2025年2月14日国家网信办正式公布《个人信息保护合规审计管理办法》(下称“《个保审计办法》”),新规于2025年5月1日起生效施行,填补了国家在个人信息保护审计落地方面的立法空白。
我们将《个保审计办法》的要点梳理如下:
《个人信息保护法》(下称“《个保法》”)规定了个人信息处理者自主审计(第54条)与监管审计(第64条)两种情形,分别要求个人信息处理者自行开展合规审计且在个人信息处理活动存在较大风险或者发生安全事件时,按照监管部门的要求委托专业机构开展审计。《网络数据安全管理条例》(下称“网数条例”)亦规定了对网络数据处理者遵守法律、行政法规的情况进行合规审计要求。
过去实践中,企业一般通过个人信息保护影响评估的方式对其个人信息处理活动进行盘点及合规评价,虽然个人信息保护合规审计(下称“个保审计”)是《个保法》早已确立的法定义务,但由于落地规则的缺失使得企业苦无抓手。《个保审计办法》的出台,对《个保法》的相关要求进行了细化,将成为在中国境内开展个人保审计的重要规范与指引。
《个保审计办法》规定了两种审计情形,与《个保法》规定保持一致:
自主审计的要求不因个人信息处理者处理个人信息的数量和规模差异而有所不同。只要在中国境内作为个人信息处理者处理个人信息,即有义务由其内部机构或者委托外部专业机构进行个保审计。委托处理的情形中受托处理者本身并无开展个保审计的义务,但《个保审计办法》规定了委托处理的审查要点,因此我们预期个人信息处理者未来会细化并加强数据处理协议中的审计条款。
网信办和其他履行个人信息保护职责的监管部门(如通信管理局、公安部门和行业主管机关)在发现个人信息处理者存在较大风险或已发生个人信息安全事件的情况下,有权要求其委托专业机构进行个保审计。个人信息处理者在选定审计机构、出具审计报告、问题整改与出具整改报告等各环节均受监管机构的指导与监督。
其中,较大风险是指“个人信息处理活动存在严重影响个人权益或者严重缺乏安全措施等较大风险”和“个人信息处理活动可能侵害众多个人的权益的”的情况。该等触发条件不以产生具体的侵权事实或者个人信息处理者知悉该等侵权事实为前提。值得注意的是,《个保法》就“对个人权益有重大影响的个人信息处理活动”亦规定了事前开展个人信息保护影响评估的要求。
另外,针对个人信息安全事件(即发生个人信息泄露、篡改、丢失或毁损),监管审计的触发门槛为涉及100万人以上个人信息或者10万人以上敏感个人信息。
值得注意的是个人信息安全事件中个人信息处理者负有向监管机关报告的法定义务,可能会成为地方网信办等机关启动监管审计执法的抓手。《个保法》本身并未对个人信息安全事件的报告义务设置数量门槛限制。而根据国家网信办2023年公布的《网络安全事件报告管理办法(征求意见稿)》,泄露100万人以上个人信息构成“较大网络安全事件”,运营者应当在1小时内向监管机构报告。因此,当个人信息处理者按规定开展个人信息安全事件/网络安全事件响应工作时,应考虑主动通过数据审查(data review)的方式明晰事件涉及的数据类型与数量,预判监管审计启动的风险,缓解和避免后续监管行动带来的时限压力。
《个保审计办法》亦规定了组织与个人对个保审计违法活动的投诉权与举报权,这与《个保法》相关条款(第65条)相一致。在个保审计的语境中,企业应合法合规开展自主审计,且确保相关活动的保密性,避免因内部员工或者外部第三方投诉举报而遭致监管审计与其他监管行动的风险。
当个人信息处理者处理超过1000万人个人信息时,应当至少每两年开展一次个保审计。因此,对于开展零售业务的个人信息处理者而言,应考虑定期及时清理与销毁(或匿名化)不满足业务需求或符合商业目的的个人信息[1],避免因存储大量冗余个人信息而触发额外的审计要求。
