我国《个人信息保护法》明确企业应当定期或应监管机构要求开展个人信息保护合规审计。个人信息保护合规审计,作为保障企业和组织在处理个人信息时遵守法律法规的重要机制正在逐步落地,成为各方关注的重点。
赛博研究院将围绕“个人信息保护合规审计”进行专题系列解读,通过多角度、多层次的分析,为企业、行业从业人员及公众提供参考。本文将比较国内与国际,分析中、美、欧、英等国家与地区在相关领域立法和实践的异同点。
2023年9月5日,委员会指定Apple为其操作系统 iOS、浏览器 Safari 和 App Store的看门人。同一天,欧盟委员会启动了一项市场调查,以评估苹果的iPadOS尽管没有达到DMA中规定的数量门槛,但是否构成企业用户接触最终用户的重要门户,因此应被指定为看门人。2023年8月3日,国家网信办发布了《个人信息保护合规审计管理办法(征求意见稿)》(简称“《征求意见稿》”),该征求意见稿明确指出,“处理超过100万人个人信息的个人信息处理者,应当每年至少开展一次个人信息保护合规审计;其他个人信息处理者应当每二年至少开展一次个人信息保护合规审计。”此条规定既明确了个人信息处理者开展个人信息保护合规审计的法定义务,同时对于处理规模不同的个人信息处理者区分了开展个人信息保护合规审计的频次。《个人信息保护法》(简称“《个保法》”)第54条、64条对个人信息处理者自行合规审计和监管机构强制要求审计做出了规定。囿于《个保法》篇章结构和篇幅容量限制,个人信息保护合规审计的具体规定已无法通过《个保法》承载,有关个人信息保护合规审计的具体规定办法和审计参考要点有赖于后续行政法规、部门规章、国家标准等的制定予以落实。为指导、规范个人信息保护合规审计活动,提高个人信息处理活动的合规水平,保护个人信息权益,国家网信办起草了《征求意见稿》,旨在细化《个保法》对个人信息保护合规审计的有关要求,以落地该项法律规定。在其他国家和地区,一些国家和地区已经有流程相对规范、执行标准相对细致的有关个人信息保护合规审计(数据保护审计)的操作规范或指引,值得我们观察与思考。由于美国为联邦制国家,各州立法司法相对独立,各州针对个人信息保护都有不同的立法,其中针对数据的保护也有不同的审计要求。其中最典型的就是以《加州消费者隐私法(CCPA)》为基础进行修改和拓展的《加州隐私权法案(CPRA)》,该法案针对那些处理消费者个人信息并对具备潜在重大风险的企业,应当每年进行一次网络安全审计(Cybersecurity Audit),包括确定审计的范围,并建立一个确保审计彻底和独立的流程,在确定个人信息处理活动何时可能对个人信息安全造成较大风险时,应当考虑企业的规模、复杂性,以及处理活动的性质和范围。法案仅对企业开展网络安全审计工作明确了要求和目标,并未指出具体如何开展网络安全风险审计。为此,美国政府问责办公室(U.S. Government Accountability Office,简称“GAO”)[1]于2023年9月发布了《网络安全项目审计指南》(Cybersecurity Program Audit Guide)[2]。该指南旨在为网络分析师和审计人员提供一套方法、技术和审计程序,以评估网络安全项目和系统的各个组成部分。其全文共分为六个部分,分别为资产和风险管理、配置管理、身份和访问管理、持续监控和日志记录、事件响应、应急方案与恢复。GAO鼓励美国联邦与其他政府组织使用该指南评估网络安全项目,但其作为推荐性指南,并无强制效力。《网络安全项目审计指南》封面
不同于美国,欧盟有较为统一的有关个人信息保护的立法成果和实施标准——《通用数据保护条例》(General Data Protection Regulation,简称“GDPR”)。GDPR是全球数据立法中较早提出“数据保护审计(Data Protection Audit)”要求的。在GDPR中,数据保护审计共在四处出现:在GDPR的框架下,数据保护审计的作用是评估数据控制者和处理者所进行的个人信息处理活动是否符合GDPR及相关数据保护规定。企业可以通过合规审计证明自身个人信息处理行为的合法合规性,同时监管部门也可以要求企业以审计的方式监督其个人信息处理行为。