个人信息保护合规审计是《个人信息保护法》项下个人信息处理者的法定义务,也是落实多层次个人信息保护监督体系的重要手段。2023年8月,国家互联网信息办公室发布《个人信息保护合规审计管理办法(征求意见稿)》(以下简称“合规审计办法”),进一步明确和细化了个人信息保护审计的适用情形、工作流程、参考要点等事项,推动个人信息保护合规审计从原则性要求到“可落地、可执行”的转变。我们将结合开展合规审计的项目经验,分三篇文章说明如何有效实施个人信息保护合规审计。
1. 个人信息保护合规审计是什么?
个人信息保护合规审计不是一般意义上的风险评估、风险监测、认证,风险评估、风险监测是内部合规管理的工作内容,目的是实现对个人信息处理活动的风险控制;认证则是第三方评价机制,由第三方机构对产品、服务或企业的管理体系、人员能力等做出评价,从而可供社会对评价结果进行采信。
个人信息保护合规审计是一项独立的个人信息保护监督活动。《合规审计办法》第3条规定,明确了个人信息保护合规审计的“监督”性质。因此,个人信息保护合规审计需要得出个人信息处理活动是否“符合”法律法规要求的结论,而非仅得出个人信息处理活动的风险程度(例如风险高、中、低)的判断。
同时,基于个人信息保护合规审计的监督性质,企业并不能一边实施个人信息保护合规审计,一边进行合规整改,从而得出符合法律法规要求的结论。只有在完成个人信息保护合规审计后,企业才能根据发现的问题进行整改,否则个人信息保护合规审计就丧失了监督的作用与功能。
2. 个人信息保护合规审计的审计原则
由于个人信息保护合规审计的独立监督活动的性质,个人信息保护合规审计最重要的原则就是独立性、客观性、公正性。
- 独立性原则
独立性原则要求实施审计的人员独立于审计活动,审计人员与被审计的对象没有利益关系。在《合规审计办法》项下,企业可以自己开展个人信息保护合规审计,也可以委托专业机构开展。如果是委托外部专业机构开展,为了确保专业机构的独立性,《合规审计办法》要求执行个人信息保护合规审计的专业机构连续为同一审计对象开展个人信息保护合规审计不得超过三次。
如果是公司自己开展合规审计,也需要体现独立性。如果企业内部有独立的内审团队,该团队不直接参与审计对象的经营管理活动,不与合规审计对象存在直接利害关系,那么可以由该团队牵头实施个人信息保护合规审计。
如果企业内部没有独立的内审团队,跨部门建立的合规审计团队也可以体现独立性。例如,可以由法务、合规、IT等部门跨部门建立合规审计的团队,牵头实施个人信息保护合规审计。
- 客观性原则
客观性原则要求任何审计结论必须基于审计证据,合规审计对证据的抽样、证据集、证据链的要求都比较高。可以说,“证据”是个人信息保护合规审计的重中之重。
以“处理个人信息是否取得个人同意,该同意是否是在个人信息主体充分知情的前提下自愿、明确作出的”作为审计内容为例,需要的审计证据包括个人信息处理规则、征得个人同意的机制、个人信息安全检测报告。其中,个人信息处理规则意在证明是否在个人信息主体充分知情的前提下作出同意;征得个人同意的机制意在证明是否能够保证个人自愿、明确作出同意,不存在默认同意、强制同意、欺骗诱导等的行为;查验个人信息安全检测报告为了证明报告是否覆盖审计内容,安全检测结果是否通过。
- 公正性原则
公正性原则要求审计工作实事求是,以客观的、充分的证据作为支撑,审计人员的审计发现、审计结论及审计报告应当是真实和准确的。审计人员应当实事求是,做成不带偏见、符合实际的中立判断。
如果审计过程中遇到的重大障碍,以及审计组和被审计方之间没有解决的分歧,应当及时向审计组提交真实、准确、完整的书面报告。
3. 个人信息保护合规审计的审计权限
3.1 审计权限行使的全面性
《合规审计办法》规定了委托专业机构开展个人信息保护合规审计应当能够正常行使的多项权限,包括要求提供或者协助查阅相关文件或资料、调查相关业务活动及所依赖的信息系统、访谈与个人信息处理活动有关的人员等。企业应当注重上述权限行使的“全面性”,确保上述所有权限都能正常行使,而非仅有一项或者几项能够行使。例如,如果个人信息保护合规审计仅通过访谈就得出审计结论,没有查阅资料、调查信息系统等的其他权限,是很难说明审计结论是客观公正的。
