导读
《个人信息保护法》第五十四条及第六十四条确立了个人信息处理者承担个人信息保护合规审计义务,并分别规定了个人信息保护合规审计的两种触发情形,即个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计(“自主审计”),以及履行个人信息保护职责的部门在履行职责中,发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,可以要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计(“强制审计”)。《网络数据安全管理条例》第二十七条再次重申了个人信息处理者进行自主审计的义务,并明确个人信息处理者可以自行或者委托专业机构进行合规审计活动。
尽管在《个人信息保护法》中即确立了个人信息处理者的个人信息保护合规审计义务,但对于如何开展个人信息保护合规审计工作,具体的流程和细则一直缺乏落地规定。2023年8月,国家互联网信息办公室发布《个人信息保护合规审计管理办法(征求意见稿)》;2024年7月12日,全国信息安全标准化技术委员会发布国家标准《数据安全技术 个人信息保护合规审计要求(征求意见稿)》。两份征求意见稿对于审计义务、审计流程、审计关注点和审计方法等规定了翔实的落地细则,多数企业已经参照实施开始展开个人信息保护合规审计工作,并同时等待最终规则落地。
2025年2月14日,国家互联网信息办公室正式发布《个人信息保护合规审计管理办法》(“《审计办法》”),《审计办法》对个人信息保护合规审计工作应如何组织和开展作出了具体规定,将自2025年5月1日起施行。本文将结合《审计办法》正式稿相较2023年8月征求意见稿的重点变动对《审计办法》的要点内容进行梳理和总结,并涉及了对下述事项的讨论:
将强制审计区分于纯粹的行政行为
规定强制审计义务,自主审计自愿开展
从风险程度、危害后果和安全事件级别三个层面梳理强制审计触发条件
规定专业机构推荐目录取消,鼓励充分竞争
重点规定了专业机构的独立审计原则
开展强制审计前应当开展个人信息保护影响评估(PIA)
开展强制审计前应当充分考虑前置合规整改活动
规定整改要求的最终确认由保护部门确认
规定个人信息保护负责人和由外部成员组成的个人信息保护监督机构的设立阈值
讨论投诉机制对个人信息处理者的影响
梳理进行个人信息保护合规审计的基本流程
一
合规审计义务的部分减轻和豁免
《审计办法》正式稿从个人信息处理规模(1000万人)及审计频次(每两年一次)两个维度重新调整了个人信息处理者自主审计义务的触发条件,同时正式稿删除了未达特定规模的其他个人信息处理者进行自主审计的频次要求,使得处理人数未达1000万人的其他个人信息处理者可根据自身个人信息处理的具体情况灵活确定审计频率(自愿开展)。前述规定将在很大程度上减轻企业的合规负担。
针对个人信息处理者强制审计情形,《审计办法》正式稿新增了不得针对同一事项重复要求合规审计的要求。我们理解,个人信息保护合规强制审计既有行政权力的介入,又有市场机制的参与,因而其既具有行政行为的某些特征,但又并非纯粹的行政行为。基于此,前述规定实质上约束了强制性个人信息保护合规审计中行政权力的行使范围,进一步减轻了企业的合规负担。此外,依据《审计办法》第十九条,国家机关和法律、法规授权的具有管理公共事务职能的组织的个人信息保护合规审计不适用《审计办法》的相关要求,该规定也进一步将《审计办法》中非纯粹行政行为的强制审计与纯粹的行政行为进行了区分。
正式稿 | 征求意见稿 |
第四条 处理超过1000万人个人信息的个人信息处理者,应当每两年至少开展一次个人信息保护合规审计。 | 第四条 处理超过100万人个人信息的个人信息处理者,应当每年至少开展一次个人信息保护合规审计;其他个人信息处理者应当每二年至少开展一次个人信息保护合规审计。 |
(新增)第十九条 对国家机关和法律、法规授权的具有管理公共事务职能的组织的个人信息保护合规审计,不适用本办法。 | 第四条 处理超过100万人个人信息的个人信息处理者,应当每年至少开展一次个人信息保护合规审计;其他个人信息处理者应当每二年至少开展一次个人信息保护合规审计。 |