其中,监管部门强制企业开展数据保护审计的权力,归属于欧盟数据保护监管局(European Data Protection Supervisor,简称“EDPS”)。2021年12月,EDPS针对数据保护审计发布了《EDPS审计指南》(EDPS Audit Guidelines),在该指南中明确了数据保护审计的定义、审计对象、审计启动条件、监管机构权力、审计程序、异议救济、公开性等内容。尽管该指南并不具备强制性,但为欧盟及其成员国开展有关监管活动提供了指引。英国数据审计有关规则的制定,以《数据保护法案》(The Data Protection Act 2018,简称“DPA”)为依据,相关工作的开展以英国信息专员办公室(Information Commissioner’s Office,简称“ICO”)主导。根据DPA第129条,其规定了一种“一致同意的审计”(Consensual audits),即ICO与个人信息处理者可在协商一致的情况下开展个人信息处理活动的审计,从而将个人信息保护审计作为一种非强制性的,对个人信息处理者具有建设性的监管方式。针对英国实际开展数据保护审计的现实情况,ICO发布了《ICO数据保护审计指南》(A guide to ICO audits),该指南包含执行摘要、审计项目开发、审计方法、审计过程、审计报告、后续审计与报告以及常见问题等部分。ICO在指南中指出,审计的重点应当包括确定组织是否实施了管理个人数据处理活动的政策和程序,以及处理活动是否符合这些政策和程序。同时应当审计有关组织在贯彻数据保护要求时,其有效识别控制风险的能力。截止2024年5月16日,ICO在其官网已公布了42份数据保护审计报告。[3]需要注意的是,ICO在指南中特别指出,尽管其主要进行自愿性审计,但根据DPA第146条的有关规定,ICO仍有权开展强制性审计。这项权利允许ICO针对被评估/审计对象发出“评估通知”,并要求数据控制者允许ICO评估其数据保护法规的遵守情况。从对上述其他国家或地区个人信息保护合规审计实践经验的观察可以看出,美国加州、欧盟、英国,在制度上均保留了“强制审计”的设定,满足一定条件的企业需要定期或应监管机构要求开展合规审计。与我国在落地个人信息保护合规审计的做法上是类似的,即《个保法》第54条、64条规定的个人信息处理者需要定期或应监管机构要求开展个人信息保护合规审计,明确为个人信息处理者的法定义务。但同时,欧盟和英国一定程度上允许个人信息处理者自行选择是否开展合规审计,企业可根据企业自身经营管理的需要开展,且审计依据的指引均为推荐性指南,与我国《个人信息保护合规审计管理办法(征求意见稿)》正式稿发布后具有强制执行力不同。在探讨这一问题前,需要明确何为中国法语境下的“合规审计”?合规审计是审计机构和审计人员依据国家法律、法规和财经制度对被审计单位的生产经营管理活动及其有关资料是否合规所进行的一种经济监督活动。[4]针对个人信息保护的合规审计,其审计的对象就落在了个人信息处理者的个人信息处理活动。无论是《个保法》,还是《征求意见稿》都将合规审计的对象指向了“个人信息处理活动”,但从实施审计的着眼点和目的来看,对于该“个人信息处理活动”不能仅理解为个人信息的收集、存储、使用、加工、传输、提供、公开、删除等,还应当包括个人信息处理者的内部管理制度、安全技术措施、教育培训、负责人资质能力等围绕个人信息处理活动的制度、管理、人员等因素。[5]通过上述明确个人信息保护合规审计的含义及对象,可以清晰地梳理出《征求意见稿》对个人信息处理者在处理个人信息过程中需要保证的制度、管理、技术、能力等各方面提出的要求。《个保法》针对个人信息保护合规审计规定了两种形式,即定期主动审计和应监管机构要求的被动审计,从企业自身经营和风险控制的角度,一定不希望在发现自身个人信息处理活动存在较大风险或发生个人信息安全事件后,监管机构介入要求强制进行合规审计。从企业自身发现问题、主动规避风险、维护企业良好声誉、提升个人信息保护能力等目的出发,按照规定定期进行合规审计就成为了一项重要任务。