国枫观察 | 纲举目张——个保合规审计新规的沿革新异与张弛之度
发布时间:2025.02.28
来源:
浏览量:910
备受关注的《个人信息保护合规审计管理办法》已公开发布并将于5月1日正式施行。作为对《个人信息保护法》第五十四条个人信息保护合规审计法定义务的细化指引,新规相较征求意见稿而言,有一种纲举目张、动中窾要的弹性感。希望我们的些许解读,能够帮助不同合规层级的个人信息处理者更好地理解新规、探索实践。
2025年2月14日,备受关注的个人信息保护领域新规——《个人信息保护合规审计管理办法》由国家互联网信息办公室(以下简称“国家网信办”)正式发布,并将于今年5月1日起施行。之所以关注,是因为它正对应着《个人信息保护法》第五十四条规定的法定义务的落地实施,即“个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计”。《个人信息保护法》生效已逾三年,个人信息处理者应当如何进行个人信息保护合规审计?应以怎样的频次进行个人信息保护合规审计?处理个人信息数量规模不同的个人信息处理者,在个人信息保护合规审计法定义务方面是否会有区别对待?这些都是个人信息处理者以及个人信息保护从业人员特别关心的问题。现在新规出台,有了尺度,有了标准,该干的活儿也能启动起来。
那么,就一起梳理下我国个人信息保护合规审计相关规定的发展历程,感受新规的变化和独特。
- 2021年11月1日施行的《个人信息保护法》第五十四条规定:“个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计”。
- 2023年8月3日,国家网信办发布《个人信息保护合规审计管理办法(征求意见稿)》(含附件《个人信息保护合规审计参考要点》)。
- 2024年7月12日,全国网络安全标准化技术委员会发布国家标准《数据安全技术 个人信息保护合规审计要求(征求意见稿)》,该稿标注的完成时间为“2024年6月27日”(自国标征求意见稿发布后,相关机构在2024年10月、11月、12月及2025年1月陆续更新了国标征求意见稿及国标送审稿)。
- 2024年9月30日公开发布的《网络数据安全管理条例》第五十二条规定:“个人信息保护合规审计、重要数据风险评估、重要数据出境安全评估等应当加强衔接,避免重复评估、审计”。
- 2025年2月14日,国家网信办发布《个人信息保护合规审计管理办法》(含附件《个人信息保护合规审计指引》)
正如财务审计、IT审计等专业审计,个人信息保护合规审计(以下简称“合规审计”)也是一项专业审计——法律方面的专业审计。如前文所述,《个保法》第五十四条规定“个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计”;《个保合规审计办法》第二条规定“本办法所称个人信息保护合规审计,是指对个人信息处理者的个人信息处理活动是否遵守法律、行政法规的情况进行审查和评价的监督活动”。所以,合规审计是法律方面的专业审计。
三、哪些主体需要开展合规审计?
应以怎样的频次开展合规审计?
