数据安全解码:个人信息保护合规审计新规要点六问六答
2025-02-18
一问:什么情形下应当开展个人信息保护合规审计?
二问:哪些主体可以开展个人信息保护合规审计?
三问:个人信息保护合规审计的流程是什么?
四问:个人信息保护合规审计的主要内容是什么?
五问:个人信息保护合规审计对专业机构有何要求?
六问:哪些企业应当重点关注个人信息保护合规审计?
2月14日,国家互联网信息办公室正式发布《个人信息保护合规审计管理办法》(简称《管理办法》)并自今年5月1日起正式实施。《管理办法》是自《网络数据安全管理条例》今年1月1日生效以来,数据安全领域又一重要新规。笔者预期《管理办法》的实施将对个人信息保护、律师执业规范、法律服务市场拓展等方面都将带来重要影响,本文将结合《管理办法》主要内容,就个人信息保护合规审计新规涉及的六个核心问题以问答的形式进行解读。
一问:什么情形下应当开展个人信息保护合规审计?
概括来说,在如下两种情形下,需要开展个人信息保护审计:(一)达到法定(1000万人)个人信息处理规模(简称“法定规模情形”),且应当每两年至少开展一次;(二)发生风险事件情形,根据国家网信部门和其他履行个人信息保护职责的部门的要求进行(简称“风险事件情形”)。 风险事件情形具体包括:1、发现个人信息处理活动存在严重影响个人权益或者严重缺乏安全措施等较大风险的;2、个人信息处理活动可能侵害众多个人的权益的;3、发生个人信息安全事件,导致100万人以上个人信息或者10万人以上敏感个人信息泄露、篡改、丢失、毁损的。
二问:哪些主题可以开展个人信息保护合规审计?
个人信息处理者可以由其内部机构或者委托专业机构定期自行开展个人信息保护合规审计,在“风险事件情形”下,相关政府部门可以委托专业机构对个人信息处理活动进行合规审计。也就是说,开展个人信息保护合规审计无外乎个人信息处理者内部机构、外部专业机构两类。而对于“专业机构”具体是什么类型或性质的机构,《管理办法》并未明确。
参考清华大学牵头起草的《信息安全技术个人信息保护合规审计指南》(草稿)第5.2节个人信息保护合规审计机构,个人信息保护合规审计机构宜从以下组织中选任:1、依法设立的律师事务所;2、依法设立的会计师事务所;3、依法设立的认证机构;4、依法设立的审计机构;5、具备5名以上个人信息合规审计人员的法人组织。尽管该草稿未作为国家标准的官网征求意见稿,但也对实践的开展具有一定指导意义。
笔者注意到全国网络安全标准化技术委员会发布的国家标准《数据安全技术 个人信息保护合规审计要求》(征求意见稿)(简称《合规审计要求》)并未述及个人信息保护合规审计机构组织的类型和性质,但就专业机构的权限及审计人员要求做了规定。笔者认为,从合规审计的内容要求看,个人信息保护合规审计需要在掌握相关法律法规的基础上、运用专业知识和科学方法进行大量法律判断在内的专业判断,律师在从事合规审计工作方面具有巨大优势,未来可期在个人信息保护合规审计领域贡献专业力量。
三问:个人信息保护合规审计的流程是什么?
《管理办法》并未涉及个人信息保护合规审计流程,参考《合规审计要求》(征求意见稿),个人信息保护合规审计流程包含审计准备、审计实施、报告撰写、跟踪整改、归档管理5个主要阶段,就具体步骤及内容笔者梳理如下:
四问:个人信息保护合规审计的主要内容是什么?
