总第140期 《个人信息保护合规审计管理办法》合规实务详解
编者按
2025年2月14日,国家互联网信息办公室正式发布《个人信息保护合规审计管理办法》(“《审计办法》”),《审计办法》对个人信息保护合规审计工作应如何组织和开展作出了具体规定,将自2025年5月1日起施行。本期专题结合最新政策法规,对于个人信息保护合规审计的流程、合规义务、强制审计以及对企业的深层次影响等重点法律问题进行深入解析。
目录
一、个人信息保护合规审计概述
(一)个人信息保护审计的特点
纵览《审计办法》,个人信息保护审计(简称“个保审计”)特点凸显为:专业性、独立性和全面性。首先,从事个保审计的机构必须具有专业性,外部机构毋庸置疑,法案明确为专业机构。与征求意见时不同的是,《审计办法》避免行政权力滥用而删去了专业机构推荐目录的做法,值得赞赏。其次,个保审计必须突出审计的独立性。法案对专业机构的诚信、正直、公正和客观提出了职业要求,且以“不得连续三次审计同一对象”的方式建立了一种类似审计轮换(Audit Rotation)的制度安排,这种制度的立法逻辑在其他合规审计领域已有体现。
(二)个人信息保护合规审计的模式
《个人信息保护法》规定了两类个人信息保护合规审计场景,包括(1)个人信息处理者应当定期对其处理个人信息遵守情况进行合规审计(简称“内部审计”),(2)履行个人信息保护职责的部门(简称“保护部门”)在履行职责中,发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,可以要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计(简称“外部审计”)。
(三)企业开展个人信息保护审计的频次和节点
对于内部审计,《审计办法》仅规定处理超过1000万人个人信息的个人信息处理者,应当每两年至少开展一次个人信息保护合规审计。对于未超过1000万人个人信息的个人信息处理者,《审计办法》并无频次要求。但是,这并不意味着相关企业可以不进行个保审计,而是应该根据实际情况或相关法律法规的要求,结合自身情况制定个保审计的频次。如根据《未成年人网络保护条例》,个人信息处理者应当自行或者委托专业机构每年对其处理未成年人个人信息的情况进行合规审计。
.png "点击查看大图")
个人信息保护合规审计概况图
值得特别关注的是,《审计办法》相较于征求意见稿,对于个保审计的人数门槛和频次都进行了重大的“松绑”性调整(征求意见稿规定处理超过100万人个人信息的个人信息处理者每年至少开展一次合规审计,其他个人信息处理者至少每二年开展一次合规审计),极大地降低相关企业的合规成本。
二、个人信息保护合规审计流程
以强制审计为例,个人信息保护审计活动的整体流程概览如下:
(1)企业收到保护部门要求进行强制审计的通知
(2)自行或委托专业机构进行强制审计前的自主合规整改(如保护部门通知的完成强制审计的时限较短,自主合规整改可能无法开展或无法充分开展)
(3)针对自主合规整改发现的问题开展合规整改,并优先整改较为严重的风险事项,避免强制审计时暴露过多问题
(4)选定开展强制审计的专业机构,并针对因审计工作委托专业机构处理个人信息的活动完成PIA
(5)编制审计计划
(6)审计准备:建立审计组、开展审前调查、明确审计对象和范围、编制审计方案、选择审计方式方法
(7)审计实施:下发审计通知、收集审计证据、撰写审计底稿、确认审计发现等
(8)完成合规审计,将专业机构出具的个人信息保护合规审计报告报送保护部门
(9)保护部门提出具体的整改要求
(10)企业按要求开展整改工作
(11)整改完成后15个工作日内以提交整改情况报告形式向保护部门报送整改情况
三、合规审计义务部分减轻和豁免