对于处理不超过1000万个人信息的处理者,《个保审计办法》仅规定了“定期”审计的要求,未对审计频率作强制性规定,因此企业需密切关注市场实践与当地监管机关的执法尺度。对于特定行业或处理特定信息类型的个人信息处理者,还应当关注是否存在针对本行业的特别要求。如《银行保险机构数据安全管理办法》规定,银行保险机构审计部门应当每三年至少开展一次数据安全全面审计,发生重大数据安全事件后应当开展专项审计。
原则上,个人信息保护合规审计应审查个人信息处理者是否按照法律、行政法规的规定建立个人信息保护相关的各项内部管理制度和操作规程,以及该等制度和规程是否得以有效实施和遵守。《个保审计办法》的附件《个人信息保护合规审计指引》明确了个保审计的重点事项,涵盖《个保法》项下个人信息处理者的主要法定义务。当然,企业应根据自身处理个人信息的具体情况,量身定制个保审计方案。例如,《个保审计办法》明确了未处理100万人以上个人信息的个人信息处理者不承担设置个人信息保护负责人的法定义务,因此审计方案中就“个人信息保护负责任人履职情况”可酌情省略。
值得注意的是个人信息保护合规审计与此前诸多企业所开展的个人信息保护影响评估的内容有所重合。对于此前已经完成个人信息保护影响评估的企业,其所进行的数据资产盘点、合规差距分析与整改报告等工作将为其后续开展个保审计打下基础,在满足时效性和完整性的前提下许多资料可以被内审部门或外部审计机构重复使用。《网络数据安全管理条例》亦规定个人信息保护合规审计、重要数据风险评估、重要数据出境安全评估等应当加强衔接,避免重复评估、审计,旨在减轻企业的合规成本。
全国网络安全标准化技术委员会于2024年7月12日发布国家标准《数据安全技术 个人信息保护合规审计要求》征求意见稿,作为《个保审计办法》的配套措施,针对各项具体审计内容提出了相应的审计证据与审计方法,内容丰富,可作为企业开展合规审计的落地性指导。反过来,企业在制定个人信息保护与网络安全合规基线时,也可参考《个保审计办法》与相关国家标准。
《个保审计办法》规定,提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当成立主要由外部成员组成的独立机构对个人信息保护合规审计情况进行监督。这似乎与《网络安全管理条例》项下“大型网络平台”[2]的概念相契合,其中规定大型网络平台服务提供者应当每年发布个人信息保护社会责任报告,报告内容包括主要由外部成员组成的个人信息保护监督机构履行职责情况等。
《个保审计办法》为企业是否借助外部资源开展自主审计提供了灵活度。当企业自身具备相应资质和能力的审计人员并在满足独立、客观、公正、保密等要求下,可内部自行开展审计工作,形成审计底稿,撰写审计报告。
对于聘用外部专业机构的情况,一方面个人信息处理者应审查该等专业机构是否具备开展合规审计的能力,另一方面其应确保该等专业机构能够为开展审计工作而正常行使相应权限,包括但不限于进入个人信息处理活动相关场所,调查相关业务活动及所依赖的信息系统,检查、测试个人信息处理活动相关设备设施,访谈与个人信息处理活动有关的人员等。为了确保审计的公正客观,同一专业机构及其关联机构、同一合规审计负责人不得连续三次以上对同一家企业开展个人信息保护合规审计。
《个保法》具有域外适用效力,因此理论上符合条件的境外个人信息处理者应当履行个保审计的义务。《个保审计办法》明确该办法适用于在中国境内开展个保审计,似乎排除了对境外个人信息处理者的适用。参考国家网信办2025年1月3日发布的《个人信息出境个人信息保护认证办法(征求意见稿)》的相关规定,未来符合《个保法》域外适用条件的境外个人信息处理者是否可通过其境内设立的专门机构或指定代表协助完成个保审计,或者通过“国际互认”的方式履行合规义务,尚待观察。
[1] 请注意存储也是对个人信息处理的一种方式。
[2] 指注册用户5000万以上或者月活跃用户1000万以上,业务类型复杂,网络数据处理活动对国家安全、经济运行、国计民生等具有重要影响的网络平台。
