作者|王新锐、卢璟、王嘉瑛
自2021年《个人信息保护法》建立个人信息保护合规审计制度以来,个人信息合规审计的落地实施一直是业界十分关注的问题。2023年8月3日,国家互联网信息办公室发布的《个人信息保护合规审计管理办法(征求意见稿)》,初步细化了个人信息保护合规审计的触发情形、参考要点等事项。2024年7月12日,全国网络安全标准化技术委员会秘书处进一步发布了推荐性国家标准《数据安全技术 个人信息保护合规审计要求(征求意见稿)》(以下简称“《个人信息保护合规审计要求(征求意见稿)》”),在上述立法基础上从国家标准层面提出开展个人信息保护合规审计的审计过程规范、审计开展的具体步骤等要求,为企业开展个人信息保护合规审计提供了更为详细的指引。
一、
《个人信息保护合规审计要求(征求意见稿)》有何亮点?
突出个人信息保护合规审计的“监督”性质
个人信息保护合规审计是一项独立的监督活动,是对个人信息处理者的个人信息处理活动是否遵守法律、行政法规的情况进行审查和评价的监督。个人信息保护合规审计的“监督”性质意味着合规审计并不等同于一般意义的风险评估、风险监测,其不是在判断企业潜在的个人信息保护合规风险,而是在监督企业开展的个人信息保护工作是否符合法律法规要求。同时,个人信息保护合规审计与基于《个人信息保护法》合规自查(health check)亦有不同。合规自查是企业在《个人信息保护法》实施初期的自查和合规差距弥补、合规框架搭建;个人信息保护合规审计则是,在《个人信息保护法》实施多年后,个人信息保护合规审计制度即将落地时,从企业整体层面做的客观“监督”检查。
《个人信息保护合规审计要求(征求意见稿)》提出合规审计的合法性、独立性、客观性、全面性、公正性、保密性原则。其中,“独立性”、“客观性”、“全面性”、“公正性”鲜明地体现出合规审计的监督性质。
借鉴境外数据安全审计要求并予以细化
《个人信息保护合规审计要求(征求意见稿)》编制说明3.1条指出:《个人信息保护合规审计要求(征求意见稿)》借鉴了欧洲数据保护主管(EDPS)的数据保护审计、英国ICO数据保护审计、法国CNIL数据合规审计等规则,充分吸收现有成熟的要求和方法。
由于欧洲、英国及法国的数据合规审计规则主要是向受监管机构展示政府如何开展数据合规审计,因此其规则主要是通过指南的形式撰写,并大量使用宽泛概括的语言对官方开展的数据合规审计进行宏观描述。相较于欧洲、英国及法国方针性的数据合规审计指南,《个人信息保护合规审计要求(征求意见稿)》则主要是面向个人信息处理者或第三方专业机构,提供具体的实操规则以便利个人信息处理者内部的数据合规审计机制的构建。
据此,《个人信息保护合规审计要求(征求意见稿)》在审计原则、审计程序、审计人员的要求及应具有的相应权力、审计内容、审计方式及审计证据方面做出更加细致全面的规定。更重要的是《个人信息保护合规审计要求(征求意见稿)》在其附录中将具体的审计内容、对应的审计方法及需要参考的审计证据及证据的效力一一对应,更清晰地向审计人员展示应该如何实际开展个人信息合规审计。
个人信息保护合规审计要求对比
问题导向
《个人信息保护合规审计要求(征求意见稿)》作为我国首部个人信息保护合规审计的国家标准,以问题为导向,旨在填补个人信息保护合规审计的空白。个人信息处理者在开展个人信息保护合规审计前,一般都会提出类似的问题:个人信息保护合规审计由谁来做?具体实施流程如何?采取何种审计方法?如何撰写审计报告?《个人信息保护合规审计要求(征求意见稿)》对上述实践中可能遇到的问题均进行了回应:正文提出了个人信息保护合规审计的原则、实施要求;附录A明确了个人信息保护合规审计流程;附录B对审计证据的类型、审计证据有效性提出要求;附录C逐一列明个人信息合规审计的内容及方法;附录D和附录E分别给出合规审计的底稿模板及报告模板。上述做法为企业开展个人信息保护合规审计提供了有效的指引。
二、
如何有效实施个人信息保护合规审计?
