文/张晓丽

在中国,过往几年的数据合规监管,主要关涉网络安全、App合规和数据跨境安全评估等范畴。其中App合规主要集中在告知同意,大部分公司作为个人信息处理者主打一个监管指哪打哪的态势,并没有系统化的实质性展开个人信息治理和个人信息保护合规建设。这为以后应对内部和外部的审计法律义务埋下了隐患。本文首先简要介绍个人信息保护合规审计要求,然后进一步用举例的方式讨论个人信息保护合规建设进入深水区的必然性。

2021年8月通过的《中华人民共和国个人信息保护法》(以下简称“《个人信息保护法》”)则首次以法律的形式明确了个人信息保护领域中合规审计的法定义务。具体而言:

《个人信息保护法》第五十四条:个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。

《个人信息保护法》第六十四条:履行个人信息保护职责的部门在履行职责中,发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,可以……或者要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。

2023年8月3日,国家网信办发布《个人信息保护合规审计管理办法(征求意见稿)》(以下简称“《审计办法》”),并公开征求意见。《审计办法》通过明确个人信息保护合规审计的具体要求、形式等内容,以期完善我国个人信息保护监管及企业内部合规体系。

《审计办法》细化和补充了《个人信息保护法》第54条和第64条规定的个人信息保护合规审计要求,并将合规审计的触发情形区分为“定期自主审计”与监管部门认为个人信息处理活动存在较大风险或者发生个人信息安全事件时要求的“不定期强制审计”两类。

《审计办法》在附件《个人信息保护合规审计参考要点》(下称“《参考要点》”)中详细列举了个人信息处理者或其委托的专业机构在开展合规审计时审查事项,与《个人信息保护法》中各章规定相对应,同时纳入了如《信息安全技术个人信息安全规范》等行政法规和国家标准的要求,基本囊括了个人信息处理全流程各环节,具体可分为如下五个模块:

个人信息处理规则《参考要点》第2-14条):《参考要点》对应《个人信息保护法》第二章内容,对个人信息处理的合法性基础、处理规则、告知、共同处理、委托处理、合并/分立/重组/破产、提供、自动化决策、公开、公共场所采集、已公开信息、敏感个人信息、未成年人个人信息等要求提出了审计要点。

个人信息跨境提供规则《参考要点》第15-16条):《参考要点》对应《个人信息保护法》第三章内容,对个人信息出境活动所选择的合规路径、基于司法执法或条约协定的个人信息出境、为保障境外接收方处理个人信息的活动达到《个人信息保护法》规定标准所采取的措施等要求提出了审计要点。

个人信息主体权利保障《参考要点》第17-19条):《参考要点》对应《个人信息保护法》第四章内容,对个人信息权利申请受理以及个人信息主体所享有的查阅、复制、转移、更正、补充、删除、要求对个人信息处理规则解释说明等权利保障要求提出了审计要点。

个人信息处理者的义务《参考要点》第20-27条):《参考要点》对应《个人信息保护法》第五章内容,对个人信息处理者主体责任、管理措施、技术措施、人员培训、个保负责人、个人信息保护影响评估、个人信息安全应急等要求提出了审计要点。

大型互联网平台特殊责任《参考要点》第28-31条):《参考要点》对应《个人信息保护法》第58条内容,对个人信息保护独立监督机构、互联网平台规则、平台内的产品或者服务提供者监督、个人信息保护社会责任报告等方面提出了审计要点。

虽然《审计办法》尚未出台,但是企业需要按照《个人信息保护法》的要求做好内部个人信息治理和个人信息保护合规工作。公司不能等到《审计办法》生效后,面临审计时才开始弥补个人信息处理者应尽的各项义务,这不仅影响整体合规建设的持续性和成熟度,也面临着被监管处罚的高风险。

以《参考要点》第二条第二款例, 个人信息保护合规审计应当首先审查个人信息处理活动的合法性基础条件,重点审查下列事项:(二)基于个人同意处理个人信息,个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,是否重新取得个人同意;

本条看似是做好知情同意就可以满足合规要求,通常的思路是通过更新隐私政策或者弹窗披露新的个人信息的处理目的、处理方式和处理的个人信息种类,重新取得用户的同意。但是对于公司业务相对复杂,个人信息使用场景较多的情况,还有很多工作要做,至少需要思考以下几个问题:

1. 哪些个人信息是基于同意处理的?哪些个人信息是基于合同履行处理的?哪些是基于法律义务处理的?如果公司基于多个合法性基础处理个人信息,那么需要标记管理。

2. 除了标记个人信息处理的合法性基础,是否还需要标记处理目的、处理方式?

3. 个人信息处理目的和方式如何区别/分类?即,如何定义目的和方式“变更”?也就是要回答到底什么情况下需要重新取得个人同意。(类似GDPR中的目的兼容性判断,这需要结合业务场景作出法律解读)

4. 是否可以标记两个以上合法性基础和处理目的?是否存在不同目的之间冲突的情况?

5. 是否在数据库对个人信息做标记?是表级别还是字段/列级别?(前提是公司已经做好个人信息的识别和分级分类)

6. 存量个人信息如何展开标记活动?增量收集处理的个人信息在哪个流程环节进行标记?哪个部门为标记的准确性负责?

7. 如果单个用户取消同意,公司如何在单个用户层面停止个人信息处理?

8.如何识别某个个人信息类型处理的合法性基础、处理目的和方式发生了变更,并更改标记?

回答以上问题并落实,需要在公司规章制度、流程和技术方案各个层面努力。个人信息处理者履行个人信息保护义务并应对内外审计,需要更系统性、实质性的合规建设。未来已来,深水区在所难免。

参考:君合法评丨《个人信息保护合规审计管理办法(征求意见稿)》要点简析

声明:本文来自数据合规与治理,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。