《个人信息保护合规审计管理办法》及指引的重点解读
2025-02-17
2025年2月14日,国家互联网信息办公室公布《个人信息保护合规审计管理办法》(以下简称“合规审计办法”),并将于2025年5月1日起施行。“合规审计办法”的出台,是落实《中华人民共和国个人信息保护法》《网络数据安全管理条例》中关于个人信息保护合规审计的具体举措,为开展个人信息保护合规审计的具体情形和方式方法等方面均提供了明确指引,对保护个人信息权益具有重要意义和作用。
如下图所示,“合规审计办法”对个人信息保护合规审计的主体、合规审计的方式、个人信息处理者和专业机构在合规审计中的义务等方面均作出具体规定。
▲图1为“合规审计办法”主要内容
我们将对“合规审计的依据”“合规审计的主体”“合规审计的实施”“合规审计的重点审查内容”以及“合规审计办法”对企业和机构个人信息保护合规指引的意义等重点内容进行分析。
一、个人信息保护合规审计的依据
根据“合规审计办法”第二条,个人信息保护合规审计是指对个人信息处理者的个人信息处理活动是否遵守法律、行政法规的情况进行审查和评价的监督活动。因此,个人信息保护合规审计的依据是法律及行政法规的规定,如《民法典》《个人信息保护法》《未成年保护法》《突发事件应对法》《网络安全法》《网络数据安全管理条例》《关键信息基础设施安全保护条例》等有关法律法规中关于个人信息保护的有关规定;个人信息保护合规审计的对象是个人信息处理活动,包括收集、使用、共享、存储等活动;个人信息保护合规审计的方式是进行审查和评价等。
目前,相关法律法规主要包括:
其中直接的法律依据是:
《个人信息保护法》第五十四条规定,个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。
第六十四条规定,履行个人信息保护职责的部门在履行职责中,发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,可以按照规定的权限和程序对该个人信息处理者的法定代表人或者主要负责人进行约谈,或者要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。
《网络数据安全管理条例》第二十七条规定,网络数据处理者应当定期自行或者委托专业机构对其处理个人信息遵守法律、行政法规的情况进行合规审计。
以上规定明确了个人信息保护合规审计的两种情形:
1、个人信息处理者自行开展合规审计;
2、按照履行个人信息保护职责的部门要求,委托专业机构开展合规审计。
二、个人信息保护合规审计的主体
“合规审计办法”中规定的进行个人信息保护合规审计的主体,是指个人信息处理者,根据“合规审计办法”的规定其中涉及的个人信息保护合规审计主体可以理解区分为两类:
1、需主动进行合规审计的个人信息处理者(即第四条的有关规定);
2、监管部门可以强制要求进行合规审计的个人信息处理者(即第五条的有关规定)。
▲图2为合规审计主体
需说明的是,本“合规审计办法”中所明确的主动进行个人信息保护合规审计的主体存在个人信息处理人数及审计频次两方面的要求;同时,要求进行审查的审查对象,就同一事项不得要求重复审查,以上规定平衡了监管强度与企业合规成本等方面。
三、个人信息保护合规审计的实施
“合规审计办法”对于个人信息保护合规审计的实施,从实施方式、相关主体义务、实施程序等方面要求进一步明确,为企业进一步提高了可操作性。
(一)合规审计的实施方式
“合规审计办法”与《网络数据安全管理条例》中对于合规审计的实施方式保持一致,即可以通过个人信息处理者内部机构或者委托专业机构两种方式进行审计。
但本“合规审计办法”具体明确了以下事项:
1、前文所述的强制审查的三类情形,监管机构可以要求委托专业机构进行合规审计。
2、对合规审计专业机构的要求,即应当具备开展个人信息保护合规审计的能力,有与服务相适应的审计人员、场所、设施和资金等。
