今天和大家分享的是對剛剛公布的【國家互聯(lián)網(wǎng)信息辦公室關(guān)于《個人信息保護合規(guī)審計管理辦法（征求意見稿）》公開征求意見的通知】的一點觀察。

(資料圖)

8月3日，中央網(wǎng)信辦就《個人信息保護合規(guī)審計管理辦法》（簡稱《辦法》）及配套的《個人信息保護合規(guī)審計參考要點》（簡稱《要點》）公開征求意見。《辦法》和《要點》本質(zhì)上是為了發(fā)揮個人信息保護合規(guī)審計的積極效用，也同時為我國《個人信息保護法》第五十四條（“個人信息處理者應(yīng)當(dāng)定期對其處理個人信息遵守法律、行政法規(guī)的情況進行合規(guī)審計”）和第六十四條（“履行個人信息保護職責(zé)的部門在履行職責(zé)中，發(fā)現(xiàn)個人信息處理活動存在較大風(fēng)險或者發(fā)生個人信息安全事件的，可以按照規(guī)定的權(quán)限和程序?qū)υ搨€人信息處理者的法定代表人或者主要負(fù)責(zé)人進行約談，或者要求個人信息處理者委托專業(yè)機構(gòu)對其個人信息處理活動進行合規(guī)審計。個人信息處理者應(yīng)當(dāng)按照要求采取措施，進行整改，消除隱患”）的落地，提供了具體的執(zhí)行細(xì)則。

本文擬從個人信息保護合規(guī)審計的效用、觸發(fā)條件、審計基準(zhǔn)這三方面，談一談對我國個人信息保護合規(guī)審計工作的理解和認(rèn)識。

一、個人信息保護合規(guī)審計的效用

開展個人信息保護合規(guī)審計的目的，是在于明確以下事項：一是個人信息處理者是否實施了管理個人信息處理活動的相關(guān)政策和程序；二是這些政策和程序是否符合個人信息保護相關(guān)的法律法規(guī)的要求；三是個人信息處理活動是否真實地遵照這些政策和程序來展開，以及存在哪些差距；四是提出對這些政策和程序的具體內(nèi)容、執(zhí)行等方面的改進建議。

不難看出，當(dāng)一個組織經(jīng)常性地開展個人信息保護合規(guī)審計，它就能有效地識別和控制個人信息處理產(chǎn)生的風(fēng)險，以防止個人信息保護違規(guī)行為的發(fā)生（本文稱為“自行開展審計”）。同時，履行個人信息保護職責(zé)的部門也可以利用個人信息保護合規(guī)審計，全面系統(tǒng)地了解特定個人信息處理者的個人信息保護“水位”（本文稱為“部門委托審計”）。從這個角度來看，個人信息保護合規(guī)審計可以被看成對個人信息處理者的“體檢”。和針對個人健康的體檢一樣，針對個人信息處理者的“體檢”可以是自查，也可以是特定情形下按照規(guī)定和要求開展的檢查，例如大多數(shù)人經(jīng)歷過的入職體檢。

個人信息保護合規(guī)審計已經(jīng)成為國際通行做法。以歐盟《通用數(shù)據(jù)保護條例》（GDPR）為例，其同樣規(guī)定了兩種形式的個人數(shù)據(jù)保護審計。GDPR第39條規(guī)定，個人數(shù)據(jù)控制者和處理者所任命的數(shù)據(jù)保護官的職責(zé)之一，就是“監(jiān)測是否符合GDPR、其他歐盟或成員國法律、控制者或處理者數(shù)據(jù)保護政策的規(guī)定，包括內(nèi)部的數(shù)據(jù)處理職責(zé)的分配、增強數(shù)據(jù)保護意識、培訓(xùn)、相關(guān)的審計等”。GDPR第47條規(guī)定，能夠支撐數(shù)據(jù)跨境流動合法性的“有約束力的公司準(zhǔn)則”（BCR）的一個必要元素之一，即是BCR是否包含”內(nèi)部確保準(zhǔn)則落實的機制。機制應(yīng)包括數(shù)據(jù)保護審計，以及保障數(shù)據(jù)主體權(quán)利的方式……”GDPR第58條規(guī)定，個人信息保護監(jiān)督機構(gòu)（supervisory authority）的調(diào)查權(quán)之一即是“以個人信息保護審計的形式開展調(diào)查”（“to carry out investigations in the form of data protection audits”）。可見，GDPR和我國一樣，都規(guī)定了“自行開展審計”和“部門委托審計”兩種形式的個人信息保護審計。

