关于《个人信息保护合规审计管理办法》,企业合规落地的十问十答
关于《个人信息保护合规审计管理办法》,企业合规落地的十问十答
2025年2月14日,国家网信办发布《个人信息保护合规审计管理办法》(以下简称“《办法》”),并于2025年5月1日起施行。自2023年8月3日《个人信息保护合规审计管理办法(征求意见稿)》发布以来,备受关注的“审计频率”“审计基准”等开展个人信息保护合规审计(以下简称“个保审计”)的相关重要问题在本次《办法》最终尘埃落定。
合规审计是监督机制,同时也是一种风险发现工具,本文以问答形式,聚焦企业合规落地视角,以期为企业全面理解、开展个保审计提供参考。
问一、开展个保审计是企业应主动履行的法定义务吗?
《个人信息保护法》(以下简称“《个保法》”)第54、64条确立了两类个保审计:
“定期审计”:即个人信息处理者定期对其处理个人信息遵守法律、行政法规的情况进行合规审计(《个保法》第54条)。
“监管审计”:即履行个人信息保护职责的部门(以下简称“保护部门”)在特定情形下可以要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计(《个保法》第64条)。
针对“定期审计”:
根据《个保法》第54条,所有个人信息处理者均需定期开展个保审计,即主动开展“定期审计”是企业的法定义务。特别地,对于处理超过1000万人个人信息的个人信息处理者,应当每两年至少开展一次(《办法》第4条);对于处理未成年人个人信息的个人信息处理者,则应当每年开展(《未成年人网络保护条例》第37条)[1]。
针对《个保法》第3.2条项下的境外个人信息处理者,同样因适用《个保法》第54条而需定期开展个保审计,值得注意,从《办法》第2条确定的适用范围来看(“在中华人民共和国境内开展个人信息保护合规审计”),境外个人信息处理者并不强制适用《办法》。
针对“监管审计”:
根据《个保法》第64条,仅在企业触发特定情形且保护部门明确要求企业开展“监管审计”的,才需开展。值得注意,相较于此前发布的征求意见稿,《办法》第5条明确了保护部门有权要求企业委托专业机构开展个保审计的具体情形,包括:(1)发现个人信息处理活动存在严重影响个人权益或者严重缺乏安全措施等较大风险的;(2)个人信息处理活动可能侵害众多个人的权益的;(3)发生个人信息安全事件,导致100万人以上个人信息或者10万人以上敏感个人信息泄露、篡改、丢失、毁损的。
问二、企业需要立刻开展个保审计吗?如何确定审计频率?
针对“定期审计”:
针对一般个人信息处理者:《个保法》《办法》未提出开展“定期审计”的具体频率,根据网信部门有关负责人就《办法》答记者问,其应当“根据自身情况合理确定定期开展个人信息保护合规审计的频率”,企业可结合自身涉及的数据体量、业务模式(2B or 2C)、敏感程度(是否涉及敏感个人信息)等,基于实际合规风险程度来确定审计频率,例如每2-3年开展一次,或有针对性的开展特定业务活动的审计工作。
针对处理超1000万人个人信息的个人信息处理者,鉴于《办法》第4条提出了“每两年至少开展一次”的法定要求,我们理解此类企业将是《办法》项下的重点关注对象,建议此类企业应在办法生效(2025年5月1日)后尽快开展,并至迟在2027年4月30日前至少开展一次个保审计。此后可按每两年一次的频率开展。
针对“监管审计”:
根据《办法》第9条,如触发“监管审计”,保护部门将为企业开展个保审计指定具体期限,企业需在限定时间内完成个保审计。
问三、审计范围需要覆盖全公司、全场景吗?
针对“定期审计”:
《个保法》《办法》未对“定期审计”的审计范围作出明确规定,但从“定期审计”的制度设计来看,其目标在于督促企业定期开展全面合规自检,其审计范围应面向企业整体,包括制度建设、组织架构设置、安全能力、数字产品与服务、个人信息全生命周期管理、数据跨境传输等各个环节。
同时,《个保法》《办法》所提出的“定期”“每两年至少开展一次”要求,并不等同于必须在单次个保审计工作中将全公司(制度、组织、技术、人员等)、全业务场景做到完全覆盖,企业基于成本、便利性等综合因素的考虑,在一定频率期限内(自行确定的合理频率期限/每两年的频率期限),按照一定方法论(具体见问十)逐步开展审计,只要最终在频率期限内实现全面覆盖,或仍属“定期审计”这项“风险发现工具”可接受的范围。
针对“监管审计”:
同样,《个保法》《办法》对于“监管审计”的审计范围未作规定,预计实践中此等“监管审计”的审计范围将由保护部门以及被委托的专业机构确定。
问四、谁来开展审计工作?
