前 言
2024年7月12日,全国网络安全标准化技术委员会发布国家标准《数据安全技术 个人信息保护合规审计要求(征求意见稿)》(下称“《审计要求(意见稿)》”)。
此前,国家互联网信息办公室(下称“国家网信办”)于2023年8月3日发布《个人信息保护合规审计管理办法(征求意见稿)》(下称“《审计办法(意见稿)》”)及其附件《个人信息保护合规审计参考要点》(下称“《审计要点》”),作为《个人信息保护法》(下称“《个保法》”)第54条和第64条关于个人信息保护合规审计(下称“个保审计”)的细节展开。
《审计要求(意见稿)》的发布,进一步支撑了《个保法》中关于个保审计的条款和《审计办法(意见稿)》的落地实施,从国家标准层面提出开展个保审计的原则和总体要求,有利于解决因缺少规范要求和方式步骤而导致得个保审计不易开展的问题。
图1 个保审计的法律沿革
一、个保审计的类型与法律依据
根据《个保法》第54条和第64条第1款,个保审计可分为个人信息处理者开展的定期个保审计和按监管或主管部门要求开展的强制个保审计。其中,《审计办法(意见稿)》对定期个保审计的频率和强制个保审计的时限等内容进行了细化规定;针对特定个人信息主体(例如未成年人)、特定行业领域(例如征信行业),相关法律法规也对定期个保审计提出了更加具体的要求。
本次发布的《审计要求(意见稿)》,主要适用于个人信息处理者自行或委托专业机构开展的定期审计工作,个人信息处理者按照监管或主管部门要求开展强制审计时可参考该标准。[1]
表1 个保审计的类型和法律来源
审计类型 | 法律法规 | 条款条文 | 备注 |
定期审计 | 《个保法》 | 第54条 个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计 | 个保审计的法律基础 定期审计可以自行审计,也可以委托专业机构审计 |
《审计办法(意见稿)》 | 第4条 处理超过100万人个人信息的个人信息处理者,应当每年至少开展1次个人信息保护合规审计; 其他个人信息处理者应当每2年至少开展1次个人信息保护合规审计 | 细化了定期审计的频率要求 | |
《未成年人网络保护条例》 | 第37条 个人信息处理者应当自行或者委托专业机构每年对其处理未成年人个人信息遵守法律、行政法规的情况进行合规审计,并将审计情况及时报告网信等部门 | 未成年人个人信息处理者的特殊要求 | |
《征信业务管理办法》 | 第43条 个人征信机构应当每年对自身个人征信业务遵守《中华人民共和国个人信息保护法》《征信业管理条例》的情况进行合规审计,并将合规审计报告及时报告中国人民银行 | 征信行业特殊要求 | |
《工业和信息化部关于进一步提升移动互联网应用服务能力的通知》 | 第2条第1款第1项 完善内部管理机制……定期对个人信息保护措施及执行情况等进行合规审计,有效防范风险隐患 | 定期个保审计纳入工信部监管范围 | |
强制审计 | 《个保法》 | 第64条第1款 履行个人信息保护职责的部门在履行职责中,发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,可以按照规定的权限和程序对该个人信息处理者的法定代表人或者主要负责人进行约谈,或者要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。个人信息处理者应当按照要求采取措施,进行整改,消除隐患 | 强制审计的触发情形:相关部门发现个人信息处理活动存在较大风险;或发生个人信息安全事件 仅能委托专业机构审计,不能自行审计 |
《审计办法(意见稿)》 | 第9条 个人信息处理者按照履行个人信息保护职责部门要求委托专业机构开展个人信息保护合规审计的,应当在90个工作日内完成个人信息保护合规审计;情况复杂的,报经履行个人信息保护职责的部门批准后可适当延长 | 强制审计时限要求:(90+X)个工作日 |
二、个保审计流程及其挑战
1. 个保审计的流程和主要工作内容
个保审计的流程主要分为5个阶段,分别为审计准备、审计实施、审计报告、问题整改、归档管理,具体流程和实施要点如下图所示:
图2 《审计要求(意见稿)》审计流程
2. 异议解决
