国家互联网信息办公室于2025年2月15日发布《个人信息保护合规审计管理办法》,进一步完善我国个人信息保护合规审计制度,细化个人信息保护合规审计事项,对于提升企业个人信息保护水平、促进数字经济健康发展具有重要意义。本文着眼于企业个人信息保护合规审计实务,对《管理办法》及域外数据保护审计制度进行解析,以期为企业个人信息保护合规审计工作提供借鉴与参考。后续工业信息安全产业发展联盟公众号持续推出系列解析文章,敬请关注!
序
近年来,我国《网络安全法》《数据安全法》《个人信息保护法》《网络数据安全管理条例》等法律法规相继出台,构建了个人信息保护的基本法律框架。其中,《个人信息保护法》提出个人信息处理者应当定期开展合规审计,以及在特定情况下按照履行个人信息保护职责的部门要求委托专业机构开展合规审计。《个人信息保护合规审计管理办法》(以下简称“《管理办法》”)的出台,为个人信息保护合规审计工作提供了具体的制度保障和实施路径,有助于引导企业科学、有序开展个人信息保护合规审计。
一、
我国个人信息保护合规审计制度解析
(一)
个人信息保护合规审计的适用情形
《管理办法》出台的核心在于明确个人信息保护合规审计的适用情形、审计频率和审计形式,以确保个人信息处理者在日常经营活动中严格遵守相关法律法规,切实履行个人信息保护义务。根据《管理办法》,个人信息保护合规审计可分为常态化审计和特定审计两种适用情形。
常态化审计,即个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计,其中处理超过1000万人个人信息的个人信息处理者,应当每两年至少开展一次个人信息保护合规审计,其他个人信息处理者根据自身情况合理确定定期开展个人信息保护合规审计的频次。同时,企业还应关注相关法律法规中特殊情形下的个人信息保护合规审计要求。例如,我国《未成年人网络保护条例》第三十七条规定,个人信息处理者应当自行或者委托专业机构每年对其处理未成年人个人信息遵守法律、行政法规的情况进行合规审计,并将审计情况及时报告网信等部门。
特定审计,即履行个人信息保护职责的部门在履行职责中,发现个人信息处理活动存在较大风险、可能侵害众多个人的权益或者发生个人信息安全事件的,可以要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。值得注意的是,为了避免合规冗余,《管理办法》规定“对同一个人信息安全事件或者风险,不得重复要求个人信息处理者委托专业机构开展个人信息保护合规审计”,这一要求与《网络数据安全管理条例》第五十二条中“避免重复评估、审计”的规定相呼应,极大程度降低了企业的合规成本。
(二)
个人信息处理者的审计义务
针对常态化审计,《管理办法》对个人信息处理者采取何种审计方式、是否选择专业机构,以及选择哪家专业机构没有强制性规定,但明确要求处理100万人以上个人信息的个人信息处理者应当指定个人信息保护负责人,负责个人信息保护合规审计工作;同时,要求提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当成立主要由外部成员组成的独立机构对个人信息保护合规审计情况进行监督。前述规定分别呼应了《个人信息保护法》第五十二条及第五十八条第一款的相关要求,进一步强化了对大规模个人信息处理活动及重要互联网平台在个人信息保护合规审计层面的监督与管理。
针对特定审计,《管理办法》对个人信息处理者提出以下要求:一是保障合规审计正常进行,为专业机构正常开展个人信息保护合规审计工作提供必要支持,并承担审计费用。二是按照履行个人信息保护职责的部门要求选定专业机构,在限定时间内完成个人信息保护合规审计,情况复杂的,报履行个人信息保护职责的部门批准后,可以适当延长。三是报送合规审计报告并进行整改,个人信息处理者在完成合规审计后,应当将专业机构出具的个人信息保护合规审计报告报送履行个人信息保护职责的部门,按照履行个人信息保护职责的部门要求对合规审计中发现的问题进行整改,在整改完成后15个工作日内,向履行个人信息保护职责的部门报送整改情况报告。
(三)
个人信息保护合规审计事项
