作者:陈际红 刘连炻 韦龙杰
序言
《个人信息保护法》(以下简称,“《个保法》”)将定期合规审计确立为个人信息处理者的一项法定义务。审计,作为一项风险检视及控制的工具被广泛应用于多个行业领域,但在个人信息保护领域如何开展和实施,仍有诸多不明确之处。目前,业界普遍的困惑包括:
什么情况下触发合规审计?
审计应按照什么程序开展?
审计应包括的必要内容有什么?
内审还是外审?
谁是《个保法》项下的适格审计机构?
审计报告可用于什么目的?
本文对上述问题提出一些思考,以期为个人信息处理者落实《个保法》项下的合规审计提供参考路径。
一.数据合规审计的法定要求
(一)从非强制义务到强制义务
个人信息处理者的合规审计义务并非在《个保法》中首次提出。2020年10月生效的《信息安全技术 个人信息安全规范》(以下简称,“《个人信息安全规范》”)[1]第11.7条对个人信息处理的安全审计作出规定,将个人信息保护政策、相关规程和安全措施列为审计对象,明确了审计活动记录及留存的相关要求。然而,由于《个人信息安全规范》在效力层面仅为推荐性国家标准,该要求的实际落地情况并不尽如人意。
2021年11月1日《个保法》生效,首次在法律层面规定个人信息处理者应该对其遵守法律、行政法规的情况进行审计。《个保法》项下的审计分为个人信息处理者的自主审计和强制外部审计两种类型。具体而言:
自主审计,《个保法》第五十四条要求个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。对此条款,我们可以理解为一个限定及一个开口。所谓限定,是指审计的法律基准应当属于“法律、行政法规”层级;所谓的开口,是指未对《个保法》下的审计是内审还是外审、审计的频次予以明确。自主审计虽然构成《个保法》项下个人信息处理者的强制性义务,但从立法目的来看,重在强调企业对自身的个人信息处理活动通过审计进行定期自查。因此,审计的频次、以及是否采用外部审计资源,企业可以基于风险导向原则来加以确定。
强制外部审计,《个保法》第六十四条规定,履行个人信息保护职责的部门在履行职责中,发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,可以要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。强制外部审计一方面可以利用外部独立机构的专业知识和能力,帮助个人信息处理者更客观、全面地发现、识别合规问题,明确合规差距;另一方面,外部审计机构的审计结果也可以为监管机构开展进一步的执法活动提供依据。
(二)从“个人信息”到“数据”
《个保法》生效之后,国家互联网信息办公室(以下简称,“CAC”)于2021年11月14日发布《网络数据安全管理条例(征求意见稿)》(以下简称,“《网数条例》”)。与《个保法》一脉相承,《网数条例》第五十八条规定了数据处理者的自主审计和强制外部审计义务,具体而言:
自主审计,要求数据处理者应当委托数据安全审计专业机构定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。相较于《个保法》中的自主审计,此处的自主审计明确为外部审计;而在审计依据的效力层级上,延续了《个保法》上做出的限定,应为“法律、行政法规”。
强制外部审计,则是主管、监管部门组织开展的对重要数据处理活动的审计,主要聚焦于重要数据处理活动的安全。结合后文将展开介绍的《网数条例》第五十三条,我们也可以看出,《网数条例》将数据合规审计的对象从“个人信息”扩大到“数据”,其中“重要数据”更是监管部门的审计重点。
(三)针对大型互联网平台的特别审计义务
《网数条例》第五十三条对大型互联网平台运营者的合规审计义务做出了特别规定。相较于《个保法》,《网数条例》对大型互联网平台运营者的特别规定之处可以归纳为三个关键词:“第三方审计”、“年度审计”和“审计公开”。据此,《网数条例》项下所规定的合规审计,应该由独立于大型互联网平台运营者的第三方审计机构进行,属于外审;审计的频率是每年一次;审计结果应该对外披露,接受监督。同时,《网数条例》对合规审计范围也作出了规定,应包含平台数据安全情况、平台规则和自身承诺的执行情况、个人信息保护情况、数据开发利用情况等事项。
