认真对待合规审计，为个人信息保护护航

今天和大家分享的是对刚刚公布的【国家互联网信息办公室关于《个人信息保护合规审计管理办法（征求意见稿）》公开征求意见的通知】的一点观察。

(资料图)

8月3日，中央网信办就《个人信息保护合规审计管理办法》（简称《办法》）及配套的《个人信息保护合规审计参考要点》（简称《要点》）公开征求意见。《办法》和《要点》本质上是为了发挥个人信息保护合规审计的积极效用，也同时为我国《个人信息保护法》第五十四条（“个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计”）和第六十四条（“履行个人信息保护职责的部门在履行职责中，发现个人信息处理活动存在较大风险或者发生个人信息安全事件的，可以按照规定的权限和程序对该个人信息处理者的法定代表人或者主要负责人进行约谈，或者要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。个人信息处理者应当按照要求采取措施，进行整改，消除隐患”）的落地，提供了具体的执行细则。

本文拟从个人信息保护合规审计的效用、触发条件、审计基准这三方面，谈一谈对我国个人信息保护合规审计工作的理解和认识。

一、个人信息保护合规审计的效用

开展个人信息保护合规审计的目的，是在于明确以下事项：一是个人信息处理者是否实施了管理个人信息处理活动的相关政策和程序；二是这些政策和程序是否符合个人信息保护相关的法律法规的要求；三是个人信息处理活动是否真实地遵照这些政策和程序来展开，以及存在哪些差距；四是提出对这些政策和程序的具体内容、执行等方面的改进建议。

不难看出，当一个组织经常性地开展个人信息保护合规审计，它就能有效地识别和控制个人信息处理产生的风险，以防止个人信息保护违规行为的发生（本文称为“自行开展审计”）。同时，履行个人信息保护职责的部门也可以利用个人信息保护合规审计，全面系统地了解特定个人信息处理者的个人信息保护“水位”（本文称为“部门委托审计”）。从这个角度来看，个人信息保护合规审计可以被看成对个人信息处理者的“体检”。和针对个人健康的体检一样，针对个人信息处理者的“体检”可以是自查，也可以是特定情形下按照规定和要求开展的检查，例如大多数人经历过的入职体检。

个人信息保护合规审计已经成为国际通行做法。以欧盟《通用数据保护条例》（GDPR）为例，其同样规定了两种形式的个人数据保护审计。GDPR第39条规定，个人数据控制者和处理者所任命的数据保护官的职责之一，就是“监测是否符合GDPR、其他欧盟或成员国法律、控制者或处理者数据保护政策的规定，包括内部的数据处理职责的分配、增强数据保护意识、培训、相关的审计等”。GDPR第47条规定，能够支撑数据跨境流动合法性的“有约束力的公司准则”（BCR）的一个必要元素之一，即是BCR是否包含”内部确保准则落实的机制。机制应包括数据保护审计，以及保障数据主体权利的方式……”GDPR第58条规定，个人信息保护监督机构（supervisory authority）的调查权之一即是“以个人信息保护审计的形式开展调查”（“to carry out investigations in the form of data protection audits”）。可见，GDPR和我国一样，都规定了“自行开展审计”和“部门委托审计”两种形式的个人信息保护审计。

二、个人信息保护合规审计的触发条件

对于“自行开展审计”，《办法》规定“处理超过100万人个人信息的个人信息处理者，应当每年至少开展一次个人信息保护合规审计；其他个人信息处理者应当每二年至少开展一次个人信息保护合规审计”。

对于“部门委托审计”，《办法》规定的触发条件是“履行个人信息保护职责的部门在履行职责中，发现个人信息处理活动存在较大风险或者发生个人信息安全事件的”。从笔者的经验来说，可能导致监管部门认为存在较大风险的因素，包括以下事项：

根据向监管部门提出的投诉，个人信息处理者对此的回复，以及个人信息处理者的合规“历史”；

个人信息处理者自我报告的违规行为（例如对个人信息安全事件的报告或通知），以及该处理者提出的补救行动；

与个人信息处理者的日常沟通中，如果展现出个人信息处理者对个人信息保护合规控制的缺乏，以及对个人信息保护立法的薄弱理解；

新闻报道，如披露个人信息处理者在处理个人信息方面存在重大缺陷的新闻报告，以及来自其他监管机构的信息；

个人信息处理者发布的各种声明（如社会责任报告）或披露的各种信息，特别是这些信息凸显了其在个人信息处理中存在的问题；

上线新技术新应用时，触发公众舆论或没有采取相应额外的个人信息保护措施；

个人信息处理者的规模，包括正在处理的个人信息的数量和性质；以及

其他相关信息，如"内部举报人"的报告、个人信息处理者披露的个人信息保护影响评估报告、个人信息黑灰产中流传的线索等。

三、个人信息保护合规审计的审计基准 对个人信息处理者制定和实施的个人信息保护相关政策和程序，需要有个“标尺”。《要点》即是承担起这个角色。从要点的内容来看，其构成包括《个人信息保护法》中的具体规定，以及个人信息保护相关的部门规章（例如《要点》中关于数据跨境的内容）。

很显著的一点是，《要点》大量吸收了相关网络安全国家标准的具体规定。例如《个人信息安全规范》（GB/T-35273）、《个人信息安全影响评估实施指南》（GB/T-39335），以及正在制定的相关标准的主要内容。

另外值得注意的一点是，《要点》为参考性质。换句话说，《办法》中规定的审计实施程序、专业机构开展审计所需的权限、对专业机构的要求规范等，是强制性的，但是审计是否完完全全按照《要点》开展，是需要进一步裁量判断的。

举例来说，“部门委托审计”完全可以在《要点》的基础上，针对特定的个人信息处理者及其可能产生的个人信息安全风险“量体裁衣”，额外提出特定的审计要点，以力求对具体的风险“吃准摸透”。也只有这样“刨根问底”，提出的整改或改进措施才会“有的放矢”。

四、小结

实际上，除了及时发现、预防、整治个人信息安全风险之外，个人信息保护合规审计还有诸多好处。例如，通过开展审计，能够提高个人信息处理者内部上下人员对个人信息保护、数据和网络安全等方面的认识；审计的开展和报告的对外发布，能够向外界表明个人信息处理者认识到并以实际行动致力于个人信息保护和个人权益的维护，并能够通过专业机构的“背书”对外界展示个人信息处理者所实施政策和程序的质量等等。借着《办法》和《要点》的公开征求意见，个人信息处理者应当认真对待个人信息保护合规审计，最大化这个工具的功效，提升自身的个人信息保护水平。（洪延青）

标签：