在《征求意见稿》及其附件《参考要点》中,有九处提到了“个人信息保护影响评估”(Personal Information Protection Impact Assessment,简称“PIA”),分别涉及委托处理个人信息、向其他个人信息处理者提供个人信息、自动化决策处理个人信息、公开个人信息、处理敏感个人信息、个人信息处理者组织管理制度操作规程、个人信息保护影响评估开展情况等方面。可以看出,个人信息保护合规审计中,尤其关注个人信息处理者PIA的有关情况。PIA的完整程度和质量一定程度上也会影响个人信息保护合规审计的最终结果。个人信息保护影响评估,见于《个人信息保护法》第55条、56条。根据国标《信息安全技术 个人信息安全影响评估指南(GB/T 39335-2020)》的定义,个人信息安全影响评估,是指针对个人信息处理活动,检验其合法合规程度,判断其对个人信息主体合法权益造成损害的各种风险,以及评估用于个人信息的各项措施有效性的过程。这一系列“检验”“判断”“评估”的过程,按照《个保法》的要求,应当是在发生或进行特定情形事前所采取的措施。重点突出在“事前”。PIA,实质上是个人信息处理者出于合规、审慎经营的考虑开展的尽责性风险评估。[6]《个人信息保护法》针对PIA,并未像针对个人信息保护合规审计一样,要求定期开展,而只是作为个人信息处理者面对特定情形下而应当履行的义务。从内容包含的关系来看,在进行个人信息保护合规审计的过程中,针对重点环节,需要对PIA的情况进行审计,以确保评估的合规性和有效性,PIA的内容与结果本身也是合规审计的重要参考部分;而对PIA而言,其评估内容并不包括合规审计的本身及结果。在实际操作的过程中,企业应当根据法定要求和实际业务经营需要,分别开展相应工作。对PIA而言,个人信息处理者存在《个保法》第55条情形的,应当事前开展PIA,并记录有关情况,形成报告,具体参考的依据为国标《信息安全技术 个人信息安全影响评估指南(GB/T 39335-2020)》。对个人信息保护合规审计而言,应当以《个保法》第54条、64条为依据,在执行合规审计一般流程的前提下,对重点的审计项目应参考PIA的内容和结果,在此基础上做出最终的审计结论。[1] 美国政府问责办公室是美国立法部门内的一个独立、无党派的政府机构,为美国国会提供审计、评估和调查服务,是美国联邦政府的最高审计机构
[2] 参见Cybersecurity Program Audit Guide,https://www.gao.gov/products/gao-23-104705[3] 参见Audits and overview reports,https://ico.org.uk/action-weve-taken/audits-and-overview-reports/?facet_type=Audit&facet_sector=&facet_date=&date_from=&date_to=[4] 参见个人信息保护合规审计推进小组:《关于推进个人信息保护合规审计的若干建议》,第2页。[5] 参见《个人信息保护合规审计管理办法(征求意见稿)》附件:个人信息保护合规审计参考要点,第21-24条。[6] 参见王冲:《个人信息保护合规审计的理论逻辑与制度构建》,https://mp.weixin.qq.com/s/CvP3xN9D6cTlmDe3C6th0A赛博研究院 咨询顾问&助理研究员
赛博研究院 咨询总监&高级研究员
上海赛博网络安全产业创新研究院(简称赛博研究院),是上海市级民办非企业机构,成立至今,赛博研究院秉持战略、管理和技术的综合服务模式、致力于成为面向数字经济时代的战略科技智库、服务数据要素市场的专业咨询机构和汇聚数智安全技术的协同创新平台。赛博研究院立足上海服务全国,是包括上海市委网信办、上海市通管局、上海市经信委、上海市数据局等单位的专业支撑机构,同时承担上海人工智能产业安全专家委员会秘书长单位、上海“浦江护航”数据安全工作委员会秘书长单位、上海数据安全协同创新实验室发起单位等重要功能,并组织“浦江护航”数据安全上海论坛、世界人工智能大会安全高端对话等一系列重要专业会议。
欢迎联络咨询:邮件:[email protected];电话:021-61432693。
还没有评论,来说两句吧...