行業(yè)新聞
即將于11月1日生效的《個人信息保護(hù)法》第五十四條和第六十四條分別規(guī)定了個人信息處理者的定期合規(guī)審計義務(wù)以及監(jiān)管機(jī)構(gòu)的強(qiáng)制審計制度。此項要求是在立法層面針對個人信息處理者保護(hù)個人信息義務(wù)方面提出的新要求,如何理解、落實此項要求,如何將此項要求融入企業(yè)現(xiàn)有的個人信息保護(hù)合規(guī)框架中,是企業(yè)當(dāng)前面臨的問題。本文將圍繞個人信息保護(hù)合規(guī)審計的定義、對此項義務(wù)要求的理解、企業(yè)需要進(jìn)行合規(guī)審計的原因以及如何進(jìn)行合規(guī)審計等幾個方面做出評論。
1.個人信息保護(hù)合規(guī)審計是什么?
個人信息保護(hù)合規(guī)審計是以審查被審計主體的個人信息處理活動是否遵守我國相關(guān)的法律法規(guī)為目的進(jìn)行的監(jiān)督性審計。
從立法目的來看,目前我國的個人信息保護(hù)合規(guī)審計以自行審計為原則,以強(qiáng)制審計為補(bǔ)充。個人信息保護(hù)的合規(guī)審計是所有個人信息處理者的一項自律性義務(wù),而監(jiān)管機(jī)構(gòu)只有在發(fā)現(xiàn)個人信息處理活動存在較大風(fēng)險或者發(fā)生個人信息安全事件時,才要求個人信息處理者委托專業(yè)機(jī)構(gòu)對其個人信息處理活動進(jìn)行合規(guī)審計。
《個人信息保護(hù)法》根據(jù)發(fā)動審計的主體不同,將個人信息保護(hù)合規(guī)審計分為個人信息處理者主動進(jìn)行的“定期自行審計”和監(jiān)管機(jī)構(gòu)要求個人信息處理者委托專業(yè)機(jī)構(gòu)進(jìn)行的“強(qiáng)制審計”。
個人信息保護(hù)合規(guī)審計的主要目的是控制和避免企業(yè)及員工因處理個人信息不合規(guī),引發(fā)法律責(zé)任、受到相關(guān)處罰、造成經(jīng)濟(jì)或聲譽(yù)損失以及其他負(fù)面影響的可能性。
2.如何理解《個人信息保護(hù)法》下個人信息處理者定期進(jìn)行合規(guī)審計的義務(wù)要求?
合法原則是《個人信息保護(hù)法》的一項基本原則,即個人信息處理者應(yīng)當(dāng)采取合法的方式處理個人信息。要確保個人信息處理活動符合法律要求,除了需要來自外界的他律,還需要企業(yè)的自律,即個人信息處理者自行采取技術(shù)措施、組織措施以及其他必要措施來確保個人信息處理活動符合法律、行政法規(guī)的規(guī)定。
我們認(rèn)為,《個人信息保護(hù)法》第54條對個人信息處理者定期進(jìn)行合規(guī)審計的規(guī)定,既是在強(qiáng)調(diào)法律的他律,也是強(qiáng)調(diào)個人信息處理者的自律,可以理解為立法者希望通過要求個人信息處理者定期核查自身對個人信息的處理是否符合法律規(guī)定的方式,來落實《個人信息保護(hù)法》下的合法原則。
3.企業(yè)為什么要進(jìn)行個人信息保護(hù)合規(guī)審計?
首先,從立法層面上看,我國關(guān)于個人信息保護(hù)的法律法規(guī)、規(guī)范性文件以及部分國家標(biāo)準(zhǔn)都已確立了個人信息保護(hù)合規(guī)審計制度。具體規(guī)范包括但不限于:
◆《個人信息保護(hù)法》第五十四條、第六十四條;
◆《互聯(lián)網(wǎng)個人信息安全保護(hù)指南》第4.3.2條;
◆《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求》(GB/T 22239-2019)第8.1.7.2條;
◆《信息安全技術(shù) 個人信息安全規(guī)范》(GB/T 35273-2020)第11.7條。
其次,基于執(zhí)法視角觀察,企業(yè)在個人信息保護(hù)領(lǐng)域面臨著多頭監(jiān)管的局面,需要同時面臨國家網(wǎng)信部門、國務(wù)院有關(guān)部門以及縣級以上地方人民政府有關(guān)部門的監(jiān)管。個人信息保護(hù)合規(guī)審計有助于企業(yè)積極應(yīng)對監(jiān)管,適應(yīng)多頭監(jiān)管與力度日益加強(qiáng)的日常監(jiān)管。
從企業(yè)自身對法律的遵守角度來看,由于個人信息處理者的活動是持續(xù)的,保證個人信息處理活動的合法性也應(yīng)當(dāng)是一個持續(xù)的動態(tài)過程。隨著業(yè)務(wù)形態(tài)的變化、技術(shù)的進(jìn)步、法律要求的更新,某一階段個人信息處理活動的合法并不意味著處理活動在任何時期都是合法的,定期的合規(guī)審計會使得個人信息處理者對自身處理活動的合法性進(jìn)行持續(xù)的關(guān)注。
最后,企業(yè)自身具有進(jìn)行個人信息保護(hù)合規(guī)審計需求。《個人信息保護(hù)法》第六十九條確立了個人信息侵權(quán)糾紛中,個人信息處理者的“過錯推定”責(zé)任規(guī)則。個人信息保護(hù)合規(guī)審計可以作為個人信息處理者無過錯的有力證據(jù),從而免除嚴(yán)苛的民事責(zé)任。此外,個人信息保護(hù)合規(guī)審計在一定程度上能夠有效的幫助企業(yè)避免行政處罰甚至刑事處罰。
4.企業(yè)如何進(jìn)行個人信息保護(hù)合規(guī)審計?
