權知輕重，度知長短：如何開展《個人信息保護法》項下的合規審計？ - 網安

《個人信息保護法》（以下簡稱，“《個保法》”）將定期合規審計確立為個人信息處理者的一項法定義務。審計，作為一項風險檢視及控制的工具被廣泛應用于多個行業領域，但在個人信息保護領域如何開展和實施，仍有諸多不明確之處。目前，業界普遍的困惑包括：

什么情況下觸發合規審計？
審計應按照什么程序開展？
審計應包括的必要內容有什么？
內審還是外審？
誰是《個保法》項下的適格審計機構？
審計報告可用于什么目的？

本文對上述問題提出一些思考，以期為個人信息處理者落實《個保法》項下的合規審計提供參考路徑。

一.數據合規審計的法定要求

（一）從非強制義務到強制義務

個人信息處理者的合規審計義務并非在《個保法》中首次提出。2020年10月生效的《信息安全技術個人信息安全規范》（以下簡稱，“《個人信息安全規范》”）第11.7條對個人信息處理的安全審計作出規定，將個人信息保護政策、相關規程和安全措施列為審計對象，明確了審計活動記錄及留存的相關要求。然而，由于《個人信息安全規范》在效力層面僅為推薦性國家標準，該要求的實際落地情況并不盡如人意。

2021年11月1日《個保法》生效，首次在法律層面規定個人信息處理者應該對其遵守法律、行政法規的情況進行審計。《個保法》項下的審計分為個人信息處理者的自主審計和強制外部審計兩種類型。具體而言：

自主審計，《個保法》第五十四條要求個人信息處理者應當定期對其處理個人信息遵守法律、行政法規的情況進行合規審計。對此條款，我們可以理解為一個限定及一個開口。所謂限定，是指審計的法律基準應當屬于“法律、行政法規”層級；所謂的開口，是指未對《個保法》下的審計是內審還是外審、審計的頻次予以明確。自主審計雖然構成《個保法》項下個人信息處理者的強制性義務，但從立法目的來看，重在強調企業對自身的個人信息處理活動通過審計進行定期自查。因此，審計的頻次、以及是否采用外部審計資源，企業可以基于風險導向原則來加以確定。

強制外部審計，《個保法》第六十四條規定，履行個人信息保護職責的部門在履行職責中，發現個人信息處理活動存在較大風險或者發生個人信息安全事件的，可以要求個人信息處理者委托專業機構對其個人信息處理活動進行合規審計。強制外部審計一方面可以利用外部獨立機構的專業知識和能力，幫助個人信息處理者更客觀、全面地發現、識別合規問題，明確合規差距；另一方面，外部審計機構的審計結果也可以為監管機構開展進一步的執法活動提供依據。

（二）從“個人信息”到“數據”

《個保法》生效之后，國家互聯網信息辦公室（以下簡稱，“CAC”）于2021年11月14日發布《網絡數據安全管理條例（征求意見稿）》（以下簡稱，“《網數條例》”）。與《個保法》一脈相承，《網數條例》第五十八條規定了數據處理者的自主審計和強制外部審計義務，具體而言：

自主審計，要求數據處理者應當委托數據安全審計專業機構定期對其處理個人信息遵守法律、行政法規的情況進行合規審計。相較于《個保法》中的自主審計，此處的自主審計明確為外部審計；而在審計依據的效力層級上，延續了《個保法》上做出的限定，應為“法律、行政法規”。

強制外部審計，則是主管、監管部門組織開展的對重要數據處理活動的審計，主要聚焦于重要數據處理活動的安全。結合后文將展開介紹的《網數條例》第五十三條，我們也可以看出，《網數條例》將數據合規審計的對象從“個人信息”擴大到“數據”，其中“重要數據”更是監管部門的審計重點。

