2025年2月14日,国家互联网信息办公室正式发布了《个人信息保护合规审计管理办法》(下称“《个保审计管理办法》”),将于2025年5月1日起施行,为企业落实《个人信息保护法》(下称“《个保法》”)第五十四条和《网络数据安全管理条例》(下称“《网数条例》”)第二十七条下规定的个人信息保护合规审计(“个保合规审计”)义务提供了更为具体的规则和实操指引。
《个保审计管理办法》系统性地构建了个保合规审计框架,填补了个人信息保护法律法规确立个保合规审计义务以来的规范空白。《个保审计管理办法》详细规定了个保合规审计的适用条件和操作要求,包括审计触发条件、审计频率、内容和方法,同时提供了《个人信息保护合规审计指引》(“《个保审计指引》”),为企业开展实际的个保审计项目提供了方法论支持。
一、个保合规审计触发条件
1. 自主审计
相较其2023年征求意见稿中100万人的门槛标准和每年一次的审计频率,《个保审计管理办法》正式稿既降低了自主审计频率要求所对应的个人信息处理量级的门槛,频率也调整至了每两年审计一次,即“处理超过1000万人个人信息的个人信息处理者,每两年至少开展一次个保合规审计”,明确体现了降低监管强度的趋势。
对于处理个人信息量级未达到1000万人个人信息的处理者而言,《个保审计管理办法》未明确规定其法定审计频率,但这不意味着此类个人信息处理者不需要开展个保合规审计工作。根据《个人信息保护合规审计管理办法》答记者问,国家网信办有关负责人明确表示“其他个人信息处理者根据自身情况合理确定定期开展个人信息保护合规审计的频次”。
此外,在一些特定行业和领域的数据安全保护单行规则项下也有无门槛的审计要求,其审计频率要求甚至更为密集。比如,《未成年人网络保护条例》第三十七条就规定“个人信息处理者应当自行或者委托专业机构每年对其处理未成年人个人信息遵守法律、行政法规的情况进行合规审计”。又比如,《银行保险机构数据安全管理办法》第六十六条规定,“银行保险机构应当每年开展一次数据安全风险评估。审计部门应当每三年至少开展一次数据安全全面审计,发生重大数据安全事件后应当开展专项审计”。
企业应结合自身所在行业、处理个人信息的敏感程度等,综合评估确定符合自身情况的审计频率;考虑到个保审计是个保合规工作的重要衔接、推动和迭代工具,建议企业考虑制定每两到三年至少完成一次审计的规划。尤其是主营业务或者个人信息处理活动敏感的行业(比如消费者端客诉较多的行业),企业应积极开展个保合规审计,防止投诉引发的监管审计带来的审计时限压力和合规整改压力。
2. 监管审计
《个保法》第六十四条还规定了企业需按照履行个人信息保护职责的部门(下称“保护部门”)要求委托专业机构开展个保合规审计的情况,即“保护部门在履行职责中发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,可以要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计”。
《个保审计管理办法》第五条在此基础上(1)规定了“较大风险”主要指“处理活动严重影响个人权益或者严重缺乏安全措施”;(2)增加了“可能侵害众多个人利益”作为监管审计的触发条件;并且(3)细化了“个人信息安全事件”的后果门槛是指“导致100万人以上个人信息或者10万人以上敏感个人信息泄露、篡改、丢失、毁损的”,为保护部门开展监督工作和企业日常防范与自查自纠提供参考。鉴于《个保审计管理办法》第十七条赋予了组织和个人对审计违规行为进行投诉、举报的权利,不排除也会成为引发监管审计的导火索,建议企业予以重视,特别是此前遭遇过用户或者第三方关于个人信息保护合规投诉或者诉讼的企业。
另外,《个保审计管理办法》第十九条将法律、法规授权的具有管理公共事务职能的组织排除于个保合规审计之外。
二、个保合规审计的具体要求
1. 要点评述
2. 审计事项
《个保审计管理办法》附件《个保审计指引》对审计的26个重点事项进行了明确,具体可以分类为基础性规定、个人信息跨境、涉及第三方个人信息处理者的情形、未成年人个人信息处理、特定主体和情形的个人信息处理、个人信息处理者自身管理与监督、个人信息权利保障和大型互联网平台运营者等多个板块内容。
