2024年7月12日,全国网络安全标准化技术委员会("网安标委")发布了《数据安全技术 个人信息保护合规审计要求》征求意见稿("《审计要求》"),面向社会公开征求意见,截止至2024年9月11日。《审计要求》规定了依据《个人信息保护法》开展个人信息保护合规审计的审计原则、审计总体要求,明确了审计过程规范、审计人员要求、审计开展方式步骤、具体的审计内容和审计方法等,为个人信息处理者内部机构或委托专业机构开展的个人信息保护合规审计工作提供了指引。
本文对《审计要求》中值得企业关注的重点内容展开分析,并为企业提供应对建议。
一、背景与主要内容
《审计要求》的制定是为了响应并具体落地《个人信息保护法》的相关要求。根据《个人信息保护法》第五十四条和第六十四条的规定,企业在以下两种情形时需要开展个人信息保护合规审计:
第五十四条 个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。
第六十四条 履行个人信息保护职责的部门在履行职责中,发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,可以按照规定的权限和程序对该个人信息处理者的法定代表人或者主要负责人进行约谈,或者要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。个人信息处理者应当按照要求采取措施,进行整改,消除隐患。
2023年8月3日,国家互联网信息办公室("网信办")曾发布过《个人信息保护合规审计管理办法(征求意见稿)》("《办法》")及配套的《个人信息保护合规审计参考要点》("《审计要求》"),规定了审计活动的触发条件及具体流程。相比2023年的《办法》,这次的《审计要求》无论在审计的程序还是具体内容方面都有更加详细的要求。
在审计程序方面,《审计要求》规范了个人信息保护合规审计的流程、明确了审计人员的要求,确立了审计证据的有效性标准,并提供了审计底稿模板和审计报告模板供企业在实践操作中参考。
而在审计内容方面,《审计要求》确立了合法性、独立性、客观性、全面性、公正性、保密性的审计原则,并适时同步了近期中国个人信息保护领域立法的更新,确保了与其他法律规定之间的衔接。例如,《审计要求》在附录C中补充了对收集个人信息最小必要要求的审计内容,依据《未成年人网络保护条例》补充了针对未成年人个人信息保护的审计内容,并根据《促进和规范数据跨境流动规定》对个人信息出境的审计要求进行了调整。
二、 程序性要求
《审计要求》新增了对于审计相关人员、文件和流程的具体要求。
(一)审计相关人员
1、责任承担人员
个人信息处理者董事会(审计委员会)、个人信息保护负责人或者主要负责人是最终责任的承担者,责任范围是:
(1)个人信息保护合规审计体系的建立、运行与维护,以及
(2)合规审计的独立性和有效性。
2、监督人员
个人信息处理者董事会(审计委员会)、个人信息保护负责人或者主要负责人也是个人信息保护合规审计工作的监督人员。
此外,提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,还应当成立主要由外部成员组成的独立机构对个人信息保护合规审计情况进行监督。该要求源自于《个人信息保护法》第五十八条,但是目前尚未有法律法规对其中的关键概念作出过解释。
根据《信息安全技术 大型互联网企业内设个人信息保护监督机构要求(征求意见稿)》和《网络安全标准实践指南——大型互联网平台网络安全评估指南》,结合《审计要点》的附录C.35,我们理解"提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者"与"大型互联网平台"在范围上存在一定的重合,是指在过去的一年期间,在我国累计平均月度活跃用户总数不低于5000万的网络平台。企业可以将该数量作为自我评估的初步参考。