第五条 个人信息处理者有以下情形之一的,国家网信部门和其他履行个人信息保护职责的部门(以下统称为保护部门),可以要求个人信息处理者委托专业机构对个人信息处理活动进行合规审计: …… 对同一个人信息安全事件或者风险,不得重复要求个人信息处理者委托专业机构开展个人信息保护合规审计。 | 第六条 履行个人信息保护职责的部门在履行职责中,发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,可以要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。 |
二
增加并细化个人信息处理者强制审计的触发条件
针对企业普遍关注的强制审计触发条件,相比征求意见稿,《审计办法》正式稿给出了“严重影响个人权益”以及“严重缺乏安全措施”两个个人信息处理活动存在“较大风险”的示例,保护部门可对照示例履行职责并考量其他风险是否构成“较大风险”程度,也进一步提高了个人信息处理者对于监管部门履责的可预期性。对于企业而言,是否涉及“较大风险”,亦可进一步参照《信息安全技术 个人信息保护合规审计指南(草稿)》或其他文件中规定的相关合理情形建立和补充合规基线,整合后包括但不限于:
1. 风险程度级别:
a)严重影响个人权益、严重缺乏安全措施(已经存在风险);
b)个人信息处理者被个人信息保护监管部门调查、处罚或者通报违规问题(已经存在风险);
c)出现重大个人信息保护问题的舆情等(已经存在风险)。
2. 危害后果级别:
a)可能侵害众多个人的权益的(尚未发生风险);
b)特定行业或者特定产品、服务被纳入专项审查工作(尚未发生风险)。
3. 安全事件级别:
已经导致危害后果发生,导致100万人以上个人信息或者10万人以上敏感个人信息泄露、篡改、丢失、毁损的(已经发生风险)。
正式稿 | 征求意见稿 |
第五条 个人信息处理者有以下情形之一的,国家网信部门和其他履行个人信息保护职责的部门(以下统称为保护部门),可以要求个人信息处理者委托专业机构对个人信息处理活动进行合规审计: (一)发现个人信息处理活动存在严重影响个人权益或者严重缺乏安全措施等较大风险的; (二)个人信息处理活动可能侵害众多个人的权益的; (三)发生个人信息安全事件,导致100万人以上个人信息或者10万人以上敏感个人信息泄露、篡改、丢失、毁损的。 对同一个人信息安全事件或者风险,不得重复要求个人信息处理者委托专业机构开展个人信息保护合规审计。 | 第六条 履行个人信息保护职责的部门在履行职责中,发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,可以要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。 |
三
专业机构的选聘及其合规义务
(一)取消推荐目录,鼓励相关专业机构通过认证
《审计办法》正式稿删除了国家有关部门建立专业机构推荐目录的相关条款,只要具备开展个人信息保护合规审计的能力,有与服务相适应的审计人员、场所、设施和资金等条件,任何机构均可开展个人信息保护合规审计活动,并鼓励相关专业机构通过认证,这一规定将有助于合规审计服务市场形成充分竞争的环境。
正式稿 | 征求意见稿 |
(新增)第七条 专业机构应当具备开展个人信息保护合规审计的能力,有与服务相适应的审计人员、场所、设施和资金等。 鼓励相关专业机构通过认证。专业机构的认证按照《中华人民共和国认证认可条例》的有关规定执行。 | / |
删除 | 第十三条 国家网信部门会同公安机关等国务院有关部门按照统筹规划、合理布局、择优推荐的原则建立个人信息保护合规审计专业机构推荐目录,每年组织开展个人信息保护合规审计专业机构评估评价,并根据评估评价情况动态调整个人信息保护合规审计专业机构推荐目录。 鼓励个人信息处理者优先选择推荐目录中的专业机构开展个人信息保护合规审计活动。 |
(二)专业机构应保持独立性和客观性
《审计办法》正式稿对专业机构独立性要求更为严格,扩大了本项义务的承担主体,将专业机构本身拓展至其关联机构、同一审计项目的负责人。参考《数据安全技术 个人信息保护合规审计要求(征求意见稿)》中对独立性原则的描述,“审计人员应独立于审计活动,与被审计方无利益冲突。对于内部机构自行开展的审计,实施审计的人员应独立于具体被审计的个人信息处理活动”,可以更为明确地感知到个人信息保护合规审计活动中对专业机构独立性要求的高度重视。