《审计办法》正式稿新增了不得针对同一事项重复要求合规审计的要求。依据《审计办法》第十九条,国家机关和法律、法规授权的具有管理公共事务职能的组织的个人信息保护合规审计不适用《审计办法》的相关要求,该规定也进一步将《审计办法》中非纯粹行政行为的强制审计与纯粹的行政行为进行了区分。
| 正式稿 | 征求意见稿 |
| 第四条 处理超过1000万人个人信息的个人信息处理者,应当每两年至少开展一次个人信息保护合规审计。 | 第四条 处理超过100万人个人信息的个人信息处理者,应当每年至少开展一次个人信息保护合规审计;其他个人信息处理者应当每二年至少开展一次个人信息保护合规审计。 |
| (新增)第十九条 对国家机关和法律、法规授权的具有管理公共事务职能的组织的个人信息保护合规审计,不适用本办法。 | 第四条 处理超过100万人个人信息的个人信息处理者,应当每年至少开展一次个人信息保护合规审计;其他个人信息处理者应当每二年至少开展一次个人信息保护合规审计。 |
| 第五条 个人信息处理者有以下情形之一的,国家网信部门和其他履行个人信息保护职责的部门(以下统称为保护部门),可以要求个人信息处理者委托专业机构对个人信息处理活动进行合规审计: …… 对同一个人信息安全事件或者风险,不得重复要求个人信息处理者委托专业机构开展个人信息保护合规审计。 |
第六条 履行个人信息保护职责的部门在履行职责中,发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,可以要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。 |
四、专业机构的选聘及其合规义务
(一)触发条件
针对企业普遍关注的强制审计触发条件,相比征求意见稿,《审计办法》正式稿给出了“严重影响个人权益”以及“严重缺乏安全措施”两个个人信息处理活动存在“较大风险”的示例,保护部门可对照示例履行职责并考量其他风险是否构成“较大风险”程度,也进一步提高了个人信息处理者对于监管部门履责的可预期性。对于企业而言,是否涉及“较大风险”,亦可进一步参照《信息安全技术 个人信息保护合规审计指南(草稿)》或其他文件中规定的相关合理情形建立和补充合规基线,整合后包括但不限于:
1. 风险程度级别:
a)严重影响个人权益、严重缺乏安全措施(已经存在风险);
b)个人信息处理者被个人信息保护监管部门调查、处罚或者通报违规问题(已经存在风险);
c)出现重大个人信息保护问题的舆情等(已经存在风险)。
2. 危害后果级别:
a)可能侵害众多个人的权益的(尚未发生风险);
b)特定行业或者特定产品、服务被纳入专项审查工作(尚未发生风险)。
3. 安全事件级别:
已经导致危害后果发生,导致100万人以上个人信息或者10万人以上敏感个人信息泄露、篡改、丢失、毁损的(已经发生风险)。
(二)实施要点
1. 工作支持和费用承担
正式稿删除了对于专业机构获取工作权限的各项列举,概括表述为“必要支持”,充分考虑了专业机构实施审计工作的灵活性要求。本条同时明确在强制审计情形下,其仍应承担专业机构的审计费用。
但需要注意,如第一部分讨论所述,即使是《审计办法》规定的强制审计情形也并非是纯粹的行政行为,而是纳入了市场机制参与的新形态的监管活动,因此,《审计办法》取消了在强制审计活动下个人信息处理者对专业机构的工作权限保障,是否有可能导致专业机构工作中无法正常开展工作,值得进一步关注。
2. 审计工作完成时限
正式稿删除了个人信息处理者强制审计条件下90个工作日的完成时限要求,由保护部门按照个案的实际情况灵活设置限定时间。但企业应当注意,有关审计时限的删除并不能做过于乐观的解读。在缺乏细则的情况下,保护部门有可能根据对企业规模、个人信息安全事件的主观理解限定相对紧急的工作时限,从而导致企业和专业机构均承担较大时限压力,导致企业缺乏事先整改机会(具体可见本部分第(三)点的讨论)。