如果存在受《个保法》管辖的个人信息处理活动,那么个人信息处理者就有定期开展个人信息保护合规审计的法定义务。但是,依据《个保合规审计办法》开展合规审计存在例外,即国家机关和法律、法规授权的具有管理公共事务职能的组织的合规审计,不适合《个保合规审计办法》。需要指出,例外情形是《个保合规审计办法》新增内容,《个保合规审计办法(征)》中并未涉及。虽然例外,但例外的是不适用《个保合规审计办法》,并不代表国家机关和法律、法规授权的具有管理公共事务职能的组织无需合规审计,只是新规对其不适用。当然,《个保合规审计办法》也明确了系针对在中国境内开展的合规审计活动,延展思考一下,对于满足《个保法》第三条第二款情形时(即个人信息处理行为在境外,但受到《个保法》管辖的情形),是否应由其境内设立的专门机构或者指定代表[1]在中国境内开展合规审计,这些问题有待时间和实践给出答案。关于开展合规审计的频次要求,因为个人信息处理者处理个人信息的数量规模不同而有所区别。在《个保法》中,仅是原则性的提出要“定期”合规审计。此次《个保合规审计办法》的发布,明确提出了处理超过1000万人个人信息的个人信息处理者每两年至少开展一次合规审计的要求,但并未就处理不超过1000万人个人信息的个人信息处理者(以下简称“非达量个人信息处理者”)明确频次要求。那非达量个人信息处理者怎么操作呢?在国家网信办有关负责人就《个保合规审计办法》相关问题答记者问中可以找到答案:“其他个人信息处理者根据自身情况合理确定定期开展个人信息保护合规审计的频次” [2]。即赋予了非达量个人信息处理者关于“定期”的自主决定权(当然,“定期”得合理,但怎样算合理,这又是一个新问题)。说到个保合规的审计频次,值得进一步说说《个保合规审计办法(征)》和《个保合规审计办法》在达量个人信息和审计频次上的重大变化。《个保合规审计办法(征)》第四条规定,处理超过100万人个人信息的个人信息处理者,应每年至少开展一次合规审计;其他个人信息处理者应当每两年至少开展一次合规审计。可以明显看到,《个保合规审计办法(征)》的达量个人信息的数量规模是100万人,而《个保合规审计办法》是1000万人,大幅提高了达量标准,即重点关注在处理规模数量巨大的个人信息处理者的个保合规义务的履行;同时,在审计频次上,《个保合规审计办法(征)》中对达量个人信息处理者的频次要求是每年至少一次,非达量个人信息处理者为每两年至少一次,而在《个保合规审计办法》中,最高法定频次已调整为每两年至少一次,且对非达量个人信息处理者更是给予了自主决定权,实质性减轻了大部分尤其是小型个人信息处理者关于合规审计法定义务的实施压力。合规审计,可以区分为自主审计和强制审计。自主审计,是自主开展的,是自发的、主动的;强制审计,是监管要求,是被动的、强制的。(一)自主审计,可以“自审”,也可以“外审”;强制审计,只能“外审”,不得“自审”。
(二)新规增加了和公益诉讼匹配情形作为强制审计的触发情形,增加了可衡量的数字标准,更完备、更具可操作性
《个保法》第七十条规定了个人信息保护公益诉讼的情形,个人信息处理者违反《个保法》规定处理个人信息,侵害众多个人的权益的,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。相对应的,就强制审计的触发情形,在《个保合规审计办法(征)》原有情形的基础上,《个保合规审计办法》将“个人信息处理活动可能侵害众多个人的权益”做了新增。此外,对于个人信息安全事件,《个保合规审计办法》提供了可衡量的数字标准,即导致100万人以上个人信息或者10万人以上敏感个人信息泄露、篡改、丢失、毁损的,增加了落地实践的可操作性。(三)新规对强制审计的完成时限和整改报告报送时限有“改”有“添”
《个保合规审计办法(征)》对于监管要求的强制审计,明确了90个工作日的完成时限,虽有报批后可延长时限的弹性约定,但言下之意是90个工作日是时限要求的常态。然而,不同规模的个人信息处理者,千差万别的个人信息处理场景,确定统一适用的完成强制审计的时限确有挑战,所以可以看到《个保合规审计办法》将完成强制审计的时限由数字改为了灵活性的“限定时间内”。但同时,对于问题整改后向保护部门报送整改情况的时限,新规新添了确定的工作日要求,即整改完成后15个工作日内完成报送。五、对合规审计机构(“专业机构”)的
