庞理鹏、刘卉:《个人信息保护法》视域下的合规审计研究
2024-11-22
0
信息化趋势与经济社会发展持续深度融合,网络已成为生产生活的日常。在个人信息脱离了个人信息主体的有效管控后,因此所产生的个人信息处理的安全性及合法性问题日益凸显。2021年8月20日颁布的《中华人民共和国个人信息保护法》(简称《个人信息保护法》)第五十四条和第六十四条规定了针对个人信息处理者处理个人信息的合规审计制度,明确回应了个人信息处理在其生命周期的各个阶段的安全审计需求。个人信息处理的合规审计当属个人信息保护领域的重要研究内容,本文从个人信息处理合规审计的概念和来源、合规审计的目的和分类及合规审计的内容,讨论《个人信息保护法》视域下的合规审计问题。
《个人信息保护法》下的合规审计概念和来源
合规性审计的性质是一种经济合规监督活动,主要指审计机构和审计人员依据法律、法规和财经制度,对被审计单位的生产经营管理活动及其有关资料是否合规所进行的一种监督活动?[ 王春晖:《<个人信息保护法(草案)>二审稿解析》。]?相应地,个人信息处理的合规审计是指依据法律、行政法规对个人信息处理者的个人信息处理活动进行评价和监督。
《个人信息保护法(草案)》在“一审稿”中即确立了个人信息处理者的合规审计制度,“一审稿”第五十三条规定:“个人信息处理者应当定期对其个人信息处理活动、采取的保护措施等是否符合法律、行政法规的规定进行审计。履行个人信息保护法个人信息保护职责的部门有权要求个人信息处理者委托专业机构进行审计。”“二审稿”对“一审稿”第五十三条的内容进行了拆分和简化,在第五十四条规定“个人信息处理者应当定期对其个人信息处理活动遵守法律、行政法规的情况进行合规审计”,在第六十三条规定“要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计”,即“履行个人信息保护职责的部门在履行职责中,发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,可以按照规定的权限和程序对该个人信息处理者的法定代表人或者主要负责人进行约谈,或者要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。个人信息处理者应当按照要求采取措施,进行整改,消除隐患”。个人信息处理者对其个人信息处理活动是否符合法律、行政法规规定进行合规审计的前提,是基于个人信息处理者对其个人信息处理活动的内部合规管理。[ 同注1。]?因此,《个人信息保护法》对个人信息处理的合规审计加以区分并针对自我监督和监管监督作出不同的规定,符合合规审计的目的和作用。
个人信息处理合规审计的目的
个人信息处理合规审计能够评估企业对个人数据的处理,以确定其是否符合法律、行政法规的规定。前述合规审计的目的包括:
第一,确保法律、行政法规规定的处理原则和规则被企业内化为相应的政策和程序。
第二,核实上述政策和程序是否得到切实的遵守,并测试现有的控制措施是否充分,有效避免或减少个人数据保护风险。
第三,检测违规行为或潜在的违规行为,及时识别和纠正个人数据保护风险。
第四,及时对企业的控制措施、政策和程序进行任何必要的修改和补充。[前述归纳参考洪延青:《英国ICO的指南(全文翻译)》]
第五,帮助企业提高对个人数据保护、一般信息安全和网络安全的认识,并促使企业具备保障个人信息处理处于长期安全状态的能力。
个人信息处理合规审计的作用主要包括两方面,一方面是保障有关个人信息保护的法律、行政法规得到遵守和执行;另一方面也是为个人信息处理者建立和健全内部控制,加强管理,提高经济效益起到促进作用。
另外,《个人信息保护法》第六十九条第一款规定了侵害个人信息权益造成损害应当承担过错推定责任,个人信息处理者只有证明自己没有过错的,才可以免予承担赔偿损失的侵权责任。是否依据法律规定进行定期合规审计,是处理者用于证明自己没有过错的重要证据。[ 程啸:《个人信息保护法理解与适用》,法制出版社2021年9月第1版,第417页。]
《个人信息保护法》下合规审计种类及其异同
尽管《个人信息保护法》在第五十四条和第六十四条均规定了合规审计,但这两个法条规定的合规审计却并不相同。具体而言:
第一,发起合规审计的主体不同,第五十四条规定的合规审计是由个人信息处理者自发启动的,是规律性的定期内控措施;而第六十四条规定的合规审计则是履行个人信息保护职责的部门在履行职责中发现个人信息处理活动存在较大风险或者发生个人信息安全事件时,自行开展或者委托专业机构开展的外部监督。
