近日,国家互联网信息办公室发布关于《个人信息保护合规审计管理办法(征求意见稿)》(以下简称《办法》)及配套的《个人信息保护合规审计参考要点》(以下简称《要点》)公开征求意见的通知。该《办法》旨在为指导、规范个人信息保护合规审计活动,提高个人信息处理活动合规水平,保护个人信息权益。以下是对《办法》与《要点》重点内容的解读,以及基于本次发布的相关内容,如下为个人信息处理者组织内部建设个人信息保护体系的几点建议。
《要点》重点内容解读
《要点》共计三十一条,列举了个人信息保护处理活动在组织管理、全生命周期保护方面等基础性合规义务的审查事项,协助个人信息处理者的内部组织机构或委托的专业机构在进行个人信息保护合规审计时推进实施。
《要点》面向个人信息处理活动的主要审计框架内容如下:
如上图不难看出,《要点》中相关参考条例与《个人信息保护法》《网络数据安全管理条例(征求意见稿)》《GB/T 35273-2020 信息安全技术 个人信息安全规范》中相关要求均有对比映射关系,从不同条款中都与现存的国家法律法规、标准要求进行了衔接,为个人信息保护合规审计国家层面的标准要求落点提供了细化补充与深度扩展。
01
个人信息处理者的告知、取得个人同意相关义务的具体要求
1. 需履行告知、取得个人同意义务的情形
《个人信息保护法》将个人信息处理者的告知、取得同意义务划分为三个层次,即告知/明示、取得个人同意、取得个人单独同意。《审计参考要点》亦相应对这些事项提出了审计要求,涉及的相关情形摘录如下:
(点击查看大图)
2. 履行告知义务时需注意事项
《审计参考要点》第4条规定了信息保护合规审计时应关注个人信息处理者是否履行了告知义务,包括告知的文本格式要求、线下告知和线上告知分别需要采取的告知方式等内容。此外重点强调应关注个人信息处理者是否以显著方式、清晰易懂的语言告知个人信息处理规则,并在个人信息处理规则发生变更时要及时告知个人。
至于何谓以“显著方式”告知,或许可以参照《网络数据安全条例(征求意见稿)》的规定,即“个人信息处理规则应当集中公开展示、易于访问并置于醒目位置,内容明确具体、简明通俗,系统全面地向个人说明个人信息处理情况”。
关于个人信息处理规则具体应该包括的内容,《个人信息保护法》第二章全面规定了个人信息处理应当遵循的各项规则,但该章规定更应理解为个人信息处理的基本原则和必备的要求。如果个人信息处理者将《个人信息保护法》第二章的内容照猫画虎,作为对个人告知的具体信息,既没有必要,也稍显敷衍。我们理解,《审计办法参考要点》要求告知的“个人信息处理规则”应该是个人信息处理者基于其商业实质和业务需求而采取的特异化、具体化的规则,其目的在于向用户说明个人信息处理者的底层商业需求与处理个人信息的需求之间的逻辑关系以及个人信息处理行为可能对用户产生的影响。
《网络数据安全条例(征求意见稿)》对数据处理者应该展示的个人信息处理规则有详细规定,包括:(一)依据产品或者服务的功能明确所需的个人信息,以清单形式列明每项功能处理个人信息的目的、用途、方式、种类、频次或者时机、保存地点等,以及拒绝处理个人信息对个人的影响;(二)个人信息存储期限或者个人信息存储期限的确定方法、到期后的处理方式;(三)个人查阅、复制、更正、删除、限制处理、转移个人信息,以及注销账号、撤回处理个人信息同意的途径和方法;(四)以集中展示等便利用户访问的方式说明产品服务中嵌入的所有收集个人信息的第三方代码、插件的名称,以及每个第三方代码、插件收集个人信息的目的、方式、种类、频次或者时机及其个人信息处理规则;(五)向第三方提供个人信息情形及其目的、方式、种类,数据接收方相关信息等;(六)个人信息安全风险及保护措施;(七)个人信息安全问题的投诉、举报渠道及解决途径,个人信息保护负责人联系方式。
就个人信息处理中告知和同意的具体要求,根据国家市场监督管理总局(以下简称国家市监总局)和中国国家标准化管理委员会(以下简称国家标准委)发布的《信息安全技术个人信息处理中告知和同意的实施指南》(GB/T 42574-2023)(以下简称《个人信息处理告知和同意实施指南》),该指南将于2023年12月1日实施),告知的方式分为一般告知、增强告知、即时提示。各类告知方式一般性适用原则及典型的具体应用情形如下表所示:
(点击查看大图)
根据《个人信息处理告知和同意实施指南》规定,对于告知的界面或渠道,个人信息处理者应当以便于个人立即阅读、获取的方式,设计适当的告知界面或渠道,并根据载体、环境等的不同进行调整,优化告知界面或渠道的形式。如在个人可操作的计算机、智能终端(包括固定终端、移动终端等)等屏幕展示告知界面时,可采取弹出可关闭(或点击按钮、滑动后可跳过)的单独窗口、设置经多次点击、下拉菜单访问的交互式界面等方式。对于告知时机和告知频率,个人信息处理者应当选取适当的时机和频率,既需要避免告知的频率过低,导致告知的内容无法有效传达,又需要避免告知的频率过高对个人造成不必要的打扰。通常首次告知采用的是一般告知的方式在用户首次使用产品或服务前进行,同步告知、再次告知采用增强告知或即时提示的机制,在产品或服务收集处理个人信息对个人权益影响较大或收集的方式、目的、范围等发生变更前进行同步告知、再次告知等,个人信息处理者选择的告知时机和频率还需平衡告知的充分性和用户体验。