要求发生重大转变
合规审计机构(《个保合规审计办法》中的“专业机构”),是受托开展个人信息保护合规审计的外部机构。取消“推荐目录”,鼓励参与认证,是新规在征求意见稿上的重点转变。《个保合规审计办法》取消了《个保合规审计办法(征)》中关于“按照统筹规划、合理布局、择优推荐的原则建立个人信息保护合规审计专业机构推荐目录”以及动态调整推荐目录的规定,更新调整为专业机构应当具备开展个人信息保护合规审计的能力,有与服务相适应的审计人员、场所、设施和资金等,并鼓励专业机构通过《中华人民共和国认证认可条例》规定的相关认证。专业机构推荐目录的取消,给予了更多市场主体积极参与的机会。此外,虽说自主审计和强制审计均有委托专业机构进行审计的情形,但在监管要求时,个人信息处理者选择专业机构的自由度将受相应限制,即“应当按照保护部门要求选定专业机构”。关于针对专业机构的要求,另有“不得转委托”[3] 和“确保独立性”[4] 的要求。字面上非常容易理解,但也会引发一些思考。比如,在数据和个人信息保护方面,安全技术措施等保护措施是合规必备项,所以企业为保护个人信息和数据所采取的技术措施是否行之有效,是否与风险程度相适应,或者形同虚设,这是合规审计需要评价的问题,但这方面似乎是法律专业人员所欠缺的能力,不得转委托,那么如何做出合适的审计评价,这是实践需要面对的问题。
《个保合规审计办法》规定,处理100万人以上个人信息的个人信息处理者应当指定个人信息保护负责人,负责个人信息处理者的个人信息保护合规审计工作。即,国家网信部门通过新规,确定了《个保法》中未予明确的数量规模要求。《个保法》出台后,业界一定在揣测和求证,《个保法》第五十二条规定的“处理个人信息达到国家网信部门规定数量的个人信息处理者”[5] 究竟是怎样的数量级,因为这个数量级意味着需要履行指定个人信息保护负责人的法定义务。此前,在《信息安全技术 个人信息安全规范》(GB/T 35273-2020)中曾有规定,满足以下条件之一的组织应设立专职的个人信息保护负责人和个人信息保护工作机构:1)主要业务涉及个人信息处理,且从业人员规模大于200人;2)处理超过100万人的个人信息,或预计在12个月内处理超过100万人的个人信息;3)处理超过10万人的个人敏感信息的。近年来,在数据合规和个人信息保护领域的法律法规和落地实践来看,处理100万人以上个人信息的个人信息处理者总在出现,例如2022年颁布实施的《数据出境安全评估办法》,规定适用数据出境安全评估的主体,除了关键信息基础设施运营者以外,还有处理100万人以上个人信息的数据处理者。本次新规明确100万以上个人信息数量,符合业界预期。
《个保合规审计办法(征)》的附件是《个人信息保护合规审计参考要点》,《个保合规审计办法》的附件是《个人信息保护合规审计指引》(附件名称变了,提示一下)。从《审计参考要点(征)》到《审计指引》的变化,首先值得关注的是制定依据。《审计参考要点(征)》的制定依据是“《中华人民共和国个人信息保护法》等法律、行政法规和国家标准的强制性要求”[6],而《审计指引》的制定依据是“《中华人民共和国个人信息保护法》、《网络数据安全管理条例》等法律、行政法规”。关于《网数条例》的新增,是因为《网数条例》在《审计参考要点(征)》征求意见时尚未发布,而到《审计指引》发布时,作为个人信息保护领域重要的行政法规,已正式施行的《网数条例》自然增加其中,成为重要制定依据。但细心的读者可以发现,《审计参考要点(征)》的制定依据“国家标准的强制性要求”在《审计指引》中不见了。其实,在《个保法》第五十四条规定中,法定义务已写明“个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计”,没有“等”字。在征求意见稿阶段,将强制性国标作为制定依据之一,受到了诸多关注。而在此次正式发布的新规附件《审计指引》中,制定依据已经回归为与《个保法》第五十四条一致的“遵守法律、行政法规的情形”的表述。但有目共睹,在我国个人信息保护的落地实践中,一些虽非强制性、但实践中被广泛认可、甚至成为行业共识的国家标准(比如耳熟能详的GB/T 35273-2020《信息安全技术 个人信息安全规范》、GB/T 39335-2020《信息安全技术 个人信息安全影响评估指南》等等),是个人信息处理者指导自身个人信息保护工作,或者监管部门检查相关个人信息处理者个人信息保护工作落实情况的重要参考依据。