这些内容全面覆盖了《网络安全法》《数据安全法》《个保法》以及配套的行政法规、国家标准(如GB/T 35273—2020《信息安全技术 个人信息安全规范》)对企业个人信息处理活动的要求。结合部分企业已有的个保合规审计实践,企业还可以综合参考后续出台的《数据安全技术 个人信息保护合规审计要求》中的“审计内容和方法”进行事项拆分和证据材料搜集。
三、 实操总结与建议
在管理办法发布的背景之下,结合我们此前的项目经验并参考《数据安全技术 个人信息保护合规审计要求(征求意见稿)》内的指引,我们梳理总结了以下审计流程、方案及实操建议,供企业参考。
1. 审计流程
2. 审计方案概要
3. 审计项目交付物示例的梗概
《个保审计管理办法》未对专业机构的交付义务、交付成果和质量控制做出明确的要求。结合过往项目经验,以下交付物示例的梗概有助于个保合规审计的执行与完成:
(1) 审计方案
内容涵盖a) 被审计单位的名称;b) 审计目标和范围及针对范围中控制点的审计证据需求和审计期待;c) 审计参考;d) 审计过程和方法;e) 审计小组和责任;f) 审计时间表;g) 资源需求和安排;h) 其他相关要素。
(2) 审计子任务
在分析评估公司个人信息处理活动时,有时会涉及根据获得的审计证据,在特定场景下的个人信息处理活动性质和情况的厘清(如识别特定字段是否构成个人信息、公司数据处理角色的认定等)。相关任务和交付将构成审计子任务,以点带面推进个保合规审计项目工作的落实。
(3) 个保合规审计发现
如果获得的审计证据符合审计依据,则提供审计确认。如果不符合,则形成潜在审计发现。待相关审计证据完成进一步核实后,确存在不符点的,形成审计发现。
(4) 主要审计发现清单
在个保合规审计发现的基础上,与审计对象沟通形成主要审计发现清单,常见主要发现包括未指定个人信息保护负责人、与第三方协议中对个人信息保护约定不明确、缺乏数据留存制度等。审计小组应分析风险所在,阐述立法背景及目的,进行影响评估(如法律风险、执法可能性、罚金、行业基准),最终形成精准建议。
四、企业建议
企业开展个保合规审计工作时,应当结合自身实际情况,制定个保合规审计的范围以及审计策略。具体而言,企业可以考虑如下的合规安排,并且优先处理:
- 尽快评估个人信息处理总量,考虑是整合集团总量还是单个不同业态企业的数量分开计算。同时判定是否有义务任命个人信息保护负责人,与其他部门进行分工协调,拉齐方法论和对先前个保合规的操作的考虑和理解,尽早开展个保合规审计工作。
- 识别个保合规工作中涉及的重要业务流程,可能引发外部投诉的流程(如面向大量消费者提供的在线服务,或者涉及处理大量未成年人信息的业务条线),并回顾之前的合规重点。如果此前项目的合规操作是参考行业水位的决策,则应重新审视具体实操和市场水位的差距,并作为审计工作开启前自查自纠的重点。
- 企业可以聘请外部专业机构提供独立的审计服务,以确保审计的专业性和客观性,通过外部专业机构来拉齐各部门对个保合规事项的理解和后续的分工,减少内部因对规则理解的不同而导致的反复讨论。同时,企业可以结合第一次审计的实战经验,制定后续审计的时间表。
- 对于跨国经营的企业,尤其需要注意对总部的审计方案或内审方案的本地化和甄别不适用的审计标准和要求,充分考虑中国地区个人信息保护法规的特殊要求,制定符合境内外法规的统一方案,并做好跨境审计工具和流程的衔接工作,确保合规工作的全面性和一致性。
- 《个保法》 第五十八条 提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当履行下列义务:(一)按照国家规定建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督;(二)遵循公开、公平、公正的原则,制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务;(三)对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务;(四)定期发布个人信息保护社会责任报告,接受社会监督。 ↑
- 《网数条例》 第四十四条 大型网络平台服务提供者应当每年度发布个人信息保护社会责任报告,报告内容包括但不限于个人信息保护措施和成效、个人行使权利的申请受理情况、主要由外部成员组成的个人信息保护监督机构履行职责情况等。 ↑