第二,发起合规审计的情形不同,第五十四条规定的合规审计是定期的、规律性的内控措施,第六十四条规定的合规审计则是监管部门防控个人信息处理风险或应对个人信息安全事件的强制措施,仅在监管部门发现存在较大的个人信息处理风险或者发生个人信息安全事件且监管部门选择适用合规审计时才会启动。
第三,合规审计的核心内容不同,第五十四条规定的合规审计作为个人信息处理者的常规性内控措施,审计的核心内容是个人信息处理者审查自身的管理规定、执行架构、执行程序与法律、行政法规的符合程度,以便有效地识别和控制风险,防止个人数据保护的违规行为。第六十四条规定的合规审计作为监管部门的强制措施,审计的核心内容应是围绕所发现的个人信息处理风险或者个人信息安全事件来开展,审计的事项和范围由监管部门确定,可以和个人信息处理者的常规审计相同,也可以更为集中和精干,目的是消除在监管过程中暴露出来的安全风险。
第四,合规审计的结果不同,尽管第五十四条和第六十四条规定的合规审计都会得出审计结论和改善建议,但在前者,对于合规审计结论的执行是个人信息处理者的自发和自愿行为,并不存在第三方的外部监督机制来督促落实合规审计结论的执行;而在后者,合规审计结论应该要转变为监管部门的强制性措施要求,个人信息处理者必须依照前述要求进行整改,切实消除隐患。
综上,《个人信息保护法》下的合规审计分为两类,第五十四条规定的是作为个人信息处理者常规内控措施的自发性审计,第六十四条规定的是作为履行个人信息保护职责的部门强制性措施的监督审计,二者是不尽相同的。
个人信息处理合规审计的内容
如前所述,第五十四条规定的合规审计是个人信息处理者对其处理个人信息的常规性内控措施,但个人信息处理的合规审计并非脱离于个人信息处理者的其他合规审计而独立存在,它是企业合规审计体系的组成部分。而企业的合规审计又是企业合规管理体系的构成要素之一,属于企业内部控制审计,独立于企业的合规管理。
根据财政部、证监会、审计署、银监会、保监会2008年5月22日发布的《企业内部控制基本规范》第三条,企业内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程,第十五条则明确规定企业应当加强内部审计工作,保证内部审计机构设置、人员配备和工作的独立性。内部审计机构应当结合内部审计监督,对内部控制的有效性进行监督检查。内部审计机构对监督检查中发现的内部控制缺陷,应当按照企业内部审计工作程序进行报告;对监督检查中发现的内部控制重大缺陷,有权直接向董事会及其审计委员会、监事会报告。国资委于2018年11月2日发布的《中央企业经营合规管理指引(试行)》、国家发改委、外交部、商务部等七部门于2018年12月26日联合发布的《企业境外经营合规管理指引》和商务部于2021年4月28日发布的《关于两用物项出口经营者建立出口管制内部合规机制的指导意见》(2021年第10号公告)也有类似的规定。
按照《内部审计准则》第二条,内部审计是一种独立、客观的确认和咨询活动,它通过运用系统、规范的方法,审查和评价组织的业务活动、内部控制和风险管理的适当性和有效性,以促进组织完善治理、增加价值和实现目标。按照《中央企业内部审计管理暂行办法》第三条,企业内部审计是指企业内部审计机构依据有关法律法规、财务会计制度和企业内部管理规定,对本企业及子企业(单位)财务收支、财务预算、财务决算、资产质量、经营绩效,以及建设项目或者有关经济活动的真实性、合法性和效益性进行监督和评价工作。因此,企业合规管理是企业内部审计的核心内容,企业内部审计包括对企业合规管理的审计,即合规审计。
《个人信息保护法》第五十四条规定的个人信息处理合规审计,是特别针对企业的个人信息处理行为进行的审计,在事项和内容上具有特殊性,但它仍然是企业合规审计的组成部分,因此,有关企业内部审计的法律法规适用于前述个人信息处理合规审计。同时,有关个人信息保护的法律和行政法规亦必然适用于该个人信息处理合规审计,否则就无法实现该合规审计的目的和作用。
企业内部审计、合规审计和个人信息处理合规审计的关系如下图所示:
1. 个人信息处理合规审计的主体