另外值得注意的是,对于审计次数的限制《审计办法》正式稿措辞与征求意见稿稍有不同,对于应如何理解正式稿所规定的“三次以上”,我们认为可参考《立法技术规范(试行)(一)》的相关规定,即规范年龄、期限、尺度、重量等数量关系,涉及以上、以下、以内、不满、超过的规定时,“以上、以下、以内”均含本数,“不满、超过”均不含本数,因此理解同一专业机构及其关联机构、同一合规审计负责人最多仅可连续两次对同一审计对象开展个人信息保护合规审计。
正式稿 | 征求意见稿 |
第十五条 同一专业机构及其关联机构、同一合规审计负责人不得连续三次以上对同一审计对象开展个人信息保护合规审计。 | 第十二条 执行个人信息保护合规审计的专业机构应当保持独立性和客观性,连续为同一审计对象开展个人信息保护合规审计不得超过三次。 |
(三)专业机构的其他合规义务:保密、亲自实施等
《审计办法》正式稿限缩并明确了专业机构承担保密义务的信息范围(个人信息、商业秘密、保密商务信息等),同时补充了专业机构在合规审计工作结束后及时删除相关信息的要求。根据《审计办法》,专业机构应亲自实施合规审计工作,不得转委托其他机构开展。此类规定一方面强调了专业机构承担保密责任的基本审计原则,同时也回答了一个在个人信息处理活动中的现实问题,即个人信息处理者向审计机构提供个人信息供审计,应当确立为委托处理个人信息活动。相应的,开展个人信息保护合规审计的机构应当在相关个人信息保护合规审计活动开展前,按照《个人信息保护法》第五十五条规定,事先开展个人信息保护影响评估工作。
正式稿 | 征求意见稿 |
第十三条 专业机构在从事个人信息保护合规审计活动时,应当遵守法律法规,诚信正直,公正客观地作出合规审计职业判断,对在履行个人信息保护合规审计职责中获得的个人信息、商业秘密、保密商务信息等应当依法予以保密,不得泄露或者非法向他人提供,在合规审计工作结束后及时删除相关信息。 | 第十四条 专业机构在从事个人信息保护合规审计活动时,应当诚信正直,公正客观地作出合规审计职业判断。 专业机构不得转包委托第三方开展个人信息保护合规审计。 专业机构在履行个人信息保护合规审计职责中获得的信息,只能用于个人信息保护合规审计的需要,不得用于其他用途;专业机构应当对获得的信息承担保密责任;专业机构应当采取相应技术措施和其他必要措施,保障数据安全。 专业机构在履行个人信息保护合规审计职责时不得恶意干扰个人信息处理者的正常经营活动。 专业机构有出具虚假、失实报告等违规行为的,个人信息处理者及相关方可向履行个人信息保护职责的部门进行投诉,经履行个人信息保护职责的部门核实的,永久禁止列入个人信息保护合规审计专业机构推荐目录 |
第十四条 专业机构不得转委托其他机构开展个人信息保护合规审计。 |
四
个人信息处理者强制审计的实施要点
(一)工作支持和费用承担
正式稿删除了对于专业机构获取工作权限的各项列举,概括表述为“必要支持”,充分考虑了专业机构实施审计工作的灵活性要求。本条同时明确在强制审计情形下,其仍应承担专业机构的审计费用。
但需要注意,如第一部分讨论所述,即使是《管理办法》规定的强制审计情形也并非是纯粹的行政行为,而是纳入了市场机制参与的新形态的监管活动,因此,《管理办法》取消了在强制审计活动下个人信息处理者对专业机构的工作权限保障,是否有可能导致专业机构工作中无法正常开展工作,值得进一步关注。
正式稿 | 征求意见稿 |
第八条 个人信息处理者按照保护部门要求开展个人信息保护合规审计的,应当为专业机构正常开展个人信息保护合规审计工作提供必要支持,并承担审计费用。 | 第八条 个人信息处理者按照履行个人信息保护职责的部门要求委托专业机构开展个人信息保护合规审计的,应当保证专业机构能够正常行使下列权限: (一)要求提供或者协助查阅相关文件或资料; (二)进入个人信息处理活动相关场所; (三)观察场所内发生的个人信息处理活动; (四)调查相关业务活动及所依赖的信息系统; (五)检查、测试个人信息处理活动相关设备设施; (六)调取、查阅个人信息处理活动相关数据或信息; (七)访谈与个人信息处理活动有关的人员; (八)就相关问题进行调查、质询和取证; (九)其他开展合规审计工作所必需的权限。 |
(二)审计工作完成时限
正式稿删除了个人信息处理者强制审计条件下90个工作日的完成时限要求,由保护部门按照个案的实际情况灵活设置限定时间。但企业应当注意,有关审计时限的删除并不能做过于乐观的解读。在缺乏细则的情况下,保护部门有可能根据对企业规模、个人信息安全事件的主观理解限定相对紧急的工作时限,从而导致企业和专业机构均承担较大时限压力,导致企业缺乏事先整改机会(具体可见本部分第(三)点的讨论)。