3、审计人员
根据《审计要点》,个人信息保护合规审计组的人员可以是来自于(a)组织内专职个人信息保护合规审计团队;或(b)从内审团队、安全团队、法务团队等具有审计或个人信息保护相关专业能力的团队中按合理比例选派人员组成;或(c)委托第三方专业机构。值得注意的是,与《办法》相比,此次《审计要点》并未要求个人信息处理者优先选择有关部门制定的推荐目录中的专业机构开展个人信息保护合规审计活动。
此外,《审计要点》对于审计人员提出了专业性、独立性、客观性、公正性和保密性的要求。
在专业性方面,审计人员应具备个人信息保护相关领域专业能力的资质认证。但是《审计要点》并未规定该资质认证的具体范围。
在独立性方面,审计人员不得出现以下情况,否则应立即向审计组提交书面说明,暂时回避或终止相关审计工作:
(1)直接参与审计对象的日常业务运营、个人信息安全保护工作,且该工作受审计对象的约束;
(2)外部专业机构审计人员同审计对象及其工作人员存在亲属关系、利益往来、法律纠纷等可能影响其做出公正、独立审计结论的利害关系;
(3)参加可能影响其独立履行审计职责的活动,或接受任何可能影响其独立性判断的财物;
(二)审计相关文件
1、审计方案
审计方案是确保个人信息保护合规审计有效性的关键文档。它详细描述了审计实施时的步骤和安排,包括一系列既定的步骤,对每一步审计行动做出具体规定,以确保审计目标的实现。审计方案应涵盖常规审计活动的通用要求和特殊场景的单独要求。
在编制审计方案时,审计人员应结合审计对象和审计方式,识别法律、行政法规等合规要求,并重点考虑以下因素:关键流程的依赖度、组织架构与战略目标、个人信息保护规划、业务形态与流程、历史的审计问题与整改、安全事件、投诉举报情况、特定技术、特殊群体信息以及其他影响因素。其中需要注意,对于个人信息合规审计所发现的问题及整改情况以及个人信息安全事件的考察应往前追溯三年。这也变相要求企业对于这两类信息与相关文件应至少保存三年。
2、审计证据
审计证据是审计结论合理性的基础,必须真实、完整、有效,并能如实反映客观情况。《审计要点》附录B对于审计证据的有效性提出了具体的要求,例如,管理文件应经过正当的起草或批准程序并生效实施,协议文件应获得协议各方的有效同意并实际生效和执行,网络日志应是未经篡改的原始记录等。
审计人员应妥善保管审计证据,采信符合要求的审计证据,并及时整理成审计底稿。
3、审计底稿
审计底稿是审计人员对制定的审计计划、实施的审计程序、获取的相关审计证据,以及得出的审计结论作出的记录。审计工作底稿应客观地反映审计方案的编制及实施情况,以及与形成审计结论、意见和建议有关的所有重要事项。
4、审计报告
审计报告是个人信息保护合规审计工作的重要成果,它不仅是对审计过程和结果的全面总结,也是向被审计单位和相关方提供反馈和建议的正式文件。在撰写审计报告之前,审计人员需要与审计对象建立异议解决机制,对有异议的审计结论进行沟通确认。审计报告的内容应包括但不限于审计概况、审计依据、审计结论、审计发现、审计意见、审计建议等。
(三)审计实施流程
《审计要点》将个人信息保护合规审计细分为5个阶段,14个步骤,具体如下:
三、实质性要求
《审计要求》附录C《个人信息保护合规审计内容和审计方法》的主要依据为《个保法》,但在法律强制性规定之外增加了一些具体的细则,实质上对企业的个人信息处理实践提出了超出当前法律规定的若干合规要求。以下针对《审计要求》附录C中所提出的值得企业关注的实质性合规要求展开分析。
(一)告知义务
在《个人信息保护法》第17条、30条等关于告知义务的规定之外,《审计要求》对于企业应当通过隐私政策履行的告知义务提出了进一步的合规要求,包括:
1、合法性基础:
各渠道隐私政策需要明确说明处理个人信息不需要取得个人同意的情形,说明的情形应符合法律、行政法规要求(《审计要求》C.1.6)。
