認真對待合規審計，為個人信息保護護航

今天和大家分享的是對剛剛公布的【國家互聯網信息辦公室關于《個人信息保護合規審計管理辦法（征求意見稿）》公開征求意見的通知】的一點觀察。

(資料圖)

8月3日，中央網信辦就《個人信息保護合規審計管理辦法》（簡稱《辦法》）及配套的《個人信息保護合規審計參考要點》（簡稱《要點》）公開征求意見。《辦法》和《要點》本質上是為了發揮個人信息保護合規審計的積極效用，也同時為我國《個人信息保護法》第五十四條（“個人信息處理者應當定期對其處理個人信息遵守法律、行政法規的情況進行合規審計”）和第六十四條（“履行個人信息保護職責的部門在履行職責中，發現個人信息處理活動存在較大風險或者發生個人信息安全事件的，可以按照規定的權限和程序對該個人信息處理者的法定代表人或者主要負責人進行約談，或者要求個人信息處理者委托專業機構對其個人信息處理活動進行合規審計。個人信息處理者應當按照要求采取措施，進行整改，消除隱患”）的落地，提供了具體的執行細則。

本文擬從個人信息保護合規審計的效用、觸發條件、審計基準這三方面，談一談對我國個人信息保護合規審計工作的理解和認識。

一、個人信息保護合規審計的效用

開展個人信息保護合規審計的目的，是在于明確以下事項：一是個人信息處理者是否實施了管理個人信息處理活動的相關政策和程序；二是這些政策和程序是否符合個人信息保護相關的法律法規的要求；三是個人信息處理活動是否真實地遵照這些政策和程序來展開，以及存在哪些差距；四是提出對這些政策和程序的具體內容、執行等方面的改進建議。

不難看出，當一個組織經常性地開展個人信息保護合規審計，它就能有效地識別和控制個人信息處理產生的風險，以防止個人信息保護違規行為的發生（本文稱為“自行開展審計”）。同時，履行個人信息保護職責的部門也可以利用個人信息保護合規審計，全面系統地了解特定個人信息處理者的個人信息保護“水位”（本文稱為“部門委托審計”）。從這個角度來看，個人信息保護合規審計可以被看成對個人信息處理者的“體檢”。和針對個人健康的體檢一樣，針對個人信息處理者的“體檢”可以是自查，也可以是特定情形下按照規定和要求開展的檢查，例如大多數人經歷過的入職體檢。

個人信息保護合規審計已經成為國際通行做法。以歐盟《通用數據保護條例》（GDPR）為例，其同樣規定了兩種形式的個人數據保護審計。GDPR第39條規定，個人數據控制者和處理者所任命的數據保護官的職責之一，就是“監測是否符合GDPR、其他歐盟或成員國法律、控制者或處理者數據保護政策的規定，包括內部的數據處理職責的分配、增強數據保護意識、培訓、相關的審計等”。GDPR第47條規定，能夠支撐數據跨境流動合法性的“有約束力的公司準則”（BCR）的一個必要元素之一，即是BCR是否包含”內部確保準則落實的機制。機制應包括數據保護審計，以及保障數據主體權利的方式……”GDPR第58條規定，個人信息保護監督機構（supervisory authority）的調查權之一即是“以個人信息保護審計的形式開展調查”（“to carry out investigations in the form of data protection audits”）。可見，GDPR和我國一樣，都規定了“自行開展審計”和“部門委托審計”兩種形式的個人信息保護審計。

二、個人信息保護合規審計的觸發條件

對于“自行開展審計”，《辦法》規定“處理超過100萬人個人信息的個人信息處理者，應當每年至少開展一次個人信息保護合規審計；其他個人信息處理者應當每二年至少開展一次個人信息保護合規審計”。

對于“部門委托審計”，《辦法》規定的觸發條件是“履行個人信息保護職責的部門在履行職責中，發現個人信息處理活動存在較大風險或者發生個人信息安全事件的”。從筆者的經驗來說，可能導致監管部門認為存在較大風險的因素，包括以下事項：

根據向監管部門提出的投訴，個人信息處理者對此的回復，以及個人信息處理者的合規“歷史”；

個人信息處理者自我報告的違規行為（例如對個人信息安全事件的報告或通知），以及該處理者提出的補救行動；

與個人信息處理者的日常溝通中，如果展現出個人信息處理者對個人信息保護合規控制的缺乏，以及對個人信息保護立法的薄弱理解；

新聞報道，如披露個人信息處理者在處理個人信息方面存在重大缺陷的新聞報告，以及來自其他監管機構的信息；

個人信息處理者發布的各種聲明（如社會責任報告）或披露的各種信息，特別是這些信息凸顯了其在個人信息處理中存在的問題；

上線新技術新應用時，觸發公眾輿論或沒有采取相應額外的個人信息保護措施；

個人信息處理者的規模，包括正在處理的個人信息的數量和性質；以及

其他相關信息，如"內部舉報人"的報告、個人信息處理者披露的個人信息保護影響評估報告、個人信息黑灰產中流傳的線索等。

三、個人信息保護合規審計的審計基準 對個人信息處理者制定和實施的個人信息保護相關政策和程序，需要有個“標尺”。《要點》即是承擔起這個角色。從要點的內容來看，其構成包括《個人信息保護法》中的具體規定，以及個人信息保護相關的部門規章（例如《要點》中關于數據跨境的內容）。

很顯著的一點是，《要點》大量吸收了相關網絡安全國家標準的具體規定。例如《個人信息安全規范》（GB/T-35273）、《個人信息安全影響評估實施指南》（GB/T-39335），以及正在制定的相關標準的主要內容。

另外值得注意的一點是，《要點》為參考性質。換句話說，《辦法》中規定的審計實施程序、專業機構開展審計所需的權限、對專業機構的要求規范等，是強制性的，但是審計是否完完全全按照《要點》開展，是需要進一步裁量判斷的。

舉例來說，“部門委托審計”完全可以在《要點》的基礎上，針對特定的個人信息處理者及其可能產生的個人信息安全風險“量體裁衣”，額外提出特定的審計要點，以力求對具體的風險“吃準摸透”。也只有這樣“刨根問底”，提出的整改或改進措施才會“有的放矢”。

四、小結

實際上，除了及時發現、預防、整治個人信息安全風險之外，個人信息保護合規審計還有諸多好處。例如，通過開展審計，能夠提高個人信息處理者內部上下人員對個人信息保護、數據和網絡安全等方面的認識；審計的開展和報告的對外發布，能夠向外界表明個人信息處理者認識到并以實際行動致力于個人信息保護和個人權益的維護，并能夠通過專業機構的“背書”對外界展示個人信息處理者所實施政策和程序的質量等等。借著《辦法》和《要點》的公開征求意見，個人信息處理者應當認真對待個人信息保護合規審計，最大化這個工具的功效，提升自身的個人信息保護水平。（洪延青）

關鍵詞：