针对“定期审计”:
根据《个保法》《办法》,对于“定期审计”,企业有权选择由企业内部机构开展或委托专业机构开展。从实践层面看,基于中立性和专业性等因素的考量,我们理解企业主动委托外部专业机构协助开展合规审计将成为普遍实践。
如果企业选择由内部机构开展审计,需要关注如下问题:
专业性和中立性的权衡?根据《办法》第12.1条的规定,个人信息保护负责人作为企业个保审计的负责人,牵头负责审计工作落实。企业个人信息保护负责人和团队会承担个保的落地执行工作,往往是企业内部个保合规专业性的代表,但作为被审计的对象,其不应不当影响审计工作开展。在企业开展合规审计工作中,如何平衡“中立性”和“专业性”,会是一个挑战。
谁来监督?根据《办法》第12.2条,提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当成立主要由外部成员组成的独立机构对个保审计进行监督。针对其他个人信息处理者,规范层面无强制要求,但为确保监督的有效性,监督部门与开展审计的部门及执行个人信息保护工作的部门不应为同一部门。
针对“监管审计”:
根据《个保法》第65条及《办法》第5条,针对“监管审计”,企业必须委托专业机构开展。
问五、企业如何选择专业机构?
无论是“定期审计”下自愿委托专业机构,还是“监管审计”下强制委托专业机构,根据《办法》,企业对于专业机构的选择可参照如下标准:
推荐性标准:专业机构是否已通过认证(《办法》第7.2条)。不同于等保、个人信息保护认证等制度,个保审计制度下的专业机构系推荐性质;
强制性标准:专业机构应当具备开展个保审计的能力,有与服务相适应的审计人员、场所、设施和资金等(《办法》第7.1条)。结合《办法》附件《个人信息保护合规审计指引》(以下简称“《指引》”)之规定,开展个保审计的绝大部分要点集中在法律符合性的审查和评价,因此,企业可选择长期从事个人信息保护合规工作且在该领域有全面法律服务能力的机构,例如第三方律所作为专业机构,协助开展合规审计工作;
禁止性标准(排除标准):不得就同一对象连续三次以上选择同一专业机构及其关联机构、同一合规审计负责人开展个保审计(《办法》第15条);
监管导向标准:针对“监管审计”,实践中保护部门可能会对企业选择专业机构提出具体要求,进而使得企业的选择具有较强的监管导向(《办法》第9条)。
问六、审计基准是什么?
《个保法》第54条及《办法》第2条均明确审计对象为个人信息处理者的个人信息处理活动遵守法律、行政法规的情况,换言之,法律、行政法规即为企业开展个保审计的基准。当前,与个人信息处理相关的已正式发布的通用性法律、行政法规主要包括《个保法》《民法典》《网络安全法》《数据安全法》《网数条例》《公共安全视频图像信息系统管理条例》《未成年人网络保护条例》《关键信息基础设施安全保护条例》等。
《办法》第6条进一步规定,个保审计应参照《指引》开展。《指引》同时将制定依据限定为“法律、行政法规”,并删除原征求意见稿附件中“为开展个人信息保护合规审计提供参考”的表述,效力明确。参考《数据安全技术 个人信息保护合规审计要求(征求意见稿)》(以下简称“《审计国标》”),我们理解企业在开展个保审计时,应一一审查《指引》所列要点,并可能需在审计报告中逐一列明。
基于此,修订后的《指引》:(1)与法律、行政法规的衔接更紧密,多处表述调整为与法规原文一致,删除“同意记录”等非法规明确规定项,于第7点、第8点等剔除对接收方后续个人信息处理活动的审查等;(2)体系更完善,理顺同意与其他合法性基础的关系,再次明确单独同意以同意为前提,关注例外规定,避免重复审查(如在第3点处不重复审查对外提供相关的告知情况)等。
《指引》最终涵盖26点审计事项,具体如下表所列。其中,部分审查点虽未在前述法律、行政法规中明确罗列,但亦由其内核衍生,是监管部门为实现有效审计提供的“导航仪”,也体现监管部门对企业落地个人信息保护合规工作的基线要求。
问七、个保审计需要做到什么程度?
企业在遵循《指引》开展个保审计的过程中,可能需进一步关注以下问题:
《指引》中各审计项要审查到什么程度?
我们理解《指引》具有作为部门规章附件的法律效力,具体而言,从个保审计的定义及目标出发,《指引》下的审计项可分为两类:
一类侧重审查:基于证据,对个人信息处理活动是否符合法定要求进行事实审查,例如对合法性基础的审查。对于其中与技术相关的审计项,如第20点,可参考有关国家标准或技术要求确定标准,并可采信审计期间出具的等保测评报告等既有结论;对于外部性强、影响大、引发风险可能性突出的审计项,如涉及合法性基础、个人信息处理规则、第三方管理等,应被更为严格地审查。
另一类侧重有效性评价:评价个人信息处理活动是否达到法定效果,这部分审查点可能并非直接源自法律、行政法规原文规定,例如第19点处细化的个人信息保护负责人的任职要求及职责内容,但如前所述,此类审查点为监管部门综合规范、标准、实践等得出的评估法定义务落地情况的有效维度,为实现审计的有效性,企业可结合自身个人信息处理活动的风险程度等,综合确定具体评价尺度,但仍应予以落实。
此外,触发“监管审计”往往意味着相关个人信息处理活动已然引发监管关切,不排除此场景下将被要求进行更全面、深入的审计。
法规有明确规定但未被《指引》涵盖内容,是否审查?