目前,我國立法對于個人信息保護(hù)合規(guī)審計的審計要點沒有明確的規(guī)定。參考國外的成熟實踐(如英國信息專員辦公室發(fā)布的審計指南),筆者認(rèn)為我國的個人信息保護(hù)審計的要點應(yīng)當(dāng)包括:
● 一般性或已知風(fēng)險的個人信息保護(hù)事項;
● 個人信息保護(hù)政策與程序;
● 個人信息保護(hù)治理和問責(zé)制;
● 工作人員的個人信息保護(hù)培訓(xùn)和意識;
● 個人信息的安全;
● 對于個人信息權(quán)利的要求;
● 個人信息共享;
● 個人信息管理記錄;
● 個人信息保護(hù)影響評估和風(fēng)險管理。
對于強(qiáng)制審計活動的流程,可參見下圖。
相較監(jiān)管機(jī)構(gòu)發(fā)起的強(qiáng)制審計流程,個人信息處理者自發(fā)進(jìn)行的合規(guī)審計在流程上可以參照強(qiáng)制審計并省略部分步驟,是以制度性的形成定期開展的個人數(shù)據(jù)保護(hù)合規(guī)審計的規(guī)范流程,從而更靈活便捷的適應(yīng)日常的合規(guī)管理。
此外,個人信息保護(hù)合規(guī)審計在滿足審計活動開展的獨立性、保密性、客觀性和專業(yè)性等一般原則性要求的同時,監(jiān)管機(jī)構(gòu)發(fā)動強(qiáng)制審計還需滿足特定要求,即監(jiān)管機(jī)構(gòu)“發(fā)現(xiàn)個人信息處理活動存在較大風(fēng)險或者發(fā)生個人信息安全事件”。如何認(rèn)定風(fēng)險和識別個人信息安全事件是這一制度適用的關(guān)鍵。
首先,是明確認(rèn)定風(fēng)險和識別安全事件的信息來源:
▼ 報告的違規(guī)行為;
▼ 個人信息處理者受到投訴的數(shù)量和性質(zhì);
▼ 個人信息處理者關(guān)于個人信息處理的聲明以及其他可公開獲得的信息;
▼ 商業(yè)情報;
▼ 其他相關(guān)的信息。
其次,是明確認(rèn)定風(fēng)險和識別安全事件的相關(guān)因素:
▼ 對于投訴的答復(fù)與合規(guī)“歷史”;
▼ 自我報告的違規(guī)行為以及確定的補(bǔ)救行動;
▼ 溝通過程中是否凸顯了對于個人信息保護(hù)的薄弱理解;
▼ 關(guān)于個人信息保護(hù)的內(nèi)部控制聲明和/或其他信息以及內(nèi)部或外部審計;
▼ 個人信息保護(hù)的投入和歷史;
▼ 在公眾擔(dān)心隱私可能受到威脅的情況下是否實施新的系統(tǒng)或程序;
▼ 正在處理的個人信息的數(shù)量和性質(zhì);
▼ 受認(rèn)可的相關(guān)外部認(rèn)證的證據(jù);
▼ 任何潛在的不合規(guī)行為對個人信息保護(hù)的影響。
最后,根據(jù)獲得的信息結(jié)合相關(guān)因素的識別分析,監(jiān)管機(jī)構(gòu)將做出是否要求個人信息處理者接受強(qiáng)制審計的決定。
個人信息保護(hù)合規(guī)審計是持續(xù)保證企業(yè)遵守法律要求、協(xié)助企業(yè)應(yīng)對監(jiān)管調(diào)查,降低企業(yè)及員工因個人信息處理不合規(guī)引發(fā)處罰的風(fēng)險的重要措施。由于目前我國立法對于個人信息保護(hù)合規(guī)審計的審計要點沒有較為明確的規(guī)定,因此在討論企業(yè)如何進(jìn)行合規(guī)審計時,參考域外的立法經(jīng)驗是不可或缺的。企業(yè)在參考域外的個人信息保護(hù)相關(guān)審計指南或指引時,也應(yīng)根據(jù)自身情況對其中的具體操作流程予以調(diào)整。