（三）針對大型互聯網平臺的特別審計義務

《網數條例》第五十三條對大型互聯網平臺運營者的合規審計義務做出了特別規定。相較于《個保法》，《網數條例》對大型互聯網平臺運營者的特別規定之處可以歸納為三個關鍵詞：“第三方審計”、“年度審計”和“審計公開”。據此，《網數條例》項下所規定的合規審計，應該由獨立于大型互聯網平臺運營者的第三方審計機構進行，屬于外審；審計的頻率是每年一次；審計結果應該對外披露，接受監督。同時，《網數條例》對合規審計范圍也作出了規定，應包含平臺數據安全情況、平臺規則和自身承諾的執行情況、個人信息保護情況、數據開發利用情況等事項。

與此同時，作為部門立法嘗試，國家市場監督管理總局（以下簡稱，“市監總局”）于2021年10月29日發布的《互聯網平臺分類分級指南（征求意見稿）》（以下簡稱，“《分級指南》”）以及《互聯網平臺落實主體責任指南（征求意見稿）》（以下簡稱，“《平臺指南》”）也與此呼應。《平臺指南》第八條規定，“超大型平臺經營者應定期委托第三方獨立機構對本指南所規定的主體責任遵守情況進行審計”，此條指向的對象是“超大型平臺”。同時，《平臺指南》對審計報告的內容也做出了要求，包括：（一）接受審計的超大型平臺的名稱、地址和聯系方式；（二）開展審計活動的機構組織的名稱和地址；（三）審計主要結論；（四）實現合規的操作建議。值得一提的是，《平臺指南》項下的審計范圍是“對本指南所規定的主體責任遵守情況”，并不限于數據合規，這也是與《個保法》《網數條例》項下的合規審計的主要區別。

（四）關于合規審計義務的總結

基于上述規定，對于我國現行法律框架下不同主體的數據合規審計義務總結如下：

圖表 1我國現行法律框架下數據合規審計義務總結

二.合規審計的國際實踐

2018年5月25日生效的《通用數據保護條例》（General Data Protection Regulation, “GDPR”）被稱為“史上最嚴格的個人數據保護立法”。GDPR項下的第二十八條（控制者對處理者的審計）、第三十九條（DPO的任務）、第四十七條（BCR應規定數據保護審計等合規機制）及第五十八條（監管機構的審計權力）分別就審計的適用作出規定。GDPR生效至今已接近4年，相關執法標準逐漸明晰，我們也注意到多國數據保護監管機構（Data Protection Authority, “DPA”）相繼發布監管審計標準，同時，數據合規審計也已被應用于GDPR的合規調查中。各國DPA根據GDPR發布的審計標準，一方面明確了DPA自身開展數據合規審計的具體方式，同時也為相關企業開展GDPR合規工作明確了重點方向，對我們開展《個保法》項下的合規審計具有一定的參考價值。

（一）英、法、德DPA發布的數據合規審計指南

1、英國ICO

英國數據保護執法機構（Information Commissioner’s Office, “ICO”）就數據合規審計在官網進行了說明，重點內容包括審計覆蓋的范圍以及ICO如何進行審計，具體如下：

圖表 2 英國ICO數據合規審計核心事項

2、法國CNIL

法國數據保護監管機構（“CNIL”）于2020年9月1日發布了CNIL審計流程指南。在該指南中，重點規定的事項包括：被審計組織的權利、審計覆蓋的范圍、如何進行審計以及CNIL的職權及義務等事項，主要內容如下：

圖表 3 法國CNIL數據合規審計核心事項

3、德國DPA

德國聯邦層面的數據保護機構為BfDI (Federal Commissioner for Data Protection and Freedom of Information)，同時在州層面也設有各自的DPA。在GDPR剛生效后的幾個月，下薩克森（Lower Saxony）及巴伐利亞（Bavaria）兩個州，即宣布開展隨機的GDPR合規審計，并面向相關企業發布了審計問卷。以下薩克森州的合規審計問卷為例，主要包括以下事項：

