自2021年《个人信息保护法》建立个人信息保护合规审计制度以来,个人信息合规审计的落地实施一直是业界十分关注的问题。2023年8月3日,国家互联网信息办公室发布的《个人信息保护合规审计管理办法(征求意见稿)》,初步细化了个人信息保护合规审计的触发情形、参考要点等事项。
2024年7月12日,全国网络安全标准化技术委员会秘书处进一步发布了推荐性国家标准《数据安全技术 个人信息保护合规审计要求(征求意见稿)》(以下简称“《个人信息保护合规审计要求(征求意见稿)》”),在上述立法基础上从国家标准层面提出开展个人信息保护合规审计的审计过程规范、审计开展的具体步骤等要求,为企业开展个人信息保护合规审计提供了更为详细的指引。
有问题 Q 小治,在《小治Q&A:个人信息保护合规审计国标公开征求意见》中针对征求意见稿全文由生成式 AI 做出的核心解答,国标涵盖个人信息保护合规审计的原则、实施要求、流程、技术方法、风险识别、处置、监测、预防等各个方面,为个人信息处理者开展个人信息保护合规审计工作提供参考。
一 、《个人信息保护合规审计要求(征求意见稿)》有何亮点?
(一)突出个人信息保护合规审计的“监督”性质
个人信息保护合规审计是一项独立的监督活动,是对个人信息处理者的个人信息处理活动是否遵守法律、行政法规的情况进行审查和评价的监督。个人信息保护合规审计的“监督”性质意味着合规审计并不等同于一般意义的风险评估、风险监测,其不是在判断企业潜在的个人信息保护合规风险,而是在监督企业开展的个人信息保护工作是否符合法律法规要求。
同时,个人信息保护合规审计与基于《个人信息保护法》合规自查(health check)亦有不同。合规自查是企业在《个人信息保护法》实施初期的自查和合规差距弥补、合规框架搭建;个人信息保护合规审计则是,在《个人信息保护法》实施多年后,个人信息保护合规审计制度即将落地时,从企业整体层面做的客观“监督”检查。
《个人信息保护合规审计要求(征求意见稿)》提出合规审计的合法性、独立性、客观性、全面性、公正性、保密性原则。其中,“独立性”、“客观性”、“全面性”、“公正性”鲜明地体现出合规审计的监督性质。
|
|
---|---|
独立性 | 强调“审计人员”应独立于审计活动,与被审计方无利益冲突。具体体现在:
|
|
重点对“审计证据”提出要求,包括审计人员收集和记录的审计证据应保证其可信性,应采取科学、透明的方式获得审计证据,应保证审计证据的真实、完整、有效。具体体现在:
|
|
强调“多渠道”收集审计证据,对审计对象进行全面、系统的审计,确保证据充分。合规审计方法包括查阅相关文件或资料,访谈与个人信息处理活动有关的人员,调查相关业务活动及所依赖的信息系统等,调取、查阅个人信息处理活动相关数据或信息等多种形式。
企业需要注重审计方法的“全面性”,不能仅通过一种或者两种审计方法就得出审计结论。例如,如果个人信息保护合规审计仅通过查阅资料就得出审计结论,没有经过访谈、调查信息系统等的方式,那么该审计很难是全面的。 |
|
要求审计发现、审计结论和审计报告应真实和准确地反映审计活动;审计人员应报告在审计过程中遇到的重大障碍,以及审计组和被审计方之间没有解决的分歧。沟通必须真实、准确、客观、及时、清楚和完整。
基于“公正性”的要求,合规审计的实施流程会包括确认审计发现阶段的沟通协商、异议解决等的程序。 |
(二)借鉴境外数据安全审计要求并予以细化
《个人信息保护合规审计要求(征求意见稿)》编制说明3.1条指出:《个人信息保护合规审计要求(征求意见稿)》借鉴了欧洲数据保护主管(EDPS)的数据保护审计、英国ICO数据保护审计、法国CNIL数据合规审计等规则,充分吸收现有成熟的要求和方法。