《审计要求(意见稿)》附录A审计流程之A.3.5规定,在审计实施阶段,审计人员应对取得的审计证据进行评价分析,对发现的问题进行定性,并对照审计依据形成审计发现。审计人员应通过会议等机制,将审计发现及审计结论通报给被审计方管理层,并进行沟通和确认。被审计方有异议的,双方应讨论协商,必要时审计人员进一步核实;若双方就审计发现及审计结论仍未能达成一致,审计人员应在审计底稿中予以记录。A.4.1规定,撰写审计报告前,审计人员与被审计方之间应建立异议解决机制,对被审计方提出异议的审计结论应及时进行沟通确认,并将沟通结果和审计结论归档保存。附录E给出的审计报告模板中,如被审计方对审计报告内容有异议的,可在审计报告的附件部分对异议予以说明。
异议解决机制是审计组与被审计方之间进行沟通的重要渠道,促进了个保审计的有效性和准确性。审计人员难以通过一次个保审计掌握审计对象的全部情况,且可能因专业背景、证据收集方式、关注点等因素而与被审计方产生理解偏差,因此异议解决机制的难点在于如何确保双方充分表达观点和立场并达成共识。被审计方对审计发现或审计结论提出异议时,沟通和核实可能会延长审计周期,从而对审计资源和时间管理提出挑战。同时,关于异议的沟通结果和审计结论将体现在审计底稿中,且被审计方可能需要在审计报告中对异议进行说明,或许会引发管理层或外部利益相关者的误解或担忧。如何在报告中清晰、客观地呈现异议,是审计人员需要谨慎处理的问题。
3. 问题整改
根据《审计要求(意见稿)》附录A给出的审计流程,个保审计将采取“先报告后整改”的模式。A.3.5规定,对于审计发现的问题,可根据问题的影响程度、整改代价等因素进行分级排序。审计完成后需要被审计方对审计问题进行正式确认。A.5规定,在问题整改阶段,审计人员应对审计中发现的不合规项进行跟踪,督促被审计方在规定期限内整改。必要时,审计人员可对整改措施的完成情况及有效性进行跟踪审计。
整改阶段在实操中可能会面临以下问题:①问题分级排序:如何准确评估审计发现问题的严重性和紧迫性,以及如何合理分配整改资源,确保关键问题和即时威胁优先解决;②整改期限:如何根据问题的复杂程度、被审计方的整改能力、资源投入情况等因素设定合理的整改期限,以及如何与审计期限和项目进度相协调;③问题暴露:由于采取“先报告后整改”的模式,审计报告中呈现的问题可能涉及相关合规风险和法律责任,从而为审计和整改工作带来较大压力;④整改主体:按照《审计要求(意见稿)》,整改主要由被审计方自行开展,审计组的工作是发现问题、督促并协助整改、必要时开展跟踪审计,但实际项目开展过程中审计组可能需要更直接地参与整改工作以确保整改效果。
三、个保审计工作的重点和难点
1. 个保审计的证据
审计证据是指审计人员获取的能够为个保审计结论提供合理基础的全部事实,包括个保审计过程中收集、使用或发现的记录、事实陈述或其他信息。[2]被审计方应对审计证据的真实性、完整性和有效性负责。[3]
(1)审计证据的涵盖范围
审计证据需体现被审计方的个人信息保护情况,在范围上建议涵盖如下图所示的内容:
图3 审计证据的涵盖范围
(2)审计证据的不同类型及其有效性
个保审计收集的审计证据应对个人信息合规判断具有相关性,其取得方式应具有合法性,其记录内容应具有真实性。[4]结合《审计要求(意见稿)》5.1.3、附录B之表B.1和附录C,各类审计证据有效性要求如下表所示:
表2 审计证据的有效性要求
证据类型 | 证据举例 | 证据有效性 |
管理文件 | 组织章程 产品/服务合格认定制度 合规管理制度:例如个人信息保护管理制度/操作规程、个人信息处理技术文档、应急管理制度、个人信息授权访问管理要求、数据分类分级制度/目录等 保密制度 企业标准等 | 1) 正当起草/批准程序 2) 生效实施 |
协议文件 | 隐私政策 用户服务协议 大型互联网平台规则 线下合同 用户手册 雇员合同 数据提供/委托处理/共同处理协议 个人信息出境(标准)合同等 | 1) 协议各方有效同意 2) 实际生效和执行 |
工作档案 | 职工人员表:例如组织架构、机构部门职责设置、负责个人信息保护工作的人员名单等 系统开发/升级档案 工作会议档案:例如会议记录等 对外交流档案:例如沟通记录、往来邮件等 个人信息处理活动记录:例如取得/重新取得/撤回同意的记录、告知记录、个人信息处理记录/实例、行权记录/证明、算法模型备案记录、行政许可记录等 培训/考核记录 应急响应/演练记录 申请记录 审批记录 安全管控卡点记录等 | 反映真实情况的纸质/电子记录 |
网络日志 | 访问/存储/传输/删除日志 | 未被篡改的原始记录 |