3. 审计报告出具和报送
强制审计情形下,个人信息处理者需要在全部审计工作完成后将审计报告报送保护部门。但是,征求意见稿征求意见过程中受到广泛关注的报送监管部门时限仍未明确。
此外,需要提示企业注意的是,此阶段报送保护部门的报告中包含了审计工作所发现的未整改事项。从实践角度来看,被保护部门要求强制审计的企业在专业机构开始正式的个人信息保护合规审计工作之前,应当在内部至少进行一轮整改活动,避免在强制审计时的审计报告中暴露过多待整改问题。
4. 整改
正式稿改变了整改工作的主导机构,按照正式稿的规定,理解保护部门将在审阅审计报告的基础上结合专业机构的审计意见提出具体的整改要求,个人信息处理者应按照保护部门的要求开展整改工作,并在整改完成后15个工作日内以提交整改情况报告形式向保护部门报送整改情况,由于整改要求的提出已经由专业机构转移为保护部门,在正式稿中,专业机构复核已不是必需环节。
五、个人信息处理者强制审计
(一)取消推荐目录,鼓励相关专业机构通过认证
《审计办法》正式稿删除了国家有关部门建立专业机构推荐目录的相关条款,只要具备开展个人信息保护合规审计的能力,有与服务相适应的审计人员、场所、设施和资金等条件,任何机构均可开展个人信息保护合规审计活动,并鼓励相关专业机构通过认证,这一规定将有助于合规审计服务市场形成充分竞争的环境。
(二)专业机构应保持独立性和客观性
《审计办法》正式稿对专业机构独立性要求更为严格,扩大了本项义务的承担主体,将专业机构本身拓展至其关联机构、同一审计项目的负责人。参考《数据安全技术 个人信息保护合规审计要求(征求意见稿)》中对独立性原则的描述,“审计人员应独立于审计活动,与被审计方无利益冲突。对于内部机构自行开展的审计,实施审计的人员应独立于具体被审计的个人信息处理活动”,可以更为明确地感知到个人信息保护合规审计活动中对专业机构独立性要求的高度重视。
另外值得注意的是,对于审计次数的限制《审计办法》正式稿措辞与征求意见稿稍有不同,对于应如何理解正式稿所规定的“三次以上”,我们认为可参考《立法技术规范(试行)(一)》的相关规定,即规范年龄、期限、尺度、重量等数量关系,涉及以上、以下、以内、不满、超过的规定时,“以上、以下、以内”均含本数,“不满、超过”均不含本数,因此理解同一专业机构及其关联机构、同一合规审计负责人最多仅可连续两次对同一审计对象开展个人信息保护合规审计。
(三)专业机构的其他合规义务:保密、亲自实施等
《审计办法》正式稿限缩并明确了专业机构承担保密义务的信息范围(个人信息、商业秘密、保密商务信息等),同时补充了专业机构在合规审计工作结束后及时删除相关信息的要求。根据《审计办法》,专业机构应亲自实施合规审计工作,不得转委托其他机构开展。此类规定一方面强调了专业机构承担保密责任的基本审计原则,同时也回答了一个在个人信息处理活动中的现实问题,即个人信息处理者向审计机构提供个人信息供审计,应当确立为委托处理个人信息活动。相应的,开展个人信息保护合规审计的机构应当在相关个人信息保护合规审计活动开展前,按照《个人信息保护法》第五十五条规定,事先开展个人信息保护影响评估工作。
六、自主审计的内部实施和监督机构
《个人信息保护法》第五十二条提出了处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人的要求,《审计办法》正式稿将此数值确定为100万,个人信息保护负责人应当作为个人信息处理者自行实施自主审计中内部机构的成员并负责整体工作,在专业机构负责合规审计时也需要为其提供必要的工作支持,并在合规整改阶段发挥关键作用。《审计办法》正式稿附件《个人信息保护合规审计指引》(“《审计指引》”)还侧面规定了个人信息保护负责人的任职条件和职责权限等事项,包括:
● 个人信息保护负责人应当具有相关的工作经历和专业知识,熟悉个人信息保护相关法律、行政法规;
