數字經濟時代,審計作為一項具有獨立性的監督活動,已成為推動企業建立健全合規治理體系不可或缺的重要舉措,也是落實多層次個人信息保護監督體系的重要抓手。在2021年11月1日正式實施的《中華人民共和國個人信息保護法》中,首次在法律層面明確“對個人信息處理活動開展合規審計”的相關要求,意味著個人信息保護合規審計已經成為了個人信息處理者的一項法定義務。根據上述法律規定,國家互聯網信息辦公室制定《個人信息保護合規審計管理辦法(征求意見稿)》(以下簡稱“《辦法》”),細化了個人信息保護合規審計的目的、程序、內容、專業機構等具體規定,為個人信息處理者開展合規審計提供了操作指引。

一、充分借鑒國際經驗做法,探索個人信息保護合規審計的中國方案

從全球視角來看,國外多個數據保護監管機構已經開始利用合規審計的手段來督促和協助企業切實履行個人信息保護的義務。《通用數據保護條例》(GDPR) 的第二十八條、第三十九條、第四十七條及第五十八條分別明確了數據保護審計活動相關要求。歐盟委員會也于2023年提出了《針對超大型在線平臺和超大型在線搜索引擎進行審計的規則的補充條例(公開征求意見稿)》。英國信息專員辦公室(ICO)發布了《信息專員辦公室審計指南》,并自2021年6月以來多次開展合規審計活動,涵蓋醫療健康、司法、政府、金融、互聯網等10多個領域。盧森堡國家數據保護委員會(CNPD)也多次開展合規審計活動,公布審計結果,并采取了強令實施整改措施或行政罰款等處罰決定。

《辦法》充分借鑒了國外通行做法,吸納各國及地區數據監管機構開展合規審計活動的有效經驗和成果。同時,結合我國《個人信息保護法》中對于合規審計的具體要求,進行了有益探索。

(一)積極探索自行審計和強制審計的統一監督管理方法。《辦法》的適用范圍既涵蓋個人信息處理者定期開展的個人信息保護合規審計(簡稱“自行審計”),也涵蓋個人信息處理者按照履行個人信息保護職責的部門要求委托專業機構對其個人信息處理活動進行合規審計(簡稱“強制審計”),既明確了自行審計的頻率和形式等,又明確了強制審計的前提條件、審計權限、審計時限和報告報送等具體要求。由此可見,合規審計既是一種企業落實個人信息保護工作的內部監督手段,同時也是履行個人信息保護職責部門落實監管檢查的外部監督手段。

(二)提出個人信息保護合規審計專業機構管理模式,個人信息處理者應優先選擇推薦目錄中的專業機構執行。《辦法》創新性地提出將建立個人信息保護合規審計專業機構推薦目錄,鼓勵個人信息處理者優先選擇推薦目錄中的專業機構開展合規審計活動。國務院有關部門可在行業專業領域發揮優勢,推薦審計專業機構。

中央網信辦、工業和信息化部等有關部門不斷通過完善法律法規、組織企業調研、搭建交流平臺、開展審計培訓和試點等方式探索個人信息保護合規審計工作的工作思路和落地實施。

二、督促發揮審計監督職能,推動個人信息處理者履行主體責任

(一)督促企業有效利用審計手段,推動形成個人信息保護合規治理閉環。個人信息處理者落實個人信息保護相關工作中,審計人員或機構應以獨立的視角,對個人信息處理者的個人信息處理活動是否遵循法律、行政法規的情況進行審查、評價和監督。《辦法》充分調動企業內部具備獨立性和專業性的人員或部門承擔審計的重要監督職責,有效利用《辦法》給予的權限,自主自發開展個人信息保護合規審計,評價其個人信息保護措施的適當性和有效性,發現個人信息處理活動的安全問題和違規行為,督促個人信息處理者及時進行整改,真正從內部構建合規治理的閉環。

(二)聚焦企業個人信息保護治理結構和機制建設,切實推動構建個人信息保護基石。《辦法》在個人信息保護合規審計要點部分中對個人信息處理者的主體責任、管理制度、應急預案、應急響應、安全技術措施、教育培訓、影響評估等方面內容進行細化和明確,指導審計人員通過審計活動有效評價企業個人信息保護治理體系的完善程度,識別治理缺陷,提出優化建議,通過不斷完善內部治理體系保障個人信息保護各項舉措的切實落地,全面提升個人信息保護水平。

(三)強調個人信息保護合規審計活動的獨立性、客觀性與專業性,并設置科學的保障規則。個人信息保護合規審計是一項高度復合性的專業活動,執行審計的專業機構應具備相應的專業勝任能力。自行審計可由個人信息處理者內部具備獨立性和專業性的人員或部門承擔審計職責,如不具備獨立性等審計條件的,可委托專業機構開展審計活動。此外,為保證審計的獨立性與客觀性,《辦法》要求執行個人信息保護合規審計的專業機構連續為同一審計對象開展個人信息保護合規審計不得超過三年。

三、規范個人信息保護合規審計管理機制,強化監督指導審計過程

(一)充分考慮影響個人信息處理活動合規水位的多種因素,差異化地設置自行審計頻率。《辦法》第四條明確了處理超過100萬人個人信息的個人信息處理者,應當每年至少開展一次個人信息保護合規審計;其他個人信息處理者應當每兩年至少開展一次個人信息保護合規審計。個人信息處理者處理個人信息的性質、規模、復雜程度、風險程度存在差異,其開展個人信息保護合規審計的頻率應與其相適應,既確保有效識別合規問題,又能夠合理控制合規成本。

(二)借鑒內部審計現行審計準則和信息科技審計既有方式方法,結合個人信息處理活動特點,指導個人信息處理者自行開展個人信息保護合規審計。《辦法》明確了個人信息處理者自行開展的合規審計既可由本組織內部機構開展,也可由組織委托專業機構按要求開展。開展個人信息合規審計的個人信息處理者可借鑒內部審計現行審計準則和信息科技審計既有方式方法,結合個人信息處理活動特點,撰寫個人信息保護合規審計報告,全面、客觀、準確地反映本組織個人信息處理情況,及時整改審計發現的問題。自行合規審計應通過專項審計或綜合審計等方式覆蓋全部審計要點。

(三)強調對審計過程和審計數據的安全保障。《辦法》第十四條規定專業機構在履行個人信息保護合規審計職責中獲得的信息,只能用于個人信息保護合規審計的需要,不得用于其他用途;專業機構應當對獲得的信息承擔保密責任;專業機構應當采取相應技術措施和其他必要措施,保障數據安全。由此可見,專業機構有責任對其開展個人信息保護合規審計的全過程,以及在過程中可能獲取或產生的審計數據進行有效的安全管控。

《辦法》經過充分調研、多輪意見征集和公開討論,在落實《個人信息保護法》的基礎上又做出了新探索,是發揮審計在個人信息保護治理體系中的監督作用的有益舉措。

信息處理 審計準則 審計方法 審計目的 時政
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接