资质证明 | 网络安全等级保护 个人信息保护认证 数据安全管理认证 个人信息保护影响评估报告 数据出境安全评估报告 个人信息保护合规审计报告 算法模型安全评估/科技伦理审查报告等 | 1) 开展有效审查 2) 出具正式有效证明 3) 证明出具单位有证明能力且能独立承担责任 4) 在有效期内 |
检查记录 | 机房检查记录:例如数据库表字段信息、个人信息展示页面、系统界面等 产品/服务实际运行检查记录 安全保护措施有效性检查记录等 | ≥2名个保审计人员检查并签字 |
访谈笔录 | 领导访谈笔录 一般雇员访谈记录 用户访谈记录等 | 1) ≥2名个保审计人员访谈并签字 2) 满足任一:被访谈人员签字记录、访谈视频录制文件、审计人员记录的拒绝签字说明 |
案例材料 | 投诉举报案例 司法裁判案例 行政处罚案例 新闻舆论案例等 | 1) 与被审计者有关 2) 无证据可以证伪 |
专家证言 | 专家论证报告等 | 1) 专家具备相应专业知识 2) 论证过程正当 3) 论证意见有说服力 |
测试报告 | 应用系统个人信息处理检测报告 漏洞检测报告 渗透测试报告等 | 1) 具备技术能力的机构通过真实环境/近似真实的测试环境开展测试 2) 测试机构加盖公章并对内容真实性做出负责任承诺 |
《审计要求(意见稿)》在审计原则和审计人员要求两部分均提出独立性要求,即审计人员在实施个保审计时应当保持审计工作的独立性,独立于审计活动。鉴于定期审计可以由组织自行开展,也可以委托外部专业机构进行,《审计要求(意见稿)》提出了以下增强审计独立性的措施:
表3 个保审计的独立性
审计类型 | 独立性要求 | 影响独立性的后果 |
组织内部自行审计 | 内部审计人员:独立于具体被审计的个人信息处理活动 内部审计人员:回避自身负责的业务内容,不直接参与被审计对象[5]的日常业务运营、个人信息安全保护工作,且其工作不受被审计对象约束 | 审计人员立即向审计组提交书面说明 审计组暂时回避或终止其审计工作 |
委托外部专业机构审计 | 外部审计人员:同被审计对象及其工作人员不得存在亲属关系、利益往来、法律纠纷等可能影响其做出公正、独立审计结论的利害关系 | |
内外部审计均适用 | 审计人员不应参加可能影响其独立履行审计职责的活动,不应接受任何可能影响其独立性判断的财物 |
尽管有前述要求,《审计要求(意见稿)》附录A审计流程之A.2.1规定,在“必要时”和“保持独立原则”的前提下,可从组织内部的内审团队、安全团队、法务团队等具有审计或个人信息保护相关专业能力的团队中选派人员参与审计(详见下文第四点)。
从一般的商业流程而言,组织内部的业务、信息技术和法务等人员均有可能参与日常业务运营和个人信息安全保护工作,且其作为组织员工难以避免会受到相关约束,如何保持内部人员参与和审计独立性的平衡,可能成为实务中的难点。目前看来,委托外部第三方专业机构开展审计、组织内部相关人员予以配合和支持的模式可能是现有机制下保持审计独立性的最佳方案。
关于外部第三方专业机构的选择,此前《审计办法(意见稿)》第13条规定,网信和公安等部门将建立个保审计专业机构推荐目录,每年组织开展个保审计专业机构评估评价,并根据评估评价情况动态调整个保审计专业机构推荐目录,同时鼓励个人信息处理者优先选择推荐目录中的专业机构开展个保审计活动。但在《审计要求(意见稿)》中,并未提及个保审计专业机构推荐目录相关事宜。
3. 如何理解个保审计的全面性
全面性原则要求审计人员针对审计对象,应进行全面、系统的审计,进行综合、全面、系统的审查,确保证据充分。[6]我们理解,该原则并非要求单次个保审计活动必须对被审计方的全部个人信息处理活动、信息系统、应用程序以及相关部门、人员和制度等进行全面审计,而是需要在确定审计对象后通过多种渠道和方式充分收集相关审计证据,以保证审计结论的可信度和有效性。组织可以根据自身的个人信息保护能力建设情况和审计目的决定,是对整个组织的全部业务条线、所有个人信息处理活动和每一产品/服务进行完整个保审计,或是对部分业务条线、处理活动和相关产品/服务进行专项个保审计。
四、个保审计的内容变化的对比解读
附录C是《审计要求(意见稿)》中篇幅占比最大的内容,给出了个保审计的审计内容以及对应的审计证据和审计方法,对实务中开展个保审计具有较强指导意义。
1. 新增关于必要性的审计内容