圖表 4 德國下薩克森州數據審計問卷主要內容

（二）數據合規審計在執法中的應用

“Schrems II ”案判決做出之后，德國多個州的DPA發起了就數據跨境傳輸的專項合規審計，并面向相關企業發放了審計問卷，要求企業提供以下信息：

公司是否向歐盟（EU）或歐洲經濟區（EEA）境外傳輸個人數據；
如涉及，公司需說明向EU及EEA境外傳輸個人數據的合法性基礎，如基于SCC進行個人數據跨境傳輸的應提供SCC文本；
如數據接收方位于美國，公司需要說明數據接收方是否會被認定為《外國情報監視法》（Foreign Intelligence Surveillance Act）第702節項下的電子通信服務提供者（“electronic communication service provider”）；
公司是否可以確保接收方能夠履行SCC項下的合規義務，并提供相應證據；
公司就個人數據跨境傳輸所采取的安全保障措施；
公司應提供與使用電子郵件服務、網絡托管服務、網絡跟蹤服務、求職者數據管理服務和國際集團內部數據傳輸有關的處理活動記錄的所有相關部分。

上述專項執法活動也為德國企業在數據跨境傳輸上造成一定的合規壓力，由于跨境傳輸屬于個人信息保護的高風險場景，收到問卷的企業對于上述問題的回答，稍有不慎就可能觸發行政調查程序。

（三）對完善《個保法》項下合規審計的啟示

GDPR項下合規審計的上述實踐，對我們完善《個保法》項下的合規審計有以下值得借鑒之處：

一是，個人信息的監管機構應考慮發布官方的數據合規審計指引：英、法、德數據監管機構分別發布了GDPR項下的專項合規指引、合規審計問卷等，對于企業落實合規審計義務、提升合規管理水平提供了有效參考。有鑒于此，我們也期待我國有關部門可以及時制定、出臺個人信息保護合規審計指引或標準，指導個人信息處理者落實《個保法》項下的合規義務，提升合規管控水平。

二是，數據合規審計可作為專項執法檢查的工具：根據德國DPA在“Schrems II ”案判決做出后的專項執法實踐，我們認為將數據合規審計應用于某些高風險合規場景的風險評估，在國家監管層面可以作為一種可借鑒的風險審查和管控措施。

三.如何開展《個保法》的審計合規

基于前文對當前監管要求及國際實踐的討論，對于企業落實《個保法》項下的合規審計義務，我們提出以下建議。

圖表 5 開展數據合規審計的關鍵事項

（一）識別數據合規審計義務

根據前述分析，我國《個保法》《網數條例》《平臺指南》等分別對個人信息處理者、數據處理者、重要數據處理者、大型互聯網平臺運營者、超大型平臺經營者的數據合規審計義務做出了規定，不同類型的主體在外審/內審、審計頻次、審計報告披露、審計內容等方面需要遵循的法律要求有所不同。企業應參考上述法律中對各類主體的定義，準確判斷自身所屬主體類型，識別相應的數據合規審計義務。

（二）確定合規審計目標

《個保法》項下的合規審計大體分為自主審計和強制審計兩種情形，前者主要是企業對于個人信息處理活動的合規自查，后者則是在個人信息處理活動存在較大風險、或發生安全事件后的執法輔助手段，兩者的合規審計目標存在較大差異。

對于自主審計，企業應以落實《個保法》項下的審計義務為目標，結合企業實際業務所適用的法律、行政法規的具體要求，從制度建設、組織架構設置、個人信息全生命周期各個環節的合規管控現狀等角度，在企業內部開展《個保法》合規審計，或委托外部第三方機構進行。

對于強制外部審計，企業的審計重點應圍繞監管機構發現的風險環節及安全事件的處置等方面重點展開。同時，根據合規風險及安全事件影響的大小，監管機構亦可能要求企業進行全面合規審計。

（三）明確數據合規審計流程

在審計目標明確之后，企業應根據確定的審計目標來確定相應的審計流程。2021年12月，由信通院牽頭成立的“個人信息保護合規審計推進小組”發布了《關于推進個人信息保護合規審計的若干建議》（以下簡稱，“《若干建議》”），其第四章對“審計程序”做出了建議，主要包括計劃、準備、實施、報告和后續跟蹤等多個階段，為企業開展《個保法》項下的合規審計提供了有益參考。國際標準化組織發布的《ISO 19011:2018管理體系審計指南》（ISO 19011:2018, Guidelines for auditing management systems）也對管理體系的審計流程作出了規定，在合規審計項目管理層面及合規審計項目實施層面都遵循“計劃-實施-檢查-落實（Plan-Do-Check-Act）”四大步驟，企業在進行《個保法》相關合規審計時可考慮參照執行。具體如下：