2、存储期限及确定存储期限的依据:
各渠道隐私政策中需要明确不同种类个人信息的存储期限以及确定存储期限的依据,需要说明到期后个人信息的处理方式,如删除或匿名化(《审计要求》C.3.3)。
3格式要求:
各渠道隐私政策或其他告知文案,应验证告知文本的大小、字体和颜色是否便于个人完整阅读告知事项;在线隐私政策或其他在线告知方式,应验证是否提供了文本信息或通过适当方式向个人履行告知义务,适当方式包括告知的弹窗方式、展现界面等(《审计要求》C.4.2,C.4.4)。
4、敏感个人信息:
使用App收集敏感个人信息的,个人信息处理者应通过单独弹窗、单独告知等方式,征得用户的单独同意(《审计要求》C.13.1)。
5、自动化决策:
自动化决策处理说明告知内容,应当清晰告知个人自动化决策处理个人信息的种类及可能带来的影响(《审计要求》C.9.1)。然而,《个人信息保护法》实际上并未就企业利用自动化决策处理个人信息规定任何额外的、向个人主动告知的义务,仅在第24条规定"个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定"。因此,《审计要求》的该条款在法律法规的明确要求之上创设了另外的义务,即应就自动化决策向个人告知"个人自动化决策处理个人信息的种类及可能带来的影响"。
6
个人信息保护负责人联系方式:
审计要求查验隐私政策或企业社会责任报告或官网,是否公开个人信息保护负责人的联系方式(《审计要求》C.30.6)。而根据《个人信息保护法》,并非所有企业都必须指定个人信息保护负责人(《个人信息保护法》第52条),且个人信息处理者仅被要求向个人信息主体告知个人信息处理者的联系方式、而非个人信息保护负责人的联系方式。
(二)同意及单独同意
《审计要求》规定,在向其他个人信息处理者提供(《审计要求》C.3.5、C.8.1)、公开(《审计要求》C.10.1)、将公共场所图像采集设备收集的个人图像和身份识别信息用于公共安全以外用途(《审计要求》C.11.3)、以及处理敏感个人信息(《审计要求》C.13.1)时,审计内容应包括"是否取得个人的单独同意"。
值得注意的是,除了针对处理敏感个人信息时的审计要求之外,《审计要求》中其他场景下对于这一审查事项并未明确排除《个人信息保护法》第13条第2至7款规定的不必取得个人同意的情形。这些不必取得个人同意的情形包括:
"(二)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;(三)为履行法定职责或者法定义务所必需;(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;(五)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;(六)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;(七)法律、行政法规规定的其他情形。"
从目前的实践来看,很多企业按照《个人信息保护法》第13条规定,在依赖人力资源管理、合同履行等合法性基础进行个人信息处理的情况下,不会另行取得个人的单独同意。
若要求审计机构按照《审计要求》当前规定的口径审查单独同意的获取情况,则实质上与《个人信息保护法》要求相冲突,而加重了企业的合规负担。
考虑到《审计要求》目前尚未生效,相关企业可以在征求意见期内对此提出修改意见。
(三)个人信息传输中的合作方需要配合审计要求/数据传输合同合规要求
根据《审计要求》,对某一个人信息处理者的审计要求实质上会穿透至所有该个人信息处理者在个人信息传输中的相关合作方,包括共同处理者、受托人、因合并、重组等原因接收个人信息的接收方,以及接受个人信息传输的其他个人信息处理者。并且,《审计要求》在《个人信息保护法》规定的基础上,进一步针对不同个人信息传输场景下个人信息处理合同需实质包含的内容提出了更高的要求。