最小必要是《民法典》[7]及《个人信息保护法》[8]确立的关于个人信息处理最重要的基本原则之一,但由于其仅作为原则性规定,监管或主管部门以及不同的个人信息处理者可能对其存在不同的理解,因此个人信息处理必要性原则的判断和把握长期以来是实务操作中的模糊地带和难点,也是企业的关注重点。本次《审计要求(意见稿)》附录C之C.2较《审计办法(意见稿)》之附件《审计要点》相比,新增了6条个人信息处理必要性的审计要求,有助于为实务工作进一步提供参考,厘清个人信息处理的合规边界。
2. 修改关于个人信息出境的审计内容
针对个人信息出境的内容,《审计要求(意见稿)》附录C之C.14较《审计办法(意见稿)》之附件《审计要点》第15条相比,根据《促进和规范数据跨境流动规定》(下称“出境新规”)进行了更新:①删除“处理100万人以上个人信息的个人信息处理者向境外提供个人信息需安全评估”;②将增量出境个人信息的统计起始时间从“上年1月1日”修改为“当年1月1日”;③将非CIIO个人信息处理者出境增量个人信息适用安全评估的起算门槛从“10万人个人信息”修改为“100万人以上个人信息”。
或许是沿用《审计要点》体例的缘故,《审计要求(意见稿)》附录C关于个人信息出境的审计内容并未完全纳入出境新规的内容,从而导致审计内容存在不全面的问题,例如缺乏免予申报安全评估、订立标准合同、通过个人信息保护认证的出境豁免情形,缺乏标准合同或保护认证的适用门槛,缺乏关于告知、单独同意、个人信息保护影响评估等义务的审计内容,有可能将会在最终发布的版本中进行补正。
3. 新增并修改关于未成年人保护的审计内容
《审计要求(意见稿)》附录C依据《未成年人网络保护条例》等法律法规,设置了C.16至C.22关于未成年人个人信息处理的专门性审查内容,包含告知、真实身份审核、收集的最小必要、个人信息主体权利、个人信息安全事件应急响应处置、访问的最小必要、私密信息保护7个模块。同时,《审计办法(意见稿)》之附件《审计要点》第14条将未成年人限定在“不满十四周岁”,即儿童[9];《审计要求(意见稿)》附录C仅在C.13.2关于取得未成年人父母或其他监护人同意的审查内容中将未成年人年龄限制在十四周岁以下,C.16至C.22均未作此限定,而是将审计对象的范围扩展至所有年龄段的未成年人。
4. 修改外部独立监督机构和社会责任报告的审计内容
《审计要求(意见稿)》附录C之C.34规定了关于外部独立监督机构的审计内容,C.37规定了关于个人信息保护社会责任报告的审计内容,相较于《审计办法(意见稿)》之附件《审计要点》第28条和第31条,《审计要求(意见稿)》未限定为“大型互联网平台运营者”的合规义务。但根据《个人信息保护法》第58条第1款第1项和第4项,我们理解“成立外部独立机构对个人信息保护情况进行监督”和“定期发布个人信息保护社会责任报告”属于“提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”的义务。
结 语
个保审计是《个人信息保护法》及相关法律中对于个人信息处理者的法定义务要求,同时也是监管部门落实“指导、监督个人信息处理者开展个人信息保护工作”[10]的工作职责,以及建立和完善“强化事前事中事后全链条全领域监管[11]”的职能机制的有效途径和重要保障。但是,由于缺乏实施细则和监管规范,实践中真正开展、落实个保审计的企业极少。随着《审计办法(意见稿)》《审计要求(意见稿)》等配套文件的陆续推出,个保审计的强制性义务的规范和导入已经蓄势待发,建议企业予以持续关注和适当的准备。
注释
[1] 《〈数据安全技术 个人信息保护合规审计要求(征求意见稿)〉编制说明》第2.2条
[2] 《数据安全技术 个人信息保护合规审计要求(征求意见稿)》3.2
[3] 《数据安全技术 个人信息保护合规审计要求(征求意见稿)》附录B之B.1
[4] 《数据安全技术 个人信息保护合规审计要求(征求意见稿)》附录B之B.2
[5] 《数据安全技术 个人信息保护合规审计要求(征求意见稿)》3.3:审计对象是指被审计方的个人信息处理活动、信息系统、应用程序以及相关部门、人员和制度等。
[6] 《数据安全技术 个人信息保护合规审计要求(征求意见稿)》4 d)
[7] 《中华人民共和国民法典》第1035条
[8] 《个人信息保护法》第5条
[9] 《儿童个人信息网络保护规定》第2条:本规定所称儿童,是指不满十四周岁的未成年人。
[10] 《个人信息保护法》第61条
[11] 《促进和规范数据跨境流动规定》第12条