二、個人信息保護合規(guī)審計的觸發(fā)條件

對于“自行開展審計”，《辦法》規(guī)定“處理超過100萬人個人信息的個人信息處理者，應(yīng)當(dāng)每年至少開展一次個人信息保護合規(guī)審計；其他個人信息處理者應(yīng)當(dāng)每二年至少開展一次個人信息保護合規(guī)審計”。

對于“部門委托審計”，《辦法》規(guī)定的觸發(fā)條件是“履行個人信息保護職責(zé)的部門在履行職責(zé)中，發(fā)現(xiàn)個人信息處理活動存在較大風(fēng)險或者發(fā)生個人信息安全事件的”。從筆者的經(jīng)驗來說，可能導(dǎo)致監(jiān)管部門認(rèn)為存在較大風(fēng)險的因素，包括以下事項：

根據(jù)向監(jiān)管部門提出的投訴，個人信息處理者對此的回復(fù)，以及個人信息處理者的合規(guī)“歷史”；

個人信息處理者自我報告的違規(guī)行為（例如對個人信息安全事件的報告或通知），以及該處理者提出的補救行動；

與個人信息處理者的日常溝通中，如果展現(xiàn)出個人信息處理者對個人信息保護合規(guī)控制的缺乏，以及對個人信息保護立法的薄弱理解；

新聞報道，如披露個人信息處理者在處理個人信息方面存在重大缺陷的新聞報告，以及來自其他監(jiān)管機構(gòu)的信息；

個人信息處理者發(fā)布的各種聲明（如社會責(zé)任報告）或披露的各種信息，特別是這些信息凸顯了其在個人信息處理中存在的問題；

上線新技術(shù)新應(yīng)用時，觸發(fā)公眾輿論或沒有采取相應(yīng)額外的個人信息保護措施；

個人信息處理者的規(guī)模，包括正在處理的個人信息的數(shù)量和性質(zhì)；以及

其他相關(guān)信息，如"內(nèi)部舉報人"的報告、個人信息處理者披露的個人信息保護影響評估報告、個人信息黑灰產(chǎn)中流傳的線索等。

三、個人信息保護合規(guī)審計的審計基準(zhǔn) 對個人信息處理者制定和實施的個人信息保護相關(guān)政策和程序，需要有個“標(biāo)尺”。《要點》即是承擔(dān)起這個角色。從要點的內(nèi)容來看，其構(gòu)成包括《個人信息保護法》中的具體規(guī)定，以及個人信息保護相關(guān)的部門規(guī)章（例如《要點》中關(guān)于數(shù)據(jù)跨境的內(nèi)容）。

很顯著的一點是，《要點》大量吸收了相關(guān)網(wǎng)絡(luò)安全國家標(biāo)準(zhǔn)的具體規(guī)定。例如《個人信息安全規(guī)范》（GB/T-35273）、《個人信息安全影響評估實施指南》（GB/T-39335），以及正在制定的相關(guān)標(biāo)準(zhǔn)的主要內(nèi)容。

另外值得注意的一點是，《要點》為參考性質(zhì)。換句話說，《辦法》中規(guī)定的審計實施程序、專業(yè)機構(gòu)開展審計所需的權(quán)限、對專業(yè)機構(gòu)的要求規(guī)范等，是強制性的，但是審計是否完完全全按照《要點》開展，是需要進一步裁量判斷的。

舉例來說，“部門委托審計”完全可以在《要點》的基礎(chǔ)上，針對特定的個人信息處理者及其可能產(chǎn)生的個人信息安全風(fēng)險“量體裁衣”，額外提出特定的審計要點，以力求對具體的風(fēng)險“吃準(zhǔn)摸透”。也只有這樣“刨根問底”，提出的整改或改進措施才會“有的放矢”。

四、小結(jié)

實際上，除了及時發(fā)現(xiàn)、預(yù)防、整治個人信息安全風(fēng)險之外，個人信息保護合規(guī)審計還有諸多好處。例如，通過開展審計，能夠提高個人信息處理者內(nèi)部上下人員對個人信息保護、數(shù)據(jù)和網(wǎng)絡(luò)安全等方面的認(rèn)識；審計的開展和報告的對外發(fā)布，能夠向外界表明個人信息處理者認(rèn)識到并以實際行動致力于個人信息保護和個人權(quán)益的維護，并能夠通過專業(yè)機構(gòu)的“背書”對外界展示個人信息處理者所實施政策和程序的質(zhì)量等等。借著《辦法》和《要點》的公開征求意見，個人信息處理者應(yīng)當(dāng)認(rèn)真對待個人信息保護合規(guī)審計，最大化這個工具的功效，提升自身的個人信息保護水平。（洪延青）

關(guān)鍵詞：