审计机构
《个人信息保护合规审计要求(征求意见稿)》要求个人信息处理者董事会(审计委员会)、个人信息保护负责人或者主要负责人承担审计实施管理的最终责任。董事会(审计委员会)的引入是参考了原中国银监会发布的《商业银行内部审计指引》,在该指引项下,董事会应下设审计委员会,审计委员会对董事会负责,董事会对内部审计的独立性和有效性承担最终责任。
在具体的审计组建立上,需要综合考虑组织规模,业务种类,个人信息数量、种类、敏感程度,涉及系统的复杂程度等因素。如果组织内部有专职个人信息保护合规审计团队的,应从审计团队中选派相关审计人员;组织内未设置专职个人信息保护合规审计团队的,分别从内审团队、安全团队、法务团队等具有审计或个人信息保护相关专业能力的团队中选派人员(跨部门建立的合规审计团队也可以体现独立性);也可以委托第三方专业机构组建审计组,进行个人信息保护合规审计。
审计流程
《个人信息保护合规审计要求(征求意见稿)》的审计流程包含审计计划、审计准备、审计实施、审计报告、问题整改、归档管理等的阶段。
在上述个人信息保护合规审计的实施流程中,需要注意的是:
审计计划不等同于审计方案。审计计划是一个更宏观层面的审计工作计划,确定审计的目标和范围,确定审计的依据和重点;审计方案更为具体,是审计人员在实施审计时需要执行的一系列既定步骤,对每一步审计行动做出具体规定,以确保审计目标的实现。
收集审计证据是审计实施的重点环节。审计底稿撰写、审计发现、审计报告都依赖于收集的审计证据,“审计证据”是个人信息保护合规审计的重中之重。审计人员应多渠道、广泛收集审计证据,降低审计风险,确保审计质量。
问题整改需在审计报告完成后才可进行,不能一边通过审计实施发现问题,一边进行问题整改。如果一边通过审计实施发现问题,一边进行问题整改,得出符合法律法规要求的结论,并记录在审计报告中,将有违个人信息保护合规审计的监督性质。
审计证据
《个人信息保护合规审计要求(征求意见稿)》提出审计证据有效性的要求,这不仅关系到合规审计是否能够有效实施,也在一定程度上促进企业践行合规留痕。实践中,如果企业制定了个人信息保护相关制度,但是将其束之高阁,未经任何批准程序生效实施,那么该等制度将不会在合规审计中获得认可。
审计证据是个人信息保护合规审计实施流程的难点,本次国家标准给出了较为详细的证据示例和有效性要求。但是,具体工作中,仍存在更为细节的审计证据的选择和留存问题,需要根据企业具体情况去做判断。
三、
结语
《个人信息保护合规审计要求(征求意见稿)》的出台,将为企业开展个人信息保护合规审计提供有效指引。由于个人信息保护合规审计仍是较为前沿且不断发展的领域,《个人信息保护合规审计要求(征求意见稿)》也尚未定稿,相信个人信息保护合规审计制度仍有会新的变化。我们将关注个人信息保护合规审计的立法进展及行业实践,为企业开展个人信息保护合规审计提供有益指引。
CCIA数据安全工作委员会单位介绍
世辉律师事务所是一家以服务科技公司为特色的综合性律所,在北京、上海、深圳设有分支机构。世辉的客户均为行业领军公司和著名投资机构。世辉目前担任多个官方组织和行业协会委员,包括CCIA数据安全委员会副主任委员等。
版权与免责
本文章仅供业内人士参考,不应被视为任何意义上的法律意见。未经世辉律师事务所书面同意,本文章不得被用于其他目的。如需转载,请注明来源。如您对本文文章的内容有任何疑问,可联系世辉律师事务所。
作者简介
王新锐|合伙人
wangxr@shihuilaw.com
