EN

专家解读 | 如何理解和落地个人信息保护法下的合规审计

发布时间:2021-10-29
浏览量: 2198

即将于11月1日生效的《个人信息保护法》第五十四条和第六十四条分别规定了个人信息处理者的定期合规审计义务以及监管机构的强制审计制度。此项要求是在立法层面针对个人信息处理者保护个人信息义务方面提出的新要求,如何理解、落实此项要求,如何将此项要求融入企业现有的个人信息保护合规框架中,是企业当前面临的问题。本文将围绕个人信息保护合规审计的定义、对此项义务要求的理解、企业需要进行合规审计的原因以及如何进行合规审计等几个方面做出评论。


1.个人信息保护合规审计是什么?

个人信息保护合规审计是以审查被审计主体的个人信息处理活动是否遵守我国相关的法律法规为目的进行的监督性审计。

从立法目的来看,目前我国的个人信息保护合规审计以自行审计为原则,以强制审计为补充。个人信息保护的合规审计是所有个人信息处理者的一项自律性义务,而监管机构只有在发现个人信息处理活动存在较大风险或者发生个人信息安全事件时,才要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。

《个人信息保护法》根据发动审计的主体不同,将个人信息保护合规审计分为个人信息处理者主动进行的“定期自行审计”和监管机构要求个人信息处理者委托专业机构进行的“强制审计”。

个人信息保护合规审计的主要目的是控制和避免企业及员工因处理个人信息不合规,引发法律责任、受到相关处罚、造成经济或声誉损失以及其他负面影响的可能性。


2.如何理解《个人信息保护法》下个人信息处理者定期进行合规审计的义务要求?

合法原则是《个人信息保护法》的一项基本原则,即个人信息处理者应当采取合法的方式处理个人信息。要确保个人信息处理活动符合法律要求,除了需要来自外界的他律,还需要企业的自律,即个人信息处理者自行采取技术措施、组织措施以及其他必要措施来确保个人信息处理活动符合法律、行政法规的规定。

我们认为,《个人信息保护法》第54条对个人信息处理者定期进行合规审计的规定,既是在强调法律的他律,也是强调个人信息处理者的自律,可以理解为立法者希望通过要求个人信息处理者定期核查自身对个人信息的处理是否符合法律规定的方式,来落实《个人信息保护法》下的合法原则。


3.企业为什么要进行个人信息保护合规审计?

首先,从立法层面上看,我国关于个人信息保护的法律法规、规范性文件以及部分国家标准都已确立了个人信息保护合规审计制度。具体规范包括但不限于:


◆《个人信息保护法》第五十四条、第六十四条;

◆《互联网个人信息安全保护指南》第4.3.2条;

◆《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)第8.1.7.2条;

◆《信息安全技术 个人信息安全规范》(GB/T 35273-2020)第11.7条。


其次,基于执法视角观察,企业在个人信息保护领域面临着多头监管的局面,需要同时面临国家网信部门、国务院有关部门以及县级以上地方人民政府有关部门的监管。个人信息保护合规审计有助于企业积极应对监管,适应多头监管与力度日益加强的日常监管。


从企业自身对法律的遵守角度来看,由于个人信息处理者的活动是持续的,保证个人信息处理活动的合法性也应当是一个持续的动态过程。随着业务形态的变化、技术的进步、法律要求的更新,某一阶段个人信息处理活动的合法并不意味着处理活动在任何时期都是合法的,定期的合规审计会使得个人信息处理者对自身处理活动的合法性进行持续的关注。


最后,企业自身具有进行个人信息保护合规审计需求。《个人信息保护法》第六十九条确立了个人信息侵权纠纷中,个人信息处理者的“过错推定”责任规则。个人信息保护合规审计可以作为个人信息处理者无过错的有力证据,从而免除严苛的民事责任。此外,个人信息保护合规审计在一定程度上能够有效的帮助企业避免行政处罚甚至刑事处罚。


4.企业如何进行个人信息保护合规审计?

目前,我国立法对于个人信息保护合规审计的审计要点没有明确的规定。参考国外的成熟实践(如英国信息专员办公室发布的审计指南),笔者认为我国的个人信息保护审计的要点应当包括:


●  一般性或已知风险的个人信息保护事项;

●  个人信息保护政策与程序;

●  个人信息保护治理和问责制;

●  工作人员的个人信息保护培训和意识;

●  个人信息的安全;

●  对于个人信息权利的要求;

●  个人信息共享;

●  个人信息管理记录;

●  个人信息保护影响评估和风险管理。


对于强制审计活动的流程,可参见下图。

微信图片_20211029165733.png

相较监管机构发起的强制审计流程,个人信息处理者自发进行的合规审计在流程上可以参照强制审计并省略部分步骤,是以制度性的形成定期开展的个人数据保护合规审计的规范流程,从而更灵活便捷的适应日常的合规管理。


此外,个人信息保护合规审计在满足审计活动开展的独立性、保密性、客观性和专业性等一般原则性要求的同时,监管机构发动强制审计还需满足特定要求,即监管机构“发现个人信息处理活动存在较大风险或者发生个人信息安全事件”。如何认定风险和识别个人信息安全事件是这一制度适用的关键。


首先,是明确认定风险和识别安全事件的信息来源:


▼ 报告的违规行为;

▼ 个人信息处理者受到投诉的数量和性质;

▼ 个人信息处理者关于个人信息处理的声明以及其他可公开获得的信息;

▼ 商业情报;

▼ 其他相关的信息。


其次,是明确认定风险和识别安全事件的相关因素:


▼ 对于投诉的答复与合规“历史”;

▼ 自我报告的违规行为以及确定的补救行动;

▼ 沟通过程中是否凸显了对于个人信息保护的薄弱理解;

▼ 关于个人信息保护的内部控制声明和/或其他信息以及内部或外部审计;

▼ 个人信息保护的投入和历史;

▼ 在公众担心隐私可能受到威胁的情况下是否实施新的系统或程序;

▼ 正在处理的个人信息的数量和性质;

▼ 受认可的相关外部认证的证据;

▼ 任何潜在的不合规行为对个人信息保护的影响。


最后,根据获得的信息结合相关因素的识别分析,监管机构将做出是否要求个人信息处理者接受强制审计的决定。


个人信息保护合规审计是持续保证企业遵守法律要求、协助企业应对监管调查,降低企业及员工因个人信息处理不合规引发处罚的风险的重要措施。由于目前我国立法对于个人信息保护合规审计的审计要点没有较为明确的规定,因此在讨论企业如何进行合规审计时,参考域外的立法经验是不可或缺的。企业在参考域外的个人信息保护相关审计指南或指引时,也应根据自身情况对其中的具体操作流程予以调整。


热点内容

开始试用任子行产品
申请试用

20年公安服务经验

7*24小时应急响应中心

自主知识产权的产品装备

专家级安防团队

网络空间数据治理专家

荣获国家科学技术二等奖

置顶
电话

400-700-1218

官方热线电话

咨询
留言
二维码
微信公众号
公司微博