与此同时,作为部门立法尝试,国家市场监督管理总局(以下简称,“市监总局”)于2021年10月29日发布的《互联网平台分类分级指南(征求意见稿)》(以下简称,“《分级指南》”)以及《互联网平台落实主体责任指南(征求意见稿)》(以下简称,“《平台指南》”)也与此呼应。《平台指南》第八条规定,“超大型平台经营者应定期委托第三方独立机构对本指南所规定的主体责任遵守情况进行审计”,此条指向的对象是“超大型平台”。同时,《平台指南》对审计报告的内容也做出了要求,包括:(一)接受审计的超大型平台的名称、地址和联系方式;(二)开展审计活动的机构组织的名称和地址;(三)审计主要结论;(四)实现合规的操作建议。值得一提的是,《平台指南》项下的审计范围是“对本指南所规定的主体责任遵守情况”,并不限于数据合规,这也是与《个保法》《网数条例》项下的合规审计的主要区别。
(四)关于合规审计义务的总结
基于上述规定,对于我国现行法律框架下不同主体的数据合规审计义务总结如下:
图表 1我国现行法律框架下数据合规审计义务总结
二.合规审计的国际实践
2018年5月25日生效的《通用数据保护条例》(General Data Protection Regulation,“GDPR”)被称为“史上最严格的个人数据保护立法”。GDPR项下的第二十八条(控制者对处理者的审计)、第三十九条(DPO的任务)、第四十七条(BCR应规定数据保护审计等合规机制)及第五十八条(监管机构的审计权力)分别就审计的适用作出规定。GDPR生效至今已接近4年,相关执法标准逐渐明晰,我们也注意到多国数据保护监管机构(Data Protection Authority,“DPA”)相继发布监管审计标准,同时,数据合规审计也已被应用于GDPR的合规调查中。各国DPA根据GDPR发布的审计标准,一方面明确了DPA自身开展数据合规审计的具体方式,同时也为相关企业开展GDPR合规工作明确了重点方向,对我们开展《个保法》项下的合规审计具有一定的参考价值。
(一)英、法、德DPA发布的数据合规审计指南
1、英国ICO
英国数据保护执法机构(Information Commissioner’s Office, “ICO”)就数据合规审计在官网进行了说明[2],重点内容包括审计覆盖的范围以及ICO如何进行审计,具体如下:
图表 2 英国ICO数据合规审计核心事项
2、法国CNIL
法国数据保护监管机构(“CNIL”)于2020年9月1日发布了CNIL审计流程指南[3]。在该指南中,重点规定的事项包括:被审计组织的权利、审计覆盖的范围、如何进行审计以及CNIL的职权及义务等事项,主要内容如下:
图表 3 法国CNIL数据合规审计核心事项
3、德国DPA
德国联邦层面的数据保护机构为BfDI (Federal Commissioner for Data Protection and Freedom of Information),同时在州层面也设有各自的DPA。在GDPR刚生效后的几个月,下萨克森(Lower Saxony)[4]及巴伐利亚(Bavaria)[5]两个州,即宣布开展随机的GDPR合规审计,并面向相关企业发布了审计问卷。以下萨克森州的合规审计问卷为例,主要包括以下事项[6]:
图表 4 德国下萨克森州数据审计问卷主要内容
(二)数据合规审计在执法中的应用
“Schrems II ”案判决[7]做出之后,德国多个州的DPA发起了就数据跨境传输的专项合规审计,并面向相关企业发放了审计问卷,要求企业提供以下信息:
公司是否向欧盟(EU)或欧洲经济区(EEA)境外传输个人数据;
如涉及,公司需说明向EU及EEA境外传输个人数据的合法性基础,如基于SCC进行个人数据跨境传输的应提供SCC文本;
如数据接收方位于美国,公司需要说明数据接收方是否会被认定为《外国情报监视法》(Foreign Intelligence Surveillance Act)第702节项下的电子通信服务提供者(“electronic communication service provider”);
公司是否可以确保接收方能够履行SCC项下的合规义务,并提供相应证据;
公司就个人数据跨境传输所采取的安全保障措施;
公司应提供与使用电子邮件服务、网络托管服务、网络跟踪服务、求职者数据管理服务和国际集团内部数据传输有关的处理活动记录的所有相关部分。
上述专项执法活动也为德国企业在数据跨境传输上造成一定的合规压力,由于跨境传输属于个人信息保护的高风险场景,收到问卷的企业对于上述问题的回答,稍有不慎就可能触发行政调查程序。