因此,虽然在《审计指引》中删去了国家标准作为制定依据,但在2024年7月发布的《审计要求国标(征)》中,在“编制和评审审计方案”的章节提出“审计人员编制项目审计方案时,应充分借鉴个人信息保护相关法律、行政法规、国家标准和行业规范”,且在附录《个人信息保护合规审计报告模板》中,审计依据应说明实施本次审计所依据的相关法律、行政法规、政策文件、国家标准等(注:此处不但有国家标准,还提到了政策文件,且列举了多项个人信息保护相关的部门规章、规范性文件)。据此,在合规审计的实践落地中,建议不仅以法律、行政法规为合规标尺,更应结合业内实践,尤其是参考已形成共识的国家标准和行业规范,与主流做法对齐。
相较而言,在重点审查事项方面,《审计指引》较《审计参考要点(征)》更聚焦核心,更为“瘦身”、“松绑”。从条款数量上,从《审计参考要点(征)》的31条到《审计指引》的27条,数量上做了缩减,一些在《审计参考要点(征)》中的审计要点被整体删除,例如整体删除了《审计参考要点(征)》第十六条关于向境外提供个人信息时,个人信息处理者应对境外接收方所采取的监督措施的有效性的审查;再如整体删除了第二十条关于对个人信息处理者履行主体责任情况的评价;又如整体删除了第二十八条关于对大型互联网平台运营者由外部成员组成的独立机构的独立性、履职能力、监督作用的评价要求等。就保留的审查事项,审查重点亦有松绑和简化,例如对于共同处理之其他方,对于委托处理之受托方,对于转移情形、对外提供、向境外提供个人信息之接收方,审查内容都做了大幅简化,回归到个人信息处理者自身的合规审查和评价;再如自动化决策部分,大幅删减了征求意见稿中关于算法模型安全评估和备案、算法模型科技伦理审查、用户标签功能、算法和参数模型保护措施、人工操作记录等内容的审计评价要求;又如在个人信息保护影响评估的审查内容中,删去了报告和处理记录至少保存三年的审查项。诸多“瘦身”内容不一一细数。《审计指引》中重点审查事项的“瘦身”,除了给企业适度松绑外,可能或多或少也与制定依据的调整有关。《审计参考要点(征)》中重点审查事项,有不少规范性文件、国家标准的踪影,故而当制定依据回归为“法律、行政法规”时,一些非制定依据范围内的审查内容自然需做调整。
通过以上解读可以感受到,本次《个保合规审计办法》,相较此前的征求意见稿,更给人一种纲举目张、动中窾要的弹性感,既不会事无巨细而导致个人信息处理者如履薄冰,也不会因过于原则而失去合规边界和锚点,让不同合规层级的企业能够定制出契合自身的合规审计方案,具备了切实的可行性。个人信息保护合规审计已来,可能有一天,合规审计会成为企业上市、对外投融或者参与重大竞标项目的“必答题”、“硬通货”。主动拥抱个人信息保护合规审计,大家准备好了吗?
查看脚注
[1]《个保法》第五十三条规定,本法第三条第二款规定的中华人民共和国境外的个人信息处理者,应当在中华人民共和国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务,并将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门。
[2]摘自https://mp.weixin.qq.com/s/x9dO4ruh8JoeTxyMUF61Og,《个人信息保护合规审计管理办法》答记者问时,国家互联网信息办公室有关负责人针对“问4”的回答,提到” 处理超过1000万人个人信息的个人信息处理者,应当每两年至少开展一次个人信息保护合规审计。其他个人信息处理者根据自身情况合理确定定期开展个人信息保护合规审计的频次”。
[3]《个保合规审计办法》第十四条规定,专业机构不得转委托其他机构开展个人信息保护合规审计。
[4]《个保合规审计办法》第十五条规定,同一专业机构及其关联机构、同一合规审计负责人不得连续三次以上对同一审计对象开展个人信息保护合规审计。
[5]《个人信息保护法》第五十二条规定,处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。个人信息处理者应当公开个人信息保护负责人的联系方式,并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门。