● 个人信息保护负责人需具有明确清晰的职责,被赋予充分的权限协调个人信息处理者内部相关部门与人员;
● 个人信息保护负责人在个人信息处理重大事项决策前应有权提出相关意见和建议;
● 个人信息保护负责人有权对个人信息处理者内部个人信息处理的不合规操作进行制止和采取必要的纠正措施。
针对“提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”设立独立的个人信息保护监督机构的规定,理解该要求主要源自《网络数据安全管理条例》第四十四条:“大型网络平台服务提供者应当每年度发布个人信息保护社会责任报告,报告内容包括但不限于个人信息保护措施和成效、个人行使权利的申请受理情况、主要由外部成员组成的个人信息保护监督机构履行职责情况等”。
相应的,有关何为“提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”,可以参照《网络数据安全管理条例》对“大型网络平台”的定义,即“注册用户5000万以上或者月活跃用户1000万以上,业务类型复杂,网络数据处理活动对国家安全、经济运行、国计民生等具有重要影响的网络平台”,对于大型网络平台而言,其负担指定个人信息保护负责人和成立由外部成员组成的个人信息保护监督机构的“双重义务”。
七、监督检查和投诉、举报机制
《审计办法》正式稿新增保护部门对个人信息保护合规审计工作的监督检查机制和公众投诉、举报机制,“双管齐下”保障个人信息保护合规审计工作有序开展。值得扩展了解的是,根据《网信部门行政执法程序规定》的相关规定,网信部门对“自然人、法人或者其他组织投诉、申诉、举报”的事项应当及时调查处理;同时,根据最高人民法院《行政诉讼法》司法解释第十二条的规定,“与行政行为有利害关系”的投诉人,可以根据《行政复议法》独立申请(或作为第三人参加)行政复议或提起行政诉讼。因此,企业在其审计活动中所受投诉机制的监管从流程上而言将有可能走向行政复议、行政诉讼等程序,给企业带来巨大的合规成本和负担,甚至不良声誉影响。这一程序设置也反向敦促个人信息处理者严肃对待个人信息保护合规审计事项开展,避免陷入更多争端。
八、对企业的深层次影响
(一)合规审计强制化与常态化
《个人信息保护法》及《审计办法》均明确了开展个人信息保护合规审计是企业和其他组织的法定义务,企业若未依法开展合规审计即构成违法行为。企业必须将合规审计全面纳入企业内部个人信息治理和合规体系,推动形成常态化合规审计机制。
(二)监管评价体系重构
相关监管部门(包括行业主管部门)将逐渐把合规审计实施情况纳入核心监管指标。企业是否已开展合规审计以及合规审计的结果将成为衡量企业个人信息保护水平的重要标志。相关监管部门可能会基于审计报告质量、问题整改效率等量化标准,构建新型企业个人信息保护能力评价体系,而审计结果将成为相关监管部门实施分级分类监管的重要依据。
(三)商业合作门槛升高
随着相关监管部门的重视,企业之间如涉及个人信息方面的合作,一方可能会将对方是否已开展合规审计和审计结果作为是否合作的重要前提条件。例如有些企业在公开招标时可能会要求投标单位必须提供个人信息保护合规审计报告、或承诺已依法开展合规审计且未有重大合规瑕疵。合规审计也可能成为企业对供应商管理的常态化要求之一。
(四)影响企业通过政府审批
对于涉及企业个人信息处理的一些政府审批项目(例如企业上市),一些政府部门可能会明确要求企业提供合规审计报告或相关合规性陈述。如未能满足相关条件,企业可能面临无法获得政府审批的风险。
(五)政企合作门槛升级
政府部门在一些涉及个人信息处理的采购项目中,可能会要求供应商必须提供个人信息保护合规审计报告、或承诺已依法开展合规审计且未有重大合规瑕疵。不满足这些条件的企业将可能失去政府采购竞标资格。