(三)对完善《个保法》项下合规审计的启示
GDPR项下合规审计的上述实践,对我们完善《个保法》项下的合规审计有以下值得借鉴之处:
一是,个人信息的监管机构应考虑发布官方的数据合规审计指引:英、法、德数据监管机构分别发布了GDPR项下的专项合规指引、合规审计问卷等,对于企业落实合规审计义务、提升合规管理水平提供了有效参考。有鉴于此,我们也期待我国有关部门可以及时制定、出台个人信息保护合规审计指引或标准,指导个人信息处理者落实《个保法》项下的合规义务,提升合规管控水平。
二是,数据合规审计可作为专项执法检查的工具:根据德国DPA在“Schrems II ”案判决做出后的专项执法实践,我们认为将数据合规审计应用于某些高风险合规场景的风险评估,在国家监管层面可以作为一种可借鉴的风险审查和管控措施。
三.如何开展《个保法》的审计合规
基于前文对当前监管要求及国际实践的讨论,对于企业落实《个保法》项下的合规审计义务,我们提出以下建议。
图表 5 开展数据合规审计的关键事项
(一)识别数据合规审计义务
根据前述分析,我国《个保法》《网数条例》《平台指南》等分别对个人信息处理者、数据处理者、重要数据处理者、大型互联网平台运营者、超大型平台经营者的数据合规审计义务做出了规定,不同类型的主体在外审/内审、审计频次、审计报告披露、审计内容等方面需要遵循的法律要求有所不同。企业应参考上述法律中对各类主体的定义,准确判断自身所属主体类型,识别相应的数据合规审计义务。
(二)确定合规审计目标
《个保法》项下的合规审计大体分为自主审计和强制审计两种情形,前者主要是企业对于个人信息处理活动的合规自查,后者则是在个人信息处理活动存在较大风险、或发生安全事件后的执法辅助手段,两者的合规审计目标存在较大差异。
对于自主审计,企业应以落实《个保法》项下的审计义务为目标,结合企业实际业务所适用的法律、行政法规的具体要求,从制度建设、组织架构设置、个人信息全生命周期各个环节的合规管控现状等角度,在企业内部开展《个保法》合规审计,或委托外部第三方机构进行。
对于强制外部审计,企业的审计重点应围绕监管机构发现的风险环节及安全事件的处置等方面重点展开。同时,根据合规风险及安全事件影响的大小,监管机构亦可能要求企业进行全面合规审计。
(三)明确数据合规审计流程
在审计目标明确之后,企业应根据确定的审计目标来确定相应的审计流程。2021年12月,由信通院牵头成立的“个人信息保护合规审计推进小组”发布了《关于推进个人信息保护合规审计的若干建议》(以下简称,“《若干建议》”),其第四章对“审计程序”做出了建议,主要包括计划、准备、实施、报告和后续跟踪等多个阶段,为企业开展《个保法》项下的合规审计提供了有益参考。国际标准化组织发布的《ISO 19011:2018管理体系审计指南》(ISO 19011:2018, Guidelines for auditing management systems)也对管理体系的审计流程作出了规定,在合规审计项目管理层面及合规审计项目实施层面都遵循“计划-实施-检查-落实(Plan-Do-Check-Act)”四大步骤,企业在进行《个保法》相关合规审计时可考虑参照执行。具体如下[8]:
图表 6 ISO 19011:2018审计流程
(四)开展合规审计活动
在审计目标及流程确定后,就审计活动的开展需进一步明确以下关键事项:
审计范围:审计范围应该根据审计目标确定。具体而言,如为企业的自主审计,审计范围至少应涵盖对现有内部管理制度和操作规程的完备性、执行的有效性的审查;组织架构层面,是否依法设置数据保护机构和个人信息保护负责人,其履职是否符合法律要求;个人信息处理活动层面,就个人信息的收集、存储、使用、跨境传输、个人信息主体行权响应等环节,是否采取了法律要求的合规措施;安全事件响应机制是否有效运转等事项。《若干意见》第三章也对审计重点给出了有益的参考,包括:1.个人信息处理者义务合规审计;2.个人权利实现方式合规审计;3.个人信息处理活动合规审计(包括收集、存储、使用、加工、提供、传输、公开、删除等各个环节);4.个人信息跨境提供合规审计等。如为外部强制审计,则重点应该根据监管机构关注的合规问题确定企业的数据合规审计范围。