1、共同处理者
《审计要求》C.5.1-C.5.5规定了共同处理场景下的审计内容。根据其中对于审计方法的要求,审计中采取的审计方法为"查验双方的个人信息共同处理合同或协议",以验证其中是否约定各方采取的个人信息保护措施、个人信息权益保护机制、个人信息安全事件报告机制等内容,而《个人信息保护法》第20条针对共同处理仅要求双方"应当约定各自的权利和义务。"因此,《审计要求》与法律规定相比,进一步对共同处理场景下数据传输合同应当包含的条款做出了要求,并且审计机构会审查共同处理者双方之间的数据传输合同是否包含相关事项。
另一方面,根据其中对于审计方法及审计证据的要求,审计中应当对个人信息权益保护机制、个人信息安全事件报告机制等进行抽查,"通过穿行测试等方式验证是否有效"。因此,在对个人信息处理者的审查过程中,审计机构可能不仅会审查数据传输合同,而且会直接要求共同处理者配合进行测试,以审查其采取的个人信息保护措施、实施的个人信息权益保护机制、个人信息安全报告机制等的有效性。
2、受托人在委托处理场景下,《审计要求》对于数据传输合同内容提出的要求基本与《个保法》规定一致。
而根据《审计要求》C.6.1-C.6.5规定,若存在委托处理个人信息的情形,则需要审计个人信息处理者是否对受托人实施定期检查和监督;且受托人需要配合提供相关合规说明或评估、认证、检测报告以配合对个人信息处理者的审计要求。然而,现实中上述要求对于企业而言可能难以达成。一方面,由于成本较大,个人信息处理者往往难以实现对所有受托人的定期检查,且一些大量受托处理个人信息的企业(例如个人信息相关信息技术软件的提供商等)可能难以接受所有与其合作的个人信息处理者对其进行定期监督检查。另一方面,在对个人信息处理者进行审计的过程中,《审计要求》间接也对受托人提出了提供材料配合审计的要求。因此,个人信息处理者为了能满足这一审计要求,还需要在数据传输合同中与受托人明确约定受托人需提供配合,并按其要求提供合规说明或评估、认证、检测报告等审计证据。这无疑同样加重了相关企业的负担。
3、因合并、重组、分立、解散、被宣告破产等原因接收个人信息的接收方
在因合并、重组、分立、解散、被宣告破产等原因转移个人信息的场景下,《审计要求》C.7.1-C.7.3提出,需要通过查验接收方隐私政策等方式,对接收方是否实质履行个人信息处理者的义务、以及变更处理情况的是否重新取得同意进行审计。上述审计内容实际针对的对象不是原个人信息处理者,而是个人信息处理者合并、重组、分立、解散、破产后接受个人信息的接收方。因此,对个人信息处理者的审计活动,直接导致接收方接受审计。
4、其他个人信息处理者
《审计要求》C.8.3规定,审计内容应当包括"接收方是否在双方约定的处理目的、处理方式和个人信息的种类等范围内处理个人信息",审计证据包括相关"合同或协议",而审计方法为"查验双方的合同或协议,是否约定处理目的、处理方式和个人信息的种类。"因此,在《审计要求》下,向其他个人信息处理者提供个人信息的相关数据传输合同必须约定处理目的、处理方式和个人信息种类等信息;而《个人信息保护法》并没有对向其他个人信息处理者提供个人信息这一场景提出任何数据传输合同内容方面的要求。上述数据传输合同要求超出了《个人信息保护法》的明确规定,对企业提出了进一步的高要求。