我们理解这主要与企业落地《个保法》实践情况相关,如对外提供场景下对接收方的审查未提及《网数条例》第12条下的合同签订义务,第23点删除个人信息保护影响评估报告保存三年的审核事项,整体删除了源于《个保法》第58条与“提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”相关的“独立机构”及其对平台内产品或者服务提供者相关监管义务等内容。
这不意味着上位法规明确的义务被豁免,合规风险高和/或合规基准水位高的企业则可以在《指引》基础上,考虑结合上位法要求及后续出台的《审计国标》,进行更全面的审计。
问八、开展审计的具体流程要求?
针对“定期审计”:
《办法》赋予了企业一定自主权,未限定“定期审计”开展的方式、流程。根据《审计国标》,制定审计计划后,企业可基于审计准备、审计实施、审计报告、问题整改、归档管理5个阶段进行个保审计,一般涉及现场调查事实、核验证据。具体可关注后续发布的《审计国标》正式稿。
针对“监管审计”:
“监管审计”仍可参考《审计国标》下的5个阶段开展个保审计,但为确保此等监管手段得到有效落实,《办法》明确提出了如下图所示的一定流程要求。
图1. “监管审计”流程图
具体而言:
审计方式:收到监管要求后,应按照保护部门要求选定专业机构开展个保审计(《办法》第9条);
必要支持:应为专业机构正常开展个保审计工作提供必要支持,并承担审计费用(《办法》第8条),此等必要支持包括但不限于保证专业机构可查阅个保审计所必需的相关背景信息、证据等;
期限限制:应在限定时间内完成合规审计,情况复杂的,报保护部门批准后可适当延长(《办法》第9条),参照征求意见稿,我们理解限定时间可能以90个工作日为基准,结合企业个人信息处理活动的复杂及风险程度等调整;
审计报告报送:应将专业机构出具的个保审计报告报送保护部门,审计报告应由专业机构主要负责人、合规审计负责人签字并加盖专业机构公章(《办法》第10条);由于“监管审计”场景的特殊性,不排除保护部门后续就此场景下的相关报告发布需统一遵循的模板、形式等要求的可能性;
整改情况报告报送:应按保护部门要求进行合规整改,在整改完成后15个工作日内将整改情况报告报送保护部门(《办法》第11条),保护部门要求可能包括整改项、整改效果及限定时间等,此外,虽然《办法》删除征求意见稿内专业机构复核整改情况的要求,但为保证整改效果,我们仍建议企业在专业机构协助下完成整改、核验效果。
问九、“定期审计”也必须形成专门的审计报告吗?是否有固定模版和报送要求?
《办法》虽未明确,但从个保审计的性质及制度目标上看,企业需以成文形式留存审计结果,并可作为受到保护部门监管审查时提交的合规证明。《审计国标》提供了审计报告的模板参考,结构大体如下图所示。
图2. 审计报告模板结构图
我们理解企业可结合自身风险程度,参照《审计国标》组织形成审计结果存档;也可结合既有工作成果与内部文档形式要求,形成涵盖关键审计发现及结论的报告存档。
问十、企业如何落地审计工作?
针对“监管审计”,企业应遵循保护部门要求,在专业机构协助下完成审计。
针对“定期审计”:
如企业自身个人信息处理活动风险较大,或属于监管重点关注领域、处在重点关注期间(如并购或上市期间),则我们建议在专业机构协助下完整、充分开展审计工作;
考虑到个保审计不仅是所有个人信息处理者的法定义务,也是企业对外展示合规形象的良好证明,并可备监管审查的不时之需,故我们建议有条件的企业可结合自动化技术的加持与专业机构的支持,参考下图所示流程与方法论,实现个保审计的聚焦、减负与高效。
图3. 一般企业“定期审计”流程图
其中,在审计计划、准备阶段,企业可采取“一正一负”的方法论,结合“1+N审计矩阵”排除不适用项,并确定需审计的重点产品/系统/部门/活动范围,以框定与所开展的个人信息处理活动相适应的最为合适的审计范围。
图4. “1+N审计矩阵”示意图
[注]
[1] 《未成年人网络保护条例》第37条所规定的“定期审计”与《办法》第4条所规定的“定期审计”存在相似性,仅在适用主体和审计频率方面存在差别,为便于行文,如下仅提及《办法》第4条所规定的“定期审计”。