审计组织:如企业拟开展内部审计,应结合审计目标、审计范围等确定内部审计小组成员。为确保合规审计执行的有效性,需确立审计开展的领导部门,并考虑由合规、法务、IT、业务、HR等多个部门负责人作为审计小组成员来推进审计的实施。在审计小组成立后,审计小组应将审计的目标、实施流程、相关部门需要提供的支持等事项通知到公司内部各个相关部门,为审计的实施做好准备。如企业委托第三方机构开展审计,则企业应该在第三方机构的协助下,确定审计的目标、范围、流程等事项,由第三方机构在审计活动开始之前面向公司内部相关人员召开项目启动会,说明审计的工作计划及相关部门需要提供的支持,以确保后续审计工作的顺利推进。
审计方式:在具体进行审计时,审计机构可以通过审阅制度文件、访谈、进行产品及服务合规测试等方式对现有合规措施的完备性和有效性进行审查,发现并记录问题,生成审计报告。参考英国ICO的审计执法经验,我们建议在审计报告中应考虑就合规审计中发现的问题,根据《个保法》的规定,参考行业最佳实践,提出整改建议,由相关业务部门予以落实。
审计复验:数据合规审计并非一项一劳永逸的工作,考虑到当前国内数据合规立法不断完善,执法活动不断趋严的监管态势,企业应结合国内立法、执法实践,在审计完成后定期复验,确保数据审计中发现的问题能得到有效的解决。
(五)输出审计报告
在输出审计报告时,我们建议企业应根据审计报告的最终用途、使用对象,在报告内容上作出区别。如审计报告拟向监管部门提交,则需重点回应监管机构关注的风险问题,并对企业遵守相关法律法规的情况予以说明。但在作为企业合规的支持性文件面向客户提交时,则应就客户对企业在个人信息保护方面的主要关切予以审计说明。值得注意的是,当企业进行定期审计时,建议企业对上一次审计中发现的问题以及合规整改落实情况予以回应,以此作为企业积极落实《个保法》项下的合规义务的有力证明。
结语
《个保法》自颁布实施以来,企业围绕《个保法》开展的合规整改工作仍在持续进行。对于已经完成初步合规整改工作的企业而言,前期的合规整改工作是否已经落实到位,是否与《个保法》及其他法定要求仍存在合规差距,需要进一步检视。《个保法》项下合规审计的法定要求,既是企业作为个人信息处理者的法定义务,也是企业识别合规风险、提升数据治理水平的合规管控工具。
实施审计工作既具有法律性也具有技术性,审计机构最好兼具这两方面的能力。但总体来讲,审计工作的法律基准确立、企业行为的合规性判断,仍主要是法律工作,因此,由具有能力的律师所承担这一审计工作属于恰当安排。
[注]
[1]《个人信息安全规范》之前的版本亦有类似的规定。
[2]参见:https://ico.org.uk/for-organisations/audits/。2022年5月4日最后访问。
[3]参见:https://www.cnil.fr/sites/default/files/atoms/files/cnil-charte_des_controles.pdf。2022年5月4日最后访问。
[4]参见:https://lfd.niedersachsen.de/startseite/infothek/presseinformationen/fragen-zur-ds-gvo-an-50-unternehmen-166110.html。最后访问日期2022年5月4日。
[5]参见:https://www.lda.bayern.de/de/kontrollen.html。最后访问日期2022年5月4日。
[6]参见:file:///C:/Users/liulianshi/Downloads/Fragenkatalog_Querschnittsprfung_DSGVO.pdf。最后访问日期2022年5月4日。
[7]参见:
https://curia.europa.eu/juris/document/document.jsf?text=&docid=228677&pageIndex=0&doclang=en&mode=req&dir=&occ=first&part=1&cid=9777234。最后访问时间2022年5月4日。
[8]参见ISO 19011:2018 (E),第8页。
作者简介
陈际红
律师 北京办公室 合伙人
业务领域:知识产权权利保护, 网络安全和数据保护, 反垄断和竞争法
特色行业类别:金融行业, 通讯与技术
刘连炻
北京办公室 知识产权部
韦龙杰
北京办公室 知识产权部
声明:本文来自中伦视界,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。