《管理办法》规定个人信息处理者开展个人信息保护合规审计均应当参照其附件,即《个人信息保护合规审计指引》(以下简称“《审计指引》”)。《审计指引》基于个人信息保护相关法律、行政法规,明确提出了“个人信息处理活动的合法性基础”“个人信息处理规则”“共同处理个人信息”等26项审查事项,涵盖了个人信息处理活动的全生命周期,包括从个人信息的收集、存储、使用、共享、传输到删除等各个环节,以及相关的管理制度、操作规程和技术措施等方面,对企业开展个人信息保护合规审计工作提供了全面、细致且具有实操性的指导,帮助企业精准定位自身在个人信息保护方面存在的问题与风险,督导企业建立健全个人信息保护合规体系。
二、
域外数据保护审计制度与实践借鉴
(一)
欧盟数据保护审计制度
欧盟《通用数据保护条例》GDPR第28(3)(h)条要求,数据处理者需向数据控制者提供证明其遵守本条的必要信息,以支持数据控制者自行或委托他人开展审计或调查活动;第58(1)(b)条赋予欧盟数据保护监管机构EDPS以数据保护审计这一形式开展调查的权力。欧盟数据保护监管机构EDPS于2021年12月发布了《EDPS审计指南》,进一步明确了监管部门根据GDPR第58(1)(b)条发起数据保护审计调查的法律基础、条件、流程等内容,指出EDPS审计可以依职权进行,也可以由投诉触发;同时指出EDPS审计流程主要包括宣布审计、审计准备、决定和授权公告、现场活动、审计记录、审计报告、审计跟踪等七大步骤。
(二)
英国数据保护审计制度
英国以2018年《数据保护法》第129条和第146条为依据,建立以自愿审计为主、强制审计为辅的数据保护审计制度,将审计分为第一方审计(内部审计)、第二方审计(利益相关方审计,包括供应方、外包方等)、第三方审计(包括信息专员办公室审计、第三方机构审计)三类。针对信息专员办公室审计(即ICO审计),英国于2021年11月发布《英国ICO审计指南》,明确了ICO审计的流程要求,指出其审计范围,包括被审计主体的数据保护组织和制度问题、员工数据保护培训和意识、个人数据的安全、个人权利请求、数据分享、记录管理,以及数据保护影响评估和信息风险管理等事项。
《英国ICO审计指南》将审计实施阶段分为充分性审计与实质性审计两个阶段,并将前者的审计结果作为后者启动实施的先决条件。其中,前者主要确定被审计主体是否具备审计事项相关政策制度及操作规程,并初评政策制度和操作规程设计的科学性、有效性;后者则对前述政策制度和操作规程的实际运行和操作情况进行具体判断,以此提高审计效率、降低审计成本。
图1 英国数据保护审计流程图
(三)
法国数据保护审计制度
法国数据保护局(CNIL)于2020年9月发布《CNIL审计指南》,概述了CNIL对组织就GDPR及法国数据保护法合规情况进行审计的权力与义务,提出现场检查、邀请面谈、在线检查及问卷调查四类审计形式,重点关注被审计主体处理个人数据的目的和法律依据、所收集数据的性质、告知数据主体的方式(特别是权利告知方式)、数据保留期和准确性、个人数据的接收者、数据安全控制和数据传输等事项。根据该指南,CNIL无需事先通知便可直接进行现场检查,并可对被审计主体的对抗检查行为进行罚款,也可根据审计结果对被审计主体实施法律制裁。
结语
随着《管理办法》的落地与实施,企业应将个人信息保护合规审计作为一项长期的、常态化的工作,融入企业整体战略布局与运营管理流程,持续做好合规留痕工作,形成规范化的记录和归档机制,以便为后续开展合规审计提供真实、充分、有效的审计证据。
对于自行开展个人信息保护合规审计的企业,应当根据自身业务场景、个人信息处理情况、财力等多方面因素,明确其审计范围。具备条件的企业可以构建内部个人信息保护合规审计制度,打造专业的内部审计团队,但同时也要确保内部审计团队的中立性、客观性。当企业自身审计能力存在短板,或是期望获取更具前瞻性和专业性的意见时,应积极寻求与具备优秀资质和丰富经验的外部专业机构合作。
(国家工业信息安全发展研究中心 李文婷 杨晓伟 张誉馨)
国家工业信息安全发展研究中心长期开展数据安全与个人信息保护合规审计制度研究,支撑起草《网络数据安全管理条例》等法规政策,后续将围绕数据安全与个人信息保护的合规审计、风险评估、跨境管理等领域持续开展研究与合规服务工作。
业务咨询:张老师 010-68663280
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...