由于欧洲、英国及法国的数据合规审计规则主要是向受监管机构展示政府如何开展数据合规审计,因此其规则主要是通过指南的形式撰写,并大量使用宽泛概括的语言对官方开展的数据合规审计进行宏观描述。相较于欧洲、英国及法国方针性的数据合规审计指南,《个人信息保护合规审计要求(征求意见稿)》则主要是面向个人信息处理者或第三方专业机构,提供具体的实操规则以便利个人信息处理者内部的数据合规审计机制的构建。
据此,《个人信息保护合规审计要求(征求意见稿)》在审计原则、审计程序、审计人员的要求及应具有的相应权力、审计内容、审计方式及审计证据方面做出更加细致全面的规定。更重要的是《个人信息保护合规审计要求(征求意见稿)》在其附录中将具体的审计内容、对应的审计方法及需要参考的审计证据及证据的效力一一对应,更清晰地向审计人员展示应该如何实际开展个人信息合规审计。
个人信息保护合规审计要求对比
审计主体 | |
中国 《个人信息保护合规审计要求(征求意见稿)》 |
|
|
|
|
|
|
|
审计形式 | |
中国 《个人信息保护合规审计要求(征求意见稿)》 |
|
|
|
|
|
|
《控制章程》明确CNIL可以通过以下四种方式进行审计:
|
审计主体与开展审计有关的权力 | |
中国 《个人信息保护合规审计要求(征求意见稿)》 |
|
|
《EDPS审计指南》明确EDPS有如下权力:
|
|
《ICO审计指南》未明确阐述ICO与开展审计有关的权力,但提及:
|
|
|
审查原则 | |
中国 《个人信息保护合规审计要求(征求意见稿)》 |
|
|
《EDPS审计指南》未明确规定审计原则,但其具体的规定体现了合法性(比如,阐明了审查权力来源、审查范围以及审查过程的记录,公正性(比如,审查结果可以通过司法程序进行申诉),保密性(比如,审查人员严格遵守保密措施),独立性(比如,明确EDPS是独立成立的监管部门)以全面性(比如启动审查需要综合考虑不同因素)等原则。 |
|
《ICO审计指南》未明确规定审计原则,但是其具体规定也体现了合法性(比如,规定了ICO的审查权力来源以及审查步骤)、客观性(比如,列明被审查的范围)、全面性(比如,风险评估需要综合考虑多种材料来源)、独立性(比如,明确ICO是确保数据规则得到遵守的独立保障)、公正性(比如,审查报告主要结论的公开)及保密性(比如,审查人员有严格保密要求)等原则。 |
|
《认证审核程序标准》要求个人信息处理者的审计程序中应要求其审计人员“遵守道德原则、公正地呈现结果、遵守职业道德、保持独立性和采用系统方法”。 |
审查主要流程 | |
中国 《个人信息保护合规审计要求(征求意见稿)》 |
《个人信息保护合规审计要求(征求意见稿)》附录A详细阐述了审计流程,概括如下: |
|
《EDPS审计指南》概括地描述EDPS进行审计的流程:
|
|
根据《ICO审计指南》,ICO审计流程概括如下:
|
|
根据《控制章程》CNIL现场审计包括如下步骤:
|
审计证据 | |
中国 《个人信息保护合规审计要求(征求意见稿)》 |
《个人信息保护合规审计要求(征求意见稿)》附录B对审计证据的类型,证据类型的举例以及不同类型的证据的有效性要求均做出详细规定。
|
|
|
|
(1)数据保护政策文件; 另外,ICO在审计过程中收集的访谈记录以及查阅的关键文件、记录和系统均是其撰写报告的依据。 |
|
(1)内部审计标准的相关摘录; |
审计内容 | |
中国 《个人信息保护合规审计要求(征求意见稿)》 |
《个人信息保护合规审计要求(征求意见稿)》附录C详细描述了个人信息保护合规审计内容并根据不同内容给出相应的审计方法及审计的具体证据。 |
|