因此,目前对于选择哪家专业机构并没有强制性要求,但明确规定了专业机构应当具备开展个人信息保护合规审计的能力,有与服务相适应的审计人员、场所、设施和资金等。结合“合规审计办法”第十二条对于提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当成立主要由外部成员组成的独立机构对个人信息保护合规审计情况进行监督的要求。同时根据规定中对于专业机构履职公正、客观的工作要求,可以理解就个人信息保护合规审计监管部门对于合规审计报告的客观性、中立性存在要求,在此建议符合条件的个人信息处理者建立相应的独立机构以及聘请专业能力突出、市场认可度较高的专业机构进行履职。
(二)合规审计主体的相应义务
“合规审计办法”对于个人信息处理者以及专业机构履职提出了相应的要求。
第一,明确了开展合规审计的个人信息处理者应当履行的义务:
1、保障合规审计进行:个人信息处理者应监管要求进行合规审计的,应当按要求选定专业机构,并为专业机构正常开展合规审计工作提供必要支持、承担审计费用,以及在限定时间内完成合规审计,报送合规审计报告并进行整改。
2、完善组织架构设计:处理100万人以上个人信息的个人信息处理者应当指定个人信息保护负责人,负责个人信息处理者的个人信息保护合规审计工作。
第二,明确了专业机构进行合规审计应当履行的义务:
1、中立客观:应当遵守法律法规,诚信正直,公正客观地作出合规审计职业判断。
2、严格保密:对在履行个人信息保护合规审计职责中获得的个人信息、商业秘密、保密商务信息等依法予以保密,不得泄露或者非法向他人提供,在合规审计工作结束后及时删除相关信息。
3、禁止规定:同一专业机构及其关联机构、同一合规审计负责人不得连续三次以上对同一审计对象开展个人信息保护合规审计。不得转委托其他机构开展个人信息保护合规审计。
基于上述规定,个人信息处理者应当完善相应的组织架构、保障合规审计的进行,选聘具备独立性、客观性、专业能力突出和严格履行保密责任的专业机构,以确保合规审计工作的有效性和合法性。
(三)合规审计的流程设计
企业进行个人信息保护合规审计的流程如下图所示:
▲图3为个人信息保护合规审计流程示意图
四、个人信息保护合规审计的审查重点
需指出“合规审计办法”中明确了个人信息保护合规审计的内容,个人信息处理者、专业机构应当依据法律法规要求及《个人信息保护合规审计指引》(以下简称“《指引》”)进行个人信息保护合规审计,个人信息保护合规审计的审查重点如下图所示:
▲图4为合规审计重点方面
根据《指引》的内容,可以区分为如图所示的3类情形、26种具体的审查情况要求,每一种审查情况项下《指引》明确了具体的需要合规审查的事项,企业和机构需结合自身业务情况、个人信息处理活动等情况,根据《指引》开展个人信息保护合规审计工作。
五、个人信息保护合规审计的意义
“合规审计办法”规定进行合规审计的主体为境内的个人信息处理者。因此相关企业依法依规进行个人信息合规审计,不仅是履行法律义务的要求,也是企业应对监管、规避风险、提升竞争力的重要举措。其意义体现在以下方面:
1、法律合规与风险防控的必然要求。通过个人信息保护合规审计,企业可系统性验证个人信息处理活动是否符合《个人信息保护法》《网络数据安全管理条例》等法律法规的要求,避免因未履行审计义务(如未定期审计、未委托专业机构等)导致的民事、行政或者刑事责任;通过个人信息保护合规审计,也能够识别企业现存问题,降低潜在的风险和隐患。
2、优化企业形象与促进商业合作的有效举措。通过合规审计,企业可树立良好的合规形象,增强用户与市场信心。在对外合作时,审计报告可作为其个人信息处理活动的合法性证明之一,增强合作伙伴的信任。在上市、融资等场景中,审计报告可以作为监管机构及投资者评估企业数据治理能力的重要依据。
3、合法履职和勤勉尽职的证明。若发生数据安全事件,现存的合规审计报告可作为企业已履行勤勉义务的证据。
综上,不论从保护个人信息权益的管理视角,还是企业合规发展方面,将个人信息保护合规审计纳入常态化管理,通过内部组织或聘请专业服务机构结合《指引》及时、有效地进行合规审计,不但能够强化对个人信息权益的安全保障,也是企业和机构更好地履行法定义务和监管要求、加强风险防控、保障企业和机构发展利益的重要体现。
本文作者:
声明:
本文由德恒律师事务所律师原创,仅代表作者本人观点,不得视为德恒律师事务所或其律师出具的正式法律意见或建议。如需转载或引用本文的任何内容,请注明出处。
