2023年8月3日,国家互联网信息办公室(国家网信办)发布了《个人信息保护合规审计管理办法》(征求意见稿)下称(“《管理办法》”),并同时发布了《个人信息保护合规审计参考要点》(下称“《参考要点》”),拟对《个保法》五十四条、六十四条的进一步落地提供更为详细的指导措施。
一:个保审计是什么
根据《管理办法》第三条描述:根据是指对个人信息处理者的个人信息处理活动是否遵守法律、行政法规的情况进行审查和评价的监督活动。
在笔者看来,《管理办法》是《个保法》在有关审计工作的五十四条、六十四条基础上,增加进一步的落地指南,目的在于通过明确审计义务的方式,以更加清晰的细则来要求个人信息处理者落实合规审计工作,以达到提高个人信息处理活动合规水平,保护个人信息权益的目的。
二:在什么情况下需要开展个保审计
首先需要区分两种概念,分别是“定期合规审计”以及“专项合规审计”
- 定期合规审计:所有个人信息处理者都需要遵循开展,根据处理的个人信息规模分为以下2种情况
个人处理者规模 |
《管理办法》要求的审计频率 |
开展方式 |
---|---|---|
处理个人信息规模超过100万 |
每年至少开展一次 |
组织内部开展/委托第三方开展 |
其他 |
每二年至少开展一次 |
组织内部开展/委托第三方开展 |
- 专项合规审计:履行个人信息保护职责的部门在履行职责中,发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,可以要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。
这里的“履行个人信息保护职责的部门”可以参照《个保法》第六十条两款规定,即:
国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。国务院有关部门依照本法和有关法律、行政法规的规定,在各自职责范围内负责个人信息保护和监督管理工作。
县级以上地方人民政府有关部门的个人信息保护和监督管理职责,按照国家有关规定确定。
前两款规定的部门统称为履行个人信息保护职责的部门。
三:开展专项合规审计需要注意什么
相较于定期合规审计,本次《管理办法》对于专项合规审计的要求更为细致,以下是笔者梳理出个人信息处理者需要特别注意的几点事项:
什么时候开始审计
第七条 个人信息处理者按照履行个人信息保护职责的部门要求开展个人信息保护合规审计的,应当在收到通知后 尽快按照要求选定专业机构进行个人信息保护合规审计
这里需要注意的是,《管理办法》 并未详细要求接到通知后多少日内一定要选定专业机构开展审计工作,只用了“尽快”这一描述,并且需要“按照要求”,那么就代表着要么这一时限会在正式办法出台时进行详细约束,要么会在执行过程中,将期限的控制权交由具体的“履行个人信息保护职责的部门”。
什么时候需要完成审计
第九条 个人信息处理者按照履行个人信息保护职责部门要求委托专业机构开展个人信息保护合规审计的,应当在 90个工作日内完成个人信息保护合规审计;情况复杂的,报经履行个人信息保护职责的部门 批准后可适当延长。
此条明确约定了第三方审计工作需要在90天内完成,但“报经履行个人信息保护职责的部门批准后可适当延长”的描述,也体现了《管理办法》的灵活性。在笔者看来,本条同样将审计完成的期限约束权力下放至履行个人信息保护职责的部门,结合第七条的类似权利下放描述,在启动专项合规审计时,特别需要注意的是与相关部门保持密切沟通,以争取更多时间来更好配合完成审批工作
审计过程中的配合工作
第八条 个人信息处理者按照履行个人信息保护职责的部门要求委托专业机构开展个人信息保护合规审计的,应当保证专业机构能够正常行使下列权限:
(一)要求提供或者协助查阅相关文件或资料;
(二)进入个人信息处理活动相关场所;
(三)观察场所内发生的个人信息处理活动;
(四)调查相关业务活动及所依赖的信息系统;
(五)检查、测试个人信息处理活动相关设备设施;
(六)调取、查阅个人信息处理活动相关数据或信息;
(七)访谈与个人信息处理活动有关的人员;
(八)就相关问题进行调查、质询和取证;
(九)其他开展合规审计工作所必需的权限。
本条看似是对审计过程中的个人信息处理者配合义务的描述,实际上也是间接给出了审计的主要方式,那么企业可以按照以下几项重点进行准备:
1、历史的数据处理活动清单、PIA评估报告以及相关记录
2、系统清单、设备设施清单
3、企业组织架构、个人信息保护相关制度,并配合进行人员约谈
4、提供系统的操作权限、系统数据的查看权限
审计结果的报送及整改
第十条 个人信息处理者按照履行个人信息保护职责部门要求委托专业机构开展个人信息保护合规审计的,应当按照本办法要求组织实施个人信息保护合规审计,在实施必要合规审计程序后,及时将专业机构出具的个人信息保护合规审计报告报送履行个人信息保护职责的部门。个人信息保护合规审计报告应当由 合规审计负责人、 专业机构负责人签字并 加盖专业机构公章