《管理办法》以附件《个人信息保护合规审计指引》(简称《审计指引》)形式就个人信息保护合规审计的主要内容进行了明确。相比于《管理办法》(征求意见稿)所附《个人信息保护合规审计参考要点》(简称《参考要点》),《审计指引》在内容全面性、操作规范性及要求严格性方面都优于《参考要点》。《审计指引》从个人信息处理活动的合法性基础、处理规则、履行告知义务等26个方面具体列明了进行合规审计的重点审查事项,具有很强的操作性和明确的指导性,在个人信息保护合规审计实务开展中将为内部机构和外部专业机构提供实施指引。笔者认为,就律师从事个人信息保护合规审计工作,未来律师行业协会或律师事务所自身均可进一步出台针对性的律师执业规范指引或管理制度,以进一步指导并规范律师在该领域的执业行为,提高法律服务质量,防范执业风险。
五问:个人信息保护合规审计对专业机构有何要求?
根据《管理办法》,专业机构应当具备开展个人信息保护合规审计的能力,有与服务相适应的审计人员、场所、设施和资金等,并鼓励相关专业机构通过认证。随着《管理办法》的落地实施,我们也期待看到更多专业机构能够在《中华人民共和国认证认可条例》框架下完成认证。有意拓展合规审计业务的市场机构也应提前加强相关新规的学习培训并在人员、场所、设施等方面做好准备。并且,《管理办法》要求专业机构不得转委托其他机构开展个人信息保护合规审计,也就更加强化专业机构自身能力的要求,杜绝“转包”等违规行为。
另外,《管理办法》要求专业机构在从事个人信息保护合规审计活动时,应当遵守法律法规,诚信正直,公正客观地作出合规审计专业判断,对在履行个人信息保护合规审计职责中获得的个人信息、商业秘密、保密商务信息等应当依法予以保密,不得泄露或者非法向他人提供,在合规审计工作结束后及时删除相关信息。这也要求专业机构需要加强自身的执业能力、风控能力建设,在《管理办法》落地初期,不排除良莠不齐的市场机构为抢占市场开拓机会形成不良竞争,但在长期的市场竞争中,执业规范、风控严格、口碑优良的专业机构会突显自身专业和品牌实力。
六问:哪些企业应当重点关注个人信息保护合规审计?
《管理办法》本身对哪些具体行业涉及个人信息保护合规审计并未做出明确规定,根据国家标准《数据安全技术个人信息保护合规审计要求》[1]应用首批36家试点单位的行业分布可以一窥个人信息保护合规审计涉及的重点行业和领域,具体包括互联网、金融、交通、医疗、电信。[2]除此之外,笔者认为在线教育(涉及大量未成年人信息)、物流与零售、智能设备与物联网也将是未来个人信息保护合规审计的重点行业。并且,随着新兴行业领域、新型业务模式的不断涌现,个人信息保护合规审计涉及的行业预期将不断扩展。
结语
《管理办法》的发布标志着我国在个人信息保护与数据安全治理领域迈出了重要一步。新规通过明确审计情形、细化行业要求、规范专业机构资质及流程,为企业提供了清晰的合规指引,也为法律服务市场开辟了新的发展空间。面对日益严格的监管环境,相关企业(尤其是互联网等重点行业企业)需主动适应合规要求,定期开展审计以规避法律风险,而专业机构则应强化能力建设,在竞争中树立专业标杆。未来,随着技术迭代与业务创新,个人信息保护合规审计的重要性将愈发凸显,唯有持续完善合规体系、坚守合规底线,方能在数字化浪潮中行稳致远。德恒律师也将持续关注并解析个人信息保护与数据安全治理领域的新规动态。
参考文献:
[1]根据全国网络安全标准化技术委员会2024年7月12日发布的《关于国家标准<数据安全技术个人信息保护合规审计要求>征求意见稿征求意见的通知》
[2]根据全国网络安全标准化技术委员会官网2024年11月19日发布的新闻动态《国家标准<数据安全技术 个人信息保护合规审计要求>试点启动会在京召开》(链接:https://www.tc260.org.cn/front/postDetail.html?id=20241119102056)
本文作者:
声明:
本文由德恒律师事务所律师原创,仅代表作者本人观点,不得视为德恒律师事务所或其律师出具的正式法律意见或建议。如需转载或引用本文的任何内容,请注明出处。
