加入专业机构推荐目录的官方内容,何种类型的机构可以进行审计、入选推荐目录需要满足何种标准目前尚不明确。

2. 专业机构范围

《征求意见稿》中虽并未明确专业机构的类型,目前主流观点认为有多种性质的机构可以进行个人信息保护合规审计。

(1)律所:考虑到当前个人信息保护、数据安全、数据跨境、隐私保护、数据交易等诸多与信息、数据相关的规定均在评估合法性框架下作出,律所具备相应的法律专业知识储备和资质作出个人信息保护合规性的判断。

(2)审计机构:专业审计机构可能有在其他领域进行合规审计的项目经验,部分机构还拥有相应的专项审计资质,在进行个人信息保护合规审计时可提供更为成熟的审计服务。

(3)技术机构:随着数据、信息交易和保护规定的不断完善,将日益覆盖数据产业发展的各个角落,与行业内生的技术发展紧密相关。技术机构具有先天的技术优势,可以从技术原理层面对如突发性数据安全、隐私保护等问题协助进行具有说服力的评估。

(4)其他机构:除以上机构外,其他如会计师事务所、认证机构等也可能成为可以提供个人信息保护合规审计服务的专业机构。

以上是我们针对企业启动个人信息保护合规审计和选任第三方专业机构的分析,下期我们将对企业开展个人信息保护合规审计的对象、方法、流程及要点等深入分析总结,敬请关注。


特别声明

本文仅供参考,不构成律师的正式意见,不应被看作是采取任何法律行动或进行法律决策的依据。文中所述仅代表作者个人观点,并不反映作者所服务的任何机构或客户的立场。

相关人士

专业领域