另一方面,《审计要求》C.8.3要求的审计方法为"查看接收方提供的书面说明或检测、评估、认证报告,是否能够证明其在约定范围内处理个人信息",因此接收方需要配合个人信息处理者的审计活动,提供相关书面证明。而C.8.4要求针对接收方"变更处理目的、处理方式的,是否依照法律、行政法规规定重新取得个人同意"进行审计,这一审计要求明显与当前业界对法律规定的普遍理解相悖。《个人信息保护法》第23条规定,"...接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。"根据一般理解,接收方变更处理目的和处理方式时,重新取得个人同意的义务应当由接收方承担,而不是由提供方承担。而根据《个人信息保护法》第9条的原则性规定,个人信息处理者应当对其个人信息处理活动负责。因此,对上述义务履行情况负责的应当是接收方,若接收方未履行相关义务,则理论上不应对个人信息处理者(提供方)的个人信息保护合规水平做出负面评价。因此,将C.8.4作为对个人信息处理者(提供方)的合规审计评价内容,合理性值得商榷。
(四)个人信息跨境传输
《审计要求》C.14.1-C.15.3重申了《个人信息保护法》以及2024年新出台的《促进和规范数据跨境流动规定》下关于个人信息跨境传输的各项合规要求。
《审计要求》规定的审计内容包括但不限于:
是否了解境外接收方所在国家或者地区的隐私政策和网络安全环境对出境个人信息的影响;
是否了解和掌握境外接收方的情况,特别是接收方是否具备必要的个人信息保护能力;
是否向境外接收方告知我国法律、行政法规对个人信息保护的要求,并要求境外接收方采取相应的保护措施;
是否采取签订协议、定期核查等方式,督促境外接收方切实履行个人信息保护义务。
上述审查事项的审查对象均为进行个人信息跨境传输的企业,而并没有要求直接针对境外接收方展开合规审计。据此规定,审计中似乎仅需境内企业提供必要的文件、协议等用于配合审计,而不必要求境外接收方提供过多的配合。考虑到与境外沟通、必要时赴境外进行审计的高成本,《审计要求》这一规定目前看来较为合理。
然而如前文所述,《审计要求》中普遍要求个人信息传输中的合作方需要接受或配合合规审计。另外,考虑到《个人信息出境标准合同》第3条第11项规定,境外接收方应"(十一)承诺向个人信息处理者提供已遵守本合同义务所需的必要信息,允许个人信息处理者对必要数据文件和文档进行查阅,或者对本合同涵盖的处理活动进行合规审计,并为个人信息处理者开展合规审计提供便利。"因此,相关境外接收方(特别是《个人信息出境标准合同》的签订方)作为共同处理者、受托人、因合并、重组等原因接收个人信息的接收方,以及接受个人信息传输的其他个人信息处理者,依然需要为审计工作提供一定程度的配合。
就对相关数据出境申报义务的履行情况的审计,我们注意到,《审计要求》中对于触发数据出境安全评估、个人信息出境标准合同以及个人信息保护认证的门槛,并未明确根据《促进和规范数据跨境流动规定》要求排除相关豁免义务的情形,例如"为订立、履行个人作为一方当事人的合同"、"按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理"等,也未明确要求数据出境企业针对其出境场景是否能够适用此类豁免场景开展审计。从目前的实践来看,很多企业已经按照《促进和规范数据跨境流动规定》规定以及网信办的具体要求,在依赖以上豁免进行个人信息出境的情况下,将相关出境场景排除在相关数据出境申报义务之外。由于目前《促进和规范数据跨境流动规定》刚出台不久,企业和监管部门对于豁免的适用条件均尚在探索阶段,而根据我们的观察,监管部门倾向于将这一问题交给企业自行判断。因此对于企业而言,"相关出境场景究竟是否能够适用豁免"这一问题,具有较大的潜在不确定性和合规风险;如能通过个人信息合规审计的方式进行论证,则可能对企业较为有利。考虑到《审计要求》目前尚未生效,相关企业可以在征求意见期内对此提出修改意见。
(五)公共场所安装图像采集设备
《审计要求》C.11.1规定,在公共场所安装图像采集、个人身份识别设备的情况下,应当审查"是否为维护公共安全所必需,是否存在为商业目的处理所采集信息的情况"。
本条衔接《个人信息保护法》第26条规定,但比《个人信息保护法》更进一步将"商业目的"划为一条红线。《个人信息保护法》第26条仅规定上述个人信息用途应为"维护公共安全所必需",但未进一步说明这一用途的边界,导致实践中企业面临诸多不确定性。