正式稿 | 征求意见稿 |
第九条 个人信息处理者按照保护部门要求开展个人信息保护合规审计的,应当按照保护部门要求选定专业机构,在限定时间内完成个人信息保护合规审计;情况复杂的,报保护部门批准后,可以适当延长。 | 第九条 个人信息处理者按照履行个人信息保护职责部门要求委托专业机构开展个人信息保护合规审计的,应当在90个工作日内完成个人信息保护合规审计;情况复杂的,报经履行个人信息保护职责的部门批准后可适当延长。 |
(三)审计报告出具和报送
强制审计情形下,个人信息处理者需要在全部审计工作完成后将审计报告报送保护部门。但是,征求意见稿征求意见过程中受到广泛关注的报送监管部门时限仍未明确。
此外,需要提示企业注意的是,此阶段报送保护部门的报告中包含了审计工作所发现的未整改事项。从实践角度来看,被保护部门要求强制审计的企业在专业机构开始正式的个人信息保护合规审计工作之前,应当在内部至少进行一轮整改活动,避免在强制审计时的审计报告中暴露过多待整改问题。
正式稿 | 征求意见稿 |
第十条 个人信息处理者按照保护部门要求开展个人信息保护合规审计的,在完成合规审计后,应当将专业机构出具的个人信息保护合规审计报告报送保护部门。 个人信息保护合规审计报告应当由专业机构主要负责人、合规审计负责人签字并加盖专业机构公章。 | 第十条 个人信息处理者按照履行个人信息保护职责部门要求委托专业机构开展个人信息保护合规审计的,应当按照本办法要求组织实施个人信息保护合规审计,在实施必要合规审计程序后,及时将专业机构出具的个人信息保护合规审计报告报送履行个人信息保护职责的部门。个人信息保护合规审计报告应当由合规审计负责人、专业机构负责人签字并加盖专业机构公章。 |
(四)整改
正式稿改变了整改工作的主导机构,按照正式稿的规定,理解保护部门将在审阅审计报告的基础上结合专业机构的审计意见提出具体的整改要求,个人信息处理者应按照保护部门的要求开展整改工作,并在整改完成后15个工作日内以提交整改情况报告形式向保护部门报送整改情况,由于整改要求的提出已经由专业机构转移为保护部门,在正式稿中,专业机构复核已不是必需环节。
正式稿 | 征求意见稿 |
第十一条 个人信息处理者按照保护部门要求开展个人信息保护合规审计的,应当按照保护部门要求对合规审计中发现的问题进行整改。在整改完成后15个工作日内,向保护部门报送整改情况报告。 | 第十一条 个人信息处理者按照履行个人信息保护职责的部门要求委托专业机构开展个人信息保护合规审计的,应当按照专业机构给出的整改建议进行整改,经专业机构复核后将整改情况报送履行个人信息保护职责的部门。 |
五
个人信息处理者自主审计的内部实施和监督机构
《个人信息保护法》第五十二条提出了处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人的要求,《审计办法》正式稿将此数值确定为100万,个人信息保护负责人应当作为个人信息处理者自行实施自主审计中内部机构的成员并负责整体工作,在专业机构负责合规审计时也需要为其提供必要的工作支持,并在合规整改阶段发挥关键作用。《审计办法》正式稿附件《个人信息保护合规审计指引》(“《审计指引》”)还侧面规定了个人信息保护负责人的任职条件和职责权限等事项,包括:
个人信息保护负责人应当具有相关的工作经历和专业知识,熟悉个人信息保护相关法律、行政法规;
个人信息保护负责人需具有明确清晰的职责,被赋予充分的权限协调个人信息处理者内部相关部门与人员;
个人信息保护负责人在个人信息处理重大事项决策前应有权提出相关意见和建议;
个人信息保护负责人有权对个人信息处理者内部个人信息处理的不合规操作进行制止和采取必要的纠正措施。
针对“提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”设立独立的个人信息保护监督机构的规定,理解该要求主要源自《网络数据安全管理条例》第四十四条:“大型网络平台服务提供者应当每年度发布个人信息保护社会责任报告,报告内容包括但不限于个人信息保护措施和成效、个人行使权利的申请受理情况、主要由外部成员组成的个人信息保护监督机构履行职责情况等”。