与企业的合规管理不同,企业合规审计的主体应是独立于企业合规组织?[ 企业合规组织包括董事会、高级管理人员、合规委员会及合规管理部门。]?的内部审计部门。鉴于个人信息处理具有较强的专业性,因此在进行个人信息处理的合规审计时,除企业的审计人员和监察人员外,还必须具有熟悉个人信息保护法律法规的法律人员和知晓网络安全技术的技术人员,这些人员都应该相对独立于企业的职能部门。特别值得注意的是,《个人信息保护法》第五十二条规定的个人信息保护负责人、《数据安全法》第二十七条规定的数据安全负责人和《网络安全法》第三十四条规定的网络安全管理负责人不应主导或负责该项合规审计。当然,企业也可以另行委托第三方机构如律师事务所、网络安全技术服务公司等进行个人信息处理的合规审计。对于《个人信息保护法》第六十四条中监管部门委托的“专业机构”,还有待于法律法规或权威解释的进一步明确。
2. 个人信息处理合规审计的原则
《内部审计准则》第六条和《中央企业内部审计管理暂行办法》第十四条明确规定了内部审计的独立性原则、客观性原则和公正性原则,这些原则同样适用于个人信息处理的合规审计。《个人信息保护法》第五条至第十条规定的有关处理个人信息的原则,在进行个人信息处理的合规审计时亦须遵守。
3. 个人信息处理合规审计的内容
《个人信息保护法》第五十四条规定合规审计的内容为“处理个人信息遵守法律、行政法规的情况”。结合我国目前有关个人信息保护的立法现状来看,此处的“法律”应该做广义的解释,即不仅包括全国人民代表大会及其常委会制定的规范性文件,还应包括其他的有权机关制定和发布的规范性文件如地方性法规、部门规章、国家标准、行业标准和网络安全保护的技术规范。关于前述“法律”的准确定义和范围,须等待权威解释的确定。
中国科技技术法学会于2021年4月28日发布了团体标准《个人信息处理法律合规性评估指引》(T/CLAST 001—2021),分别从合法性基础、手段合法、目的明确、目的限制、公开透明、告知、选择、权益保障等细项阐述个人信息处理通用法律合规性评估,对开展个人信息处理合规审计具有很好的参考价值和指引作用。
4. 个人信息处理合规审计的方法和流程
按照内部审计协会《第2201号内部审计具体准则——内部控制审计》第十九条的规定,企业合规审计的方法主要包括访谈、问卷调查、专题讨论、穿行测试、实地查验、抽样和比较分析等方法。个人信息处理合规审计亦能采用前述方法。
在审计之前,企业应整理和准备好与个人信息处理合规审计范围相关的管理制度和程序性规定,包括企业的数据和个人信息保护制度、处理敏感个人信息的工作人员的操作指南或手册、数据和个人信息保护的治理结构说明、重要数据和个人信息登记册、个人信息处理记录、数据保护培训记录等文件,对前述文件的先期审查有助于推进后续合规审计的进行。
个人信息保护合规审计的基本流程如下图所示:
?[?刘伟:《互联网企业数据业务的合规审计研究—基于四家公司的案例分析》第38页,西南政法大学审计硕士专业学位论文。?]?
5. 个人信息处理合规审计报告
《第2201号内部审计具体准则——内部控制审计》第二十四条的规定,内部控制审计报告的内容,应当包括审计目标、依据、范围、程序与方法、内部控制缺陷认定及整改情况,以及内部控制设计和运行有效性的审计结论、意见、建议等相关内容。据此,个人信息处理合规审计报告的内容,除常规性内容如审计目标、依据、范围、程序与方法之外,重点应当阐明对企业的个人信息处理过程中关键性事件及其时间节点、合规性评估发现及其审计结论、改进建议以及整改情况。
一般情况下,全面审计报告应当报送企业董事会或者最高管理层,专项内部审计报告在报送企业适当管理层的同时,也应当报送企业董事会或者最高管理层。[ 郭青红:《合规审计怎么做》]
6. 个人信息处理合规审计的频率
《个人信息保护法》第五十四条规定个人信息处理者应当“定期”进行合规审计,但“定期”的频率是指多久一次则未明确。在未有明确规定及权威解释“定期”的频率前,对于一般的个人信息处理者,建议每年至少开展一次合规审计。
结语
《个人信息保护法》即将于2021年11月1日起实施,当前有关个人信息处理的合规要求并非是空白的。作为个人信息处理者的企业应当充分重视《个人信息保护法》及相关法律法规、标准中的要求,明确并完善包括高级管理人员、个人信息保护负责人(如需)及个人信息保护工作机构(如需)在内的合规管理组织的权责,开展风险评估及合规改进,尽快建立起满足监管要求及业务发展的个人信息保护合规管理体系。
个人信息处理的合规不是做一套书面的计划抑或罗列一纸规章制度,而是将合规的管理模式、体系、整改方案有效运行起来,以有效地识别违规行为,预防数据领域违法行为,监控整个企业的运营情况,一旦发生危机,有能力进行自我处理及有效地监管。
[?smp.weixin.qq/s/D2TK7PicS1Su8PDv2ixCMg。]