王律师长期深耕网络安全和数据保护业务,其提供深度法律服务的客户包括数十家中外顶级科技公司,亦为多个中央部委和地方政府的数据立法和监管工作提供支撑。王律师作为中方专家,入选ICC(国际商会)、B20(二十国集团工商峰会)等国际组织的数字治理工作组。此外,王律师是专著《个人信息保护国际比较研究》《现代企业合规指引》 The Technology, Media and Telecommunications Review(13th)主要作者之一,并有大量文章和译作公开发表,专业观点经常被新华社、人民网等国内外主流媒体引用。近两年,王律师作为课程讲师在北大、清华等多所著名高校讲授网络法和数据保护相关内容,并兼任对外经贸大学法学院高级研究员。
王新锐律师毕业于清华大学法学院,执业已超过20年,曾长期在国内顶尖律师事务所工作,现为世辉律师事务所合伙人。2018年以来,王律师在TMT和数据保护领域先后获得Chambers、The Legal 500、ALB、《商法》、China Law & Practice、asialaw、LEGALBAND等多个法律专业评级机构的推荐,其中包括ALB China十五佳TMT律师、The Legal 500亚太数据保护领先律师(2021-2024)、LEGALBAND中国顶级律师排行榜:网络安全和数据保护(第一梯队)(2019-2024)等个人奖项。
卢璟|合伙人
luj@shihuilaw.com
卢璟律师在生命科学领域有着丰富的法律服务经验,执业已超过15年。
卢律师为客户提供的服务包括:在各类交易或合作项目中(例如:License-in/out交易、CSO交易、广阔市场项目、零售渠道合作项目、患者援助项目、数字化平台管理项目等)为企业提供商业谈判、尽职调查、协议起草以及法律及合规风险分析等服务。
另外,卢律师还专注于数据合规及反腐败合规领域,曾为多家企业搭建合规体系,评估合规治理有效性,在并购交易中开展合规尽职调查,代表企业开展针对员工的内部合规调查等。
卢律师入选Chambers大中华区指南2023和2024年度医疗健康行业领先律师;被The Legal 500亚太地区榜单评为2023和2024年度数据保护领域以及医疗健康与生命科学行业重点推荐律师;入选LEGALBAND 2023和2024年度医疗与生命科学行业中国顶级律师排行榜,并被LEGALBAND评为2022年度医疗健康与医药行业中国律师特别推荐榜15强。
王嘉瑛|合伙人
wangjy@shihuilaw.com
王嘉瑛律师主要执业领域包括兼并与收购、私募股权投融资、外商直接投资、对外投资、网络安全和数据合规。
王律师在中国境内及跨境并购交易、中外合资、公司重组、外商投资和对外投资、以及公司经营和治理等业务领域有着丰富的法律服务经验。她曾代表KKR、黑石、腾讯、京东、海尔、沃尔沃、欧迪办公、瑞士邮政等知名私募投资基金及跨国企业集团完成多个有影响力的交易。王律师还曾协助各大基金和创业公司完成各类股权投融资项目,涉及包括医药和医疗健康、TMT、消费品和零售、制造业、汽车及能源、化工、房地产、银行与金融在内的诸多领域。在数据合规领域,王律师长期为多家跨国公司提供网络安全合规法律服务,协助跨国公司进行数据安全合规自查和评估、建立数据安全合规制度代表企业应对监管机构核查和处理安全危机事件。此外,王律师还为诸多在中国的知名跨国公司提供日常法律咨询服务。
王律师被知名法律评级机构LEGALBAND评为2023年度创新律师15强。
往期推荐