圖表 6 ISO 19011:2018審計流程

（四）開展合規審計活動

在審計目標及流程確定后，就審計活動的開展需進一步明確以下關鍵事項：

審計范圍：審計范圍應該根據審計目標確定。具體而言，如為企業的自主審計，審計范圍至少應涵蓋對現有內部管理制度和操作規程的完備性、執行的有效性的審查；組織架構層面，是否依法設置數據保護機構和個人信息保護負責人，其履職是否符合法律要求；個人信息處理活動層面，就個人信息的收集、存儲、使用、跨境傳輸、個人信息主體行權響應等環節，是否采取了法律要求的合規措施；安全事件響應機制是否有效運轉等事項。《若干意見》第三章也對審計重點給出了有益的參考，包括：1.個人信息處理者義務合規審計；2.個人權利實現方式合規審計；3.個人信息處理活動合規審計（包括收集、存儲、使用、加工、提供、傳輸、公開、刪除等各個環節）；4.個人信息跨境提供合規審計等。如為外部強制審計，則重點應該根據監管機構關注的合規問題確定企業的數據合規審計范圍。
審計組織：如企業擬開展內部審計，應結合審計目標、審計范圍等確定內部審計小組成員。為確保合規審計執行的有效性，需確立審計開展的領導部門，并考慮由合規、法務、IT、業務、HR等多個部門負責人作為審計小組成員來推進審計的實施。在審計小組成立后，審計小組應將審計的目標、實施流程、相關部門需要提供的支持等事項通知到公司內部各個相關部門，為審計的實施做好準備。如企業委托第三方機構開展審計，則企業應該在第三方機構的協助下，確定審計的目標、范圍、流程等事項，由第三方機構在審計活動開始之前面向公司內部相關人員召開項目啟動會，說明審計的工作計劃及相關部門需要提供的支持，以確保后續審計工作的順利推進。
審計方式：在具體進行審計時，審計機構可以通過審閱制度文件、訪談、進行產品及服務合規測試等方式對現有合規措施的完備性和有效性進行審查，發現并記錄問題，生成審計報告。參考英國ICO的審計執法經驗，我們建議在審計報告中應考慮就合規審計中發現的問題，根據《個保法》的規定，參考行業最佳實踐，提出整改建議，由相關業務部門予以落實。
審計復驗：數據合規審計并非一項一勞永逸的工作，考慮到當前國內數據合規立法不斷完善，執法活動不斷趨嚴的監管態勢，企業應結合國內立法、執法實踐，在審計完成后定期復驗，確保數據審計中發現的問題能得到有效的解決。

（五）輸出審計報告

在輸出審計報告時，我們建議企業應根據審計報告的最終用途、使用對象，在報告內容上作出區別。如審計報告擬向監管部門提交，則需重點回應監管機構關注的風險問題，并對企業遵守相關法律法規的情況予以說明。但在作為企業合規的支持性文件面向客戶提交時，則應就客戶對企業在個人信息保護方面的主要關切予以審計說明。值得注意的是，當企業進行定期審計時，建議企業對上一次審計中發現的問題以及合規整改落實情況予以回應，以此作為企業積極落實《個保法》項下的合規義務的有力證明。

結語

《個保法》自頒布實施以來，企業圍繞《個保法》開展的合規整改工作仍在持續進行。對于已經完成初步合規整改工作的企業而言，前期的合規整改工作是否已經落實到位，是否與《個保法》及其他法定要求仍存在合規差距，需要進一步檢視。《個保法》項下合規審計的法定要求，既是企業作為個人信息處理者的法定義務，也是企業識別合規風險、提升數據治理水平的合規管控工具。

實施審計工作既具有法律性也具有技術性，審計機構最好兼具這兩方面的能力。但總體來講，審計工作的法律基準確立、企業行為的合規性判斷，仍主要是法律工作，因此，由具有能力的律師所承擔這一審計工作屬于恰當安排。

文章來源：中倫視界