在数字化时代,个人信息的保护已成为全球社会关注的焦点。随着《数据安全技术 个人信息保护合规审计要求(征求意见稿)》(下称“审计要求”)的发布,全国各地在互联网、金融、交通、医疗、电信等行业领域已陆续开展《审计要求》试点工作。如何确保个人信息的合法、合规处理,避免潜在的合规风险,已经成为当下每个企业亟需解决的重要问题。
为帮助企业应对这一挑战,盈科全球数据合规服务中心联合百度安全、威科先行共同编写了《个人信息保护合规审计50问:关键问题全解析》白皮书,深入剖析个人信息保护合规审计(下称“个保审计”或“PIPCA”)的核心要点,详细解答了行业中常见的关键问题。
为助力大家拨开迷雾,笔者倾心打造《个保审计 50 问:关键问题全解析》系列解读。本期为第二期,将为大家继续带来5个审计计划阶段的常见问题。
A6:个保审计有两种类别,一是定期自主审计;二是在监管部门要求下委托专业机构进行外部强制审计,两者区别详见下表:
A7:个保审计虽然是企业义务,但仍不得不兼顾成本,确定频率时主要可考虑企业规模、业务调整情况、行业特性与处理信息的数量和敏感性、法律法规要求等因素。
(1)企业规模:对于处理100万用户数据以上的企业,每年需进行一次审计;对于处理100万用户数据以下的企业,每两年至少进行一次审计。
(2)业务调整:企业可能因业务调整需要更频繁地进行审计,具体以实际为准。
(3)行业特性与处理信息的数量和敏感性:处理敏感信息或数量较多的企业会优先进行审计;敏感性高或数量少的企业也可能优先进行审计。这与行业特性息息相关,如金融、医疗、教育行业因处理大量敏感个人信息,需特别关注合规审计。新能源汽车行业因涉及车内个人信息及车外路径信息的收集,也需优先考虑审计。
A8:可能违背独立性要求。
根据审计独立性的原则,审计人员应避免审计自己制定的政策或流程,以确保审计的客观性和公正性。如果法务部门既参与了数据政策的制定,又负责领导,可能存在利益冲突或偏见风险。因此,最好是由不同的团队或外部独立审计机构进行,以确保审计结果的独立性和可信度。
A9:独立性原则要求实施审计的人员独立于审计活动,审计人员与被审计的对象没有利益关系。
企业可以自己开展个保审计,也可以委托专业机构开展。如果是委托外部专业机构开展,为了确保专业机构的独立性,2023年8月,国家互联网信息办公室发布《个人信息保护合规审计管理办法(征求意见稿)》(以下简称“合规审计办法”)要求执行个保审计的专业机构连续为同一审计对象开展个保审计不得超过三次。
如果是公司自己开展合规审计,也需要体现独立性。如果企业内部有独立的内审团队,该团队不直接参与审计对象的经营管理活动,不与合规审计对象存在直接利害关系,那么可以由该团队牵头实施个保审计。
A10:个保审计通常包括审计计划和准备、审计实施、审计报告、问题整改、归档管理等5个主要阶段。
(1)审计计划和准备阶段:主要工作是进行审前调查,以了解和评估个人信息处理的组织架构、管理制度和技术措施。这个阶段需要明确审计的范围和依据,包括确定相关的法律、行政法规、政策文件、国家标准与协议等。同时,要确定审计对象,识别审计的重点内容,并制定详细的审计日程和计划,这包括审计流程、进度安排和审计方法的选择。这个阶段是整个审计工作的基础,为后续的审计实施阶段打下坚实的基础。
(2)审计实施阶段:在这一阶段,审计人员将通过访谈、文件检查、现场检查、日志分析和测试等多种方式来收集审计证据。他们将依据审计准备阶段确定的法律、行政法规、政策文件、国家标准与协议等,对个人信息处理活动的合规性进行深入分析。审计人员需要对审计对象的个人信息保护措施进行全面评估,识别潜在的风险点和不合规行为,确保审计工作的全面性和准确性。
(3)审计报告阶段:在审计实施结束后,审计人员将根据收集到的证据和分析结果,撰写审计底稿和审计报告。审计报告将详细记录审计过程中的发现、证据和结论,并提出针对性地审计意见和改进建议。这个阶段的目的是将审计结果和建议正式化,为审计对象提供明确的整改方向和行动指南。
(4)问题整改阶段:审计报告发布后,审计对象需要根据报告中的发现和建议,制定并实施整改计划。这个阶段的重点是解决审计中发现的问题,优化个人信息保护措施,提高合规性。审计人员可能需要对整改情况进行跟踪审计,以确保问题得到有效解决,整改措施得到妥善实施。
(5)归档管理阶段:在审计工作全部完成后,最后一个阶段是归档管理。这个阶段涉及将审计过程中产生的所有文档和记录进行整理、归档,确保审计档案的完整性和可追溯性。这包括审计计划、审计底稿、审计报告、整改记录等,为未来的审计工作或复查提供参考和依据。
郭卫红 律师
点击头像
查看更多讯息
业务领域:
数据合规与网络安全/爬虫治理与开源合规治理/平台合规与盲盒等新商业合规/TMT
姜斯勇 律师
点击头像
查看更多讯息
业务领域:
数据合规/开源治理/人工智能
周一琼 律师
业务领域:
数据出境合规/GDPR合规/网络安全/互联网平台数据合规体系梳理与搭建工作
葛若芸 律师
点击头像
查看更多讯息
业务领域:
GDPR合规/北美区数据合规/开源合规治理/MCN及公司法律顾问/网络维权取证与诉讼
王月玥 律师
点击头像
查看更多讯息
业务领域:
梳理数据流/把控个人信息全生命周期合规环节/个人信息保护合规审计/PIA等
文章投稿:盈科全球数据合规服务中心
责 编:李妍雯
注:本文及其内容仅代表作者观点,不视为北京盈科(上海)律师事务所正式法律意见或建议。如需转载或引用请注明出处。