然而"维护公共安全"和"为商业目的"这两种用途之间仍然存在灰色地带。例如实践中企业往往为维护自身财产安全而在具有公共性质的半开放场所内安装图像采集设备。此种情况并非为"维护公共安全"所必需,但也不存在为"商业目的"处理所采集的信息的情况。目前来看,《要点》并未完全解决这一疑难问题,上述情况的合规性依然有待进一步探讨。
(六)自动化决策
《审计要求》与近年来出台的《互联网信息服务算法推荐管理规定》、《互联网信息服务深度合成管理规定》以及《生成式人工智能服务管理暂行办法》紧密衔接,要求个人信息处理者在利用自动化决策处理个人信息时事先对算法模型进行安全评估,按国家相关规定备案,并进行科技伦理审查。
此外,《审计要求》中的评估事项对《个人信息保护法》第24条进行了全面的扩充,明确了保障自动化决策透明度和结果公平性、公正性应当采取的具体合规措施,包括:
1、保障个人信息主体权益:
如前文三(一)所述,为了保障个人信息主体的知情权,企业应在事前主动告知个人自动化决策处理个人信息的种类及可能带来的影响。
为了保障个人信息主体的拒绝权,企业应提供保障机制以便用户可以通过便捷方式拒绝通过自动化决策方式作出对个人权益有重大影响的决定,或要求企业就应用自动化决策方式作出对用户个人权益有重大影响的决定予以说明。
在科技伦理审查方面,企业应查验个人信息处理者是否事前对算法模型进行科技伦理审查,包括但不限于是否使用诱导用户沉迷的算法模型提供互联网信息服务、是否使用诱导用户过度消费的算法模型提供互联网信息服务。
企业还应当向用户提供删除或者修改用于自动化决策服务的针对其个人特征的用户标签功能。
2、采取技术和组织措施保护算法和参数模型:
企业应采取必要的措施对算法和参数模型进行保护,并采取相应的组织措施对个人信息处理、标签管理、模型训练等自动化决策过程中的人工操作进行记录,防范人为恶意操纵自动化决策信息和结果。
从自动化决策的结果上来看,企业应当采取有效措施,防止自动化决策根据消费者的偏好、交易习惯等对个人在交易条件上实行不合理的差别待遇。
(七)个人信息安全事件应急处理
《审计要求》C.20.2,C.33.2规定,应当建立通报渠道,在个人信息安全事件发生后72小时内通知履行个人信息保护职责的部门和个人。
目前尚未有法律法规或其他强制性规定中对"事件发生后72小时内通报"做出了硬性要求。若《审计要求》最终生效时保留此项审计事项,则企业应当注意调整内部的信息安全事件相应机制和流程,以适应这一新规定。
四、结语
《个人信息保护法》出台至今已近三年,在此期间,《个人信息保护法》下许多条款规定的义务均已陆陆续续出台了配套的落地办法和规定。就个人信息合规审计的义务而言,这次的《审计要求》无论在审计的程序还是具体内容方面都作出了更加详尽的规定。虽然《审计要求》目前尚未生效,但考虑到未来企业依法进行合规审计时可能会对已有的个人信息处理情况进行审计,建议企业未雨绸缪,参照目前征求意见稿的标准,事先着手进行以下合规措施:
1、建立个人信息保护合规体系:
为了应对审计中的程序要求及人员要求,同时也为了充分履行《个人信息保护法》规定的义务,建议企业充分自查,建立个人信息保护合规体系。
2、个人信息处理情况留痕:
为应对审计,建议企业留存个人信息处理相关的文本记录,包括同意书、隐私通知、数据传输协议以及其他内部文件。
3、在数据传输协议中要求合作方接受审计:
如本文所述,企业进行合规审计的过程中可能需要数据传输中的合作方提供配合并接受审计。建议企业通过数据传输协议等形式要求合作方提供合理配合,以应对《审计要求》的生效。
《审计要求》的最终版在多大程度上会采用征求意见稿的内容,仍有待观察,如有后续进展,我们也将及时进行解读。
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.