相应的,有关何为“提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”,可以参照《网络数据安全管理条例》对“大型网络平台”的定义,即“注册用户5000万以上或者月活跃用户1000万以上,业务类型复杂,网络数据处理活动对国家安全、经济运行、国计民生等具有重要影响的网络平台”,对于大型网络平台而言,其负担指定个人信息保护负责人和成立由外部成员组成的个人信息保护监督机构的“双重义务”。
正式稿 | 征求意见稿 |
(新增)第十二条处理100万人以上个人信息的个人信息处理者应当指定个人信息保护负责人,负责个人信息处理者的个人信息保护合规审计工作。 提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当成立主要由外部成员组成的独立机构对个人信息保护合规审计情况进行监督。 | / |
六
个人信息保护合规审计的监督检查和投诉、举报机制
《审计办法》正式稿新增保护部门对个人信息保护合规审计工作的监督检查机制和公众投诉、举报机制,“双管齐下”保障个人信息保护合规审计工作有序开展。值得扩展了解的是,根据《网信部门行政执法程序规定》的相关规定,网信部门对“自然人、法人或者其他组织投诉、申诉、举报”的事项应当及时调查处理;同时,根据最高人民法院《行政诉讼法》司法解释第十二条的规定,“与行政行为有利害关系”的投诉人,可以根据《行政复议法》独立申请(或作为第三人参加)行政复议或提起行政诉讼。因此,企业在其审计活动中所受投诉机制的监管从流程上而言将有可能走向行政复议、行政诉讼等程序,给企业带来巨大的合规成本和负担,甚至不良声誉影响。这一程序设置也反向敦促个人信息处理者严肃对待个人信息保护合规审计事项开展,避免陷入更多争端。
正式稿 | 征求意见稿 |
(新增)第十六条 保护部门对个人信息处理者开展个人信息保护合规审计情况进行监督检查。 | / |
(新增)第十七条 任何组织、个人有权对个人信息保护合规审计中的违法活动向保护部门进行投诉、举报。收到投诉、举报的部门应当依法及时处理,并将处理结果告知投诉、举报人。 | / |
七
《个人信息保护合规审计指引》的变动和调整
《审计办法》正式稿附件《审计指引》在考虑相关法规更新和采纳各界意见的基础上本次也有多处调整,如:
(1)衔接《促进和规范数据跨境流动规定》的出台,更新了个人信息出境合规审计的重点审查事项。
(2)考虑个人信息处理者委托处理、转移、向其他个人信息处理者提供个人信息情况下个人信息处理者对接收方实施审计的现实困难,《审计指引》本次全面删除了对于接收方的审查事项。
《审计指引》基本覆盖了涉及个人信息处理的所有关键场景的重点合规关注事项,除服务于个人信息保护合规审计工作外,亦可作为日常业务运营合规的参考。但也需要提示企业的是,《审计指引》仅仅是对专业机构重点关注合规事项的指引,企业仍应按照《个人信息保护法》的全面规定履行自身个人信息保护合规义务。
此外,2024年7月12日,全国网络安全标准化技术委员会发布了国家标准《数据安全技术 个人信息保护合规审计要求》的征求意见稿,相信也已出台在即,标准对于个人信息保护合规审计的流程、实施要求等事项有更为细致的要求,并在附录部分给出了审计报告的底稿模板和报告模板,个人信息处理者和专业机构在开展审计工作时亦可作为参考。
八
个人信息保护审计活动的整体流程概览(以强制审计为例)
(1)企业收到保护部门要求进行强制审计的通知
(2)自行或委托专业机构进行强制审计前的自主合规整改(如保护部门通知的完成强制审计的时限较短,自主合规整改可能无法开展或无法充分开展)
(3)针对自主合规整改发现的问题开展合规整改,并优先整改较为严重的风险事项,避免强制审计时暴露过多问题
(4)选定开展强制审计的专业机构,并针对因审计工作委托专业机构处理个人信息的活动完成PIA
(5)编制审计计划
(6)审计准备:建立审计组、开展审前调查、明确审计对象和范围、编制审计方案、选择审计方式方法
(7)审计实施:下发审计通知、收集审计证据、撰写审计底稿、确认审计发现等
(8)完成合规审计,将专业机构出具的个人信息保护合规审计报告报送保护部门
(9)保护部门提出具体的整改要求
(10)企业按要求开展整改工作
(11)整改完成后15个工作日内以提交整改情况报告形式向保护部门报送整改情况
★作者周杨、张燕,实习生郭子航对本文亦有贡献
声明:本文来自北京市竞天公诚律师事务所,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