(六)企业个人信息保护合规工作更偏向“实质”合规
《审计办法》的颁布,标志着相关监管部门要求企业的个人信息工作向深层次迈进。自2021年《个人信息保护法》颁布后很长一段时间,很多企业的合规工作更侧重于解决“有没有”个人信息保护合规体系这一基本问题。从这一角度出发,很多企业合规工作的重心是首先在形式上建立一套相对完整的个人信息保护合规体系,而对这一体系的执行效果未有深层追问。而《审计办法》下的合规审计,作为一种全面检查企业个人信息保护合规体系落实情况的手段,更侧重于回答这个体系各个环节“好不好”的问题。从这一角度出发的个人信息保护工作,必然会把个人信息保护合规体系的执行效果纳入重要考量,推动企业个人信息工作向深层次迈进。
下表总结了不同阶段企业个人信息保护工作的重点:
| 企业合规工作重点 | 《审计办法》施行前 | 《审计办法》施行后 |
| 建设重点 | 形式合规框架搭建 | 实质合规效果验证 |
| 工作重心 | 制度文本体系建设 | 执行过程留痕管理 |
| 验证方式 | 自我声明合规 | 第三方审计证据链证明合规 |
(七)新建合规体系需预设审计导向
对于《个保法》颁布后尚未建立个人信息保护合规体系的企业而言,如此时开始搭建这一体系,考虑到由于企业面临后续合规审计的压力,企业会倾向在体系构建之初即充分考虑合规审计的需求,构建合规体系时须遵循“审计友好型”设计原则,例如:
1. 个人信息保护合规体系需明确包括审计制度、审计组织、审计规范等内容;
2. 为合规审计工作拨付预算;
3. 通过业务流程嵌入合规审计取证节点、管理文档配置索引标签等方式,前瞻性避免后续审计中的证据缺失风险。
(八)个人信息影响评估需加强与合规审计工作的衔接
《审计办法》的颁布,会使得企业从一个合规审计的视角重新审视个人信息保护影响评估工作。根据《个人信息保护法》,企业需对敏感个人信息处理、自动化决策实施、委托处理个人信息、向第三方提供个人信息、个人信息公开披露、跨境传输个人信息等场景,在处理个人信息之前即开展个人信息保护影响评估。由于个人信息保护影响评估一直缺乏较为权威的强制性标准,在实践中企业的个人信息保护影响评估工作粗浅不一、效果难言。而在《审计办法》颁布后,由于企业面临后续合规审计压力,企业会倾向于在个人信息保护影响评估环节就将合规审计项纳入评估,并为后续合规审计准备好相关证据,从而实现“评估即备审”的工作闭环。
(九)合规成本升高
合规审计是一项全面、复杂和专业性较强的工作。全面落实合规审计要求无疑会增加各类企业的合规成本。特别是,中小企业缺乏内部数据合规专业人士和聘请外部专业机构的预算。在没有强监管要求的情况下,有些企业可能忽略合规审计或仅是“走个过场”,从而带来合规风险。
(十)数字化和自动化解决方案助力企业合规审计工作
考虑到合规审计的复杂性和结构化的特点,大型企业将有较强动力自研或外采合规审计数字化和自动化解决方案,通过技术手段提高合规审计效率、降低合规审计成本。随着此类解决方案的成熟和市场普及,成本也将显著降低,并使得中小企业受益。
十、更多实务解析参考
- 《个人信息保护合规审计管理办法》要点速览 [周杨、张燕,竞天公诚律师事务所]
- 《个人信息保护合规审计》对企业的深层次影响 [杨洪泉、赵梓彤,北京安杰世泽律师事务所]
- 箭已在弦:个人信息保护合规审计的目的、方法和建议 [杨迅、李依然、杨蕾,通力律师事务所]
- 《个人信息保护合规审计管理办法》的18个快问快答 [彭凯、宋海新,大成(上海)律师事务所]
- 如何开展个保合规审计——《个人信息保护合规审计管理办法》解读 [吴卫明、刘昀东,上海市锦天城律师事务所]
- 个人信息审计新规详解:从法案到工作流程的全景剖析 [蔡鹏、肖莆羚令、高维钊,北京市中伦律师事务所]
- 一图速览《个人信息保护合规审计管理办法》 [黄凯、安小恬,北京市通商律师事务所]