以审计个人信息分类的合规要求为例,需要查阅个人信息分类的制度及依据,来判断是否对个人信息资质进行了全面的梳理;同时,也需要查阅数据防护策略,是否根据不同类别个人信息采取防护措施。此外,还需要访谈有关人员,能否对个人信息的来源、用途及分类进行说明。
3.2 如何行使相关审计权限
合规审计的基本方法包括详查和抽样两种方法,具体可以运用人员访谈、系统检查、技术测试等多种审计方法。其中,人员访谈主要是对审计范围内的个人信息处理过程、保护措施设计和实施情况进行了解、分析和取证,访谈的人员一般涉及到公司的业务人员、IT人员、合规人员等。
系统检查的范围包括但不限于:
(1)个人信息处理过程的信息输入、处理、输出及其信息共享与业务协同的相关保护措施;
(2)个人信息处理活动关键控制节点(申请/审批/授权);
(3)承载个人信息处理活动的系统、应用、数据和安全措施等。
技术测试可以通过数据测试、数据验证、审计工具检测信息系统的情况,发现是否存在不合规的情况。例如,对于企业所采取的技术措施,可以选取可能影响个人信息安全的未整改问题,进行技术检测,测试是否仍存在严重安全风险。
4. 个人信息保护合规的审计范围
4.1 审计范围的风险导向原则
在实施个人信息保护合规审计前,首先需要明确个人信息保护合规审计的范围。审计范围的选择一般依据合规审计的目标确定。合规审计的目标通常以风险为导向,通过科学的审计程序及方法,发现合规审计对象存在的合规问题和违规行为。因此,在审计范围选取时,可以优先考虑合规风险处于高、中的领域或者实体,将审计资源在高、中风险和低风险领域或实体之间进行合理分配,在保证审计效率的同时,降低合规风险。例如,企业某一主营业务场景涉及敏感个人信息处理,且数据量较大,那么企业可以将该主营业务场景设置为优先审计的对象,降低合规风险。
实践中,企业可以将影响审计范围选择的关键因素纳入一个选取规则或模型中。合规审计的范围选取的关键因素一般包括:(a)风险因素;(b)管控因素;(c)特殊事项考虑因素。上述因素下面又有多项子因素。企业可以将上述因素都统一纳入一个选择规则或模型,通过综合评分的方法进行计算排序,确定审计的优先级顺序。
4.2 与合规检查协同
由于合规审计的范围选取需要考虑风险的因素、管控的因素,因此企业有必要在合规审计前先开展合规检查,更好地判断相关实体或领域的风险情况、管控情况,为合规审计打下基础。通常而言,在开展合规审计之前的六个月且不超过一年的期间里,合规团队就可以先行开展合规检查工作。同时,合规检查也有助于发现问题并进行及时整改,因为个人信息保护合规审计是独立的监督活动,企业不能一边进行审计,一边依据审计发现的问题进行整改,并将整改后的情况反映到审计报告中。
4.3 合规审计的范围选取
审计工作的范围既可以针对企业整体,也可以针对具体的业务场景、数据处理环节、企业实体。企业可以按照审计顺序的优先性,有序开展合规审计,最终实现全覆盖。合规审计的范围选择可以考虑下述角度:
|
具体内容 |
业务场景 | 涉及个人信息处理活动的业务场景,例如即时通讯、线上销售、网络游戏、互联网广告等 |
业务形态 | 涉及个人信息处理活动的系统、产品和服务的业务形态,例如移动应用程序、客户管理系统、小程序、官方网站等 |
实体对象 | 涉及个人信息处理活动的实体对象,例如集团、分子公司、部门、业务线、合作方等 |
处理环节 | 涉及个人信息处理的环节,例如收集、存储、使用、加工、传输、提供、公开、删除等各个环节 |
特殊类型 | 涉及个人信息处理的特定技术、特定对象、特定数据类型等。例如针对员工个人信息处理、未成年人个人信息处理、人脸信息处理等 |
涉及个人信息处理的特定技术、特定对象、特定数据类型等。例如针对员工个人信息处理、未成年人个人信息处理、人脸信息处理等
结语
在个人信息保护合规审计在我国一个相对崭新的工作领域,如何有效实施个人信息保护合规审计是企业落实合规义务都会面临的问题。我们在本篇介绍了个人信息保护合规审计的制度要点,分析个人信息保护合规审计的性质、审计原则、审计权限、审计范围,我们将在下篇继续介绍如何在流程上有效实施个人信息保护合规审计。
本文作者:世辉律师事务所 王新锐 卢璟