《EDPS审计政策》仅概括地指出EDPS数据审计是为了确保欧盟主体遵守欧洲议会和理事会2018年10月23日关于在欧盟机构、团体、办事处和机构处理个人数据方面保护自然人以及关于此类数据自由流动的第(EU)2018/172号条例以及欧洲议会和欧盟理事会 2016年5月11日关于欧洲联盟执法合作局(欧洲刑警组织)的第2016/794号条例。 |
|
《ICO审计政策》仅宽泛地表明ICO审计是使其能够评估任何组织对个人数据的处理是否遵循良好做法。审计通常会评估组织的程序、系统、记录和活动,以便:
|
|
《控制章程》指出CNIL审计旨在审查组织对数据的处理是否符合《数据保护法》和《GDPR》,包括:
在审计过程中,CNIL特别关注以下几点: |
对审计提出异议的方式 | |
中国 《个人信息保护合规审计要求(征求意见稿)》 |
《个人信息保护合规审计要求(征求意见稿)》附录A4.1指出撰写审计报告前,审计人员与审计对象之间应建立异议解决机制,对审计对象提出异议的审计结论应及时进行沟通确认,并将沟通结果和审计结论归档保存。 |
|
《EDPS审计指南》指出被审计人可根据第 2018/1725号条例第 64(2)条和/或第2016/794号条例第48条的规定,向卢森堡欧盟法院提起针对与审计有关的任何EDPS决定的诉讼。 |
|
《ICO审计政策》未写明被审计人对审计决定或报告提出异议的方式,但是被审计人可以部分拒绝接受ICO提出的审计意见。 |
|
《控制章程》仅明确被审计人不能拒绝CNIL的审计,其并未明确审计人是否可以对审计结果提出异议。 |
(三)问题导向
《个人信息保护合规审计要求(征求意见稿)》作为我国首部个人信息保护合规审计的国家标准,以问题为导向,旨在填补个人信息保护合规审计的空白。个人信息处理者在开展个人信息保护合规审计前,一般都会提出类似的问题:个人信息保护合规审计由谁来做?具体实施流程如何?采取何种审计方法?如何撰写审计报告?《个人信息保护合规审计要求(征求意见稿)》对上述实践中可能遇到的问题均进行了回应:正文提出了个人信息保护合规审计的原则、实施要求;附录A明确了个人信息保护合规审计流程;附录B对审计证据的类型、审计证据有效性提出要求;附录C逐一列明个人信息合规审计的内容及方法;附录D和附录E分别给出合规审计的底稿模板及报告模板。上述做法为企业开展个人信息保护合规审计提供了有效的指引。
二、如何有效实施个人信息保护合规审计?
(一)审计机构
《个人信息保护合规审计要求(征求意见稿)》要求个人信息处理者董事会(审计委员会)、个人信息保护负责人或者主要负责人承担审计实施管理的最终责任。董事会(审计委员会)的引入是参考了原中国银监会发布的《商业银行内部审计指引》,在该指引项下,董事会应下设审计委员会,审计委员会对董事会负责,董事会对内部审计的独立性和有效性承担最终责任。
在具体的审计组建立上,需要综合考虑组织规模,业务种类,个人信息数量、种类、敏感程度,涉及系统的复杂程度等因素。如果组织内部有专职个人信息保护合规审计团队的,应从审计团队中选派相关审计人员;组织内未设置专职个人信息保护合规审计团队的,分别从内审团队、安全团队、法务团队等具有审计或个人信息保护相关专业能力的团队中选派人员(跨部门建立的合规审计团队也可以体现独立性);也可以委托第三方专业机构组建审计组,进行个人信息保护合规审计。
(二)审计流程
《个人信息保护合规审计要求(征求意见稿)》的审计流程包含审计计划、审计准备、审计实施、审计报告、问题整改、归档管理等的阶段。
在上述个人信息保护合规审计的实施流程中,需要注意的是:
审计计划不等同于审计方案。审计计划是一个更宏观层面的审计工作计划,确定审计的目标和范围,确定审计的依据和重点;审计方案更为具体,是审计人员在实施审计时需要执行的一系列既定步骤,对每一步审计行动做出具体规定,以确保审计目标的实现。
收集审计证据是审计实施的重点环节。审计底稿撰写、审计发现、审计报告都依赖于收集的审计证据,“审计证据”是个人信息保护合规审计的重中之重。审计人员应多渠道、广泛收集审计证据,降低审计风险,确保审计质量。
问题整改需在审计报告完成后才可进行,不能一边通过审计实施发现问题,一边进行问题整改。如果一边通过审计实施发现问题,一边进行问题整改,得出符合法律法规要求的结论,并记录在审计报告中,将有违个人信息保护合规审计的监督性质。
(三)审计证据
《个人信息保护合规审计要求(征求意见稿)》提出审计证据有效性的要求,这不仅关系到合规审计是否能够有效实施,也在一定程度上促进企业践行合规留痕。实践中,如果企业制定了个人信息保护相关制度,但是将其束之高阁,未经任何批准程序生效实施,那么该等制度将不会在合规审计中获得认可。
|
|
|
---|---|---|
|
组织章程、产品或服务合格认定制度、合规管理制度、保密制度、企业标准等 | 经过了正当的起草或批准程序并生效实施 |
|
隐私协议、用户服务协议、雇员合同、数据提供协议、委托处理协议、个人信息出境合同等 | 获得了协议各方的有效同意并实际生效和执行 |
|
职工人员表、系统开发档案、系统升级档案、工作会议档案、对外交流档案、个人信息处理活动记录、培训记录、应急演练记录、申请记录、审批记录、安全管控卡点记录等 | 能够反映真实情况的纸质或者电子记录 |
|
访问日志、存储日志、传输日志、删除日志等 | 未被篡改的原始记录 |
|
网络安全等级保护、个人信息保护认证、数据安全管理认证等 | 开展了有效的审查并出具了正式有效的证明,证明出具单位具有相应的证明能力且能够独立承担责任 |
|
机房检查记录、产品或服务实际运行检查记录、安全保护措施有效性检查记录等 | 两名以上个人信息保护合规审计人员参加检查并在检查记录签字 |
|
领导访谈笔录、一般雇员访谈记录、用户访谈记录等 | 两名以上个人信息保护合规审计人员参加访谈并签字,有被访谈人员签字的记录、访谈视频录制文件、审计人员记录的拒绝签字说明中的一项 |
|
投诉举报案例、司法裁判案例、行政处罚案例、新闻舆论案例等 | 与被审计者有关,无证据可以证伪 |
|
专家论证报告等 | 参与论证专家具备相应的专业知识,论证过程正当,论证意见具有说服力 |
|
应用系统个人信息处理检测报告、漏洞检测报告、渗透测试报告等 | 由具备技术能力的机构通过真实环境或者近似真实的测试环境开展测试,测试机构加盖公章并对内容真实性做出负责任的承诺 |
审计证据是个人信息保护合规审计实施流程的难点,本次国家标准给出了较为详细的证据示例和有效性要求。但是,具体工作中,仍存在更为细节的审计证据的选择和留存问题,需要根据企业具体情况去做判断。
三、结 语
《个人信息保护合规审计要求(征求意见稿)》的出台,将为企业开展个人信息保护合规审计提供有效指引。由于个人信息保护合规审计仍是较为前沿且不断发展的领域,《个人信息保护合规审计要求(征求意见稿)》也尚未定稿,相信个人信息保护合规审计制度仍有会新的变化。我们将关注个人信息保护合规审计的立法进展及行业实践,为企业开展个人信息保护合规审计提供有益指引。
本文作者:世辉律师事务所 王新锐、卢璟、王嘉瑛
在此声明以上观点和内容,仅代表原作者和出处,与数治网DTZed 无关,如有出错或侵害到相关合法权益,请通过电邮与我们联系:cs@dtzed.com。
在文末扫码关注官方微信公众号“idtzed”,发送“入”直通相关数治x行业共建群、AIGC+X 成长营,@老邪 每周免费领取法规、标准、图谱等工具包。
欢迎先注册,登录后即可下载检索个人信息保护等相关标准、白皮书及报告。更多高质量纯净资料下载,在文末扫码关注官方微信公众号“idtzed”,进入公众号菜单“治库”。