3. 取得个人同意时需注意事项
根据《个人信息处理告知和同意实施指南》规定,个人信息处理者取得同意时,以明示同意方式为原则,确保个人在理解收集目的和相关处理规则的基础上,自主给出具体、清晰、明确的意愿表示,如个人直接提供相关信息、点击“同意”进入下一步、签署书面文件表示愿意提供个人信息等。但因客观条件限制、个人自身习惯、保护各方合法利益等原因,个人无法表达前述明示同意时,在同时满足以下条件的情况下,可以推定个人表示同意:(1)取得明示同意存在显著困难;(2)经个人信息保护影响评估确认个人信息的处理不会对个人权益造成不利影响;(3)采取了适当的方式向个人告知了个人信息处理规则;(4)被推定为个人同意的情形不影响个人行使撤回同意的权利。
就《个人信息保护法》等规定的需取得单独同意的情形,《个人信息处理告知和同意实施指南》规定了相应的实施要求,包括在个人作出单独同意之前,需通过增强告知的方式,针对需要单独同意的情形专门向个人进行充分告知;需选择明示同意的方式来取得个人单独同意;单独同意为个人针对其个人信息进行特定处理而专门作出具体、明确授权的行为,不包括一次性针对多种目的或方式的个人信息处理活动作出的同意,即不得要求个人概括同意等。
《个人信息处理告知和同意实施指南》要求个人信息处理者明确撤回同意的操作(如交互式功能页面、电话、邮箱等方式),并可通过一般告知的方式,在个人信息保护政策中向个人说明撤回同意的具体场景和操作方法。撤回同意的颗粒度需根据个人实际需求和产品服务特点设计,撤回某个业务的个人信息处理同意的,不得拒绝提供其他业务功能或降低其他业务质量(除非撤回同意的个人信息是其他业务功能所必需)。个人撤回同意后,应设计并向个人主动告知删除或匿名化相关个人信息的机制,以供个人作出是否保留个人信息的选择;个人信息处理者后续不得再处理相应的个人信息,但不影响撤回前基于个人同意已进行的个人信息处理活动的效力;个人信息处理者需在承诺时限内(不超过15日)完成对撤回同意请求的确认,以及完成删除或匿名化相关个人信息的操作,并向个人反馈撤回同意的结果。
《个人信息处理告知和同意实施指南》进一步规定,为保护个人权益和个人信息处理者合法利益,个人信息处理者可采取技术或管理措施,留存取得个人同意过程的证据,包括但不限于个人信息处理者对个人信息处理活动进行评估后,设计并实施告知和同意方案的记录,与个人关联的同意记录,不同时期发布的个人信息保护政策等。相关证据留存时间建议不少于3年,留存证据应遵循最小必要原则并对适用范围严格限制,且应采取充分的技术措施及其他必要措施保证留存证据的数据安全,个人信息处理者为自身举证等目的使用留存证据时应披露最少必要信息。
4. 特定场景下的告知和同意
《个人信息处理告知和同意实施指南》还对特定场景下如何履行告知和同意义务做出了规定,例如APP嵌入第三方SDK(即软件开发工具包(Software Development Kit))场景下的告知和同意、处理不满14周岁未成年人信息的告知和同意等情形。
在APP嵌入第三方SDK场景下,除个人信息处理者常规告知内容外,还应向个人告知SDK的名称及其提供者的名称、联系方式以及SDK的个人信息处理规则。如SDK作为APP运营者的受托个人信息处理者,由APP运营者向用户告知SDK相关信息及个人信息处理规则并取得其同意;如SDK作为个人信息处理者,则用户使用SDK相关业务功能应从APP跳转至业务功能界面,SDK提供者可以在跳转后的页面中对APP用户进行告知并取得其同意;除法律法规另有规定的情况,SDK提供者应避免在APP运营者或其自身作为个人信息处理者取得用户同意前收集处理个人信息;SDK提供者个人信息处理规则发生变更时应及时与APP运营者同步,并重新实施告知、同意等程序。
对于处理不满14周岁未成年人信息的告知和同意的情形,应在处理该等未成年人个人信息前,需将个人信息处理规则告知其父母或其他监护人,并取得其监护人同意;且就处理不满14周岁的未成年人的个人信息,应特别告知该等个人信息的敏感性、处理活动对用户权益的影响、对上述未成年人个人信息的特别安全保障措施、监护人管理该等未成年人个人信息及行使相关权利的方式和途径、响应监护人诉求的专门渠道等并提示监护人正确履行监护职责。从实施层面,个人信息处理者可根据其产品或服务目标人群的范围设置相应的规则,如目标人群为不满14周岁的未成年人,可针对其发布专门的个人信息保护政策,并在交互式界面中向其监护人增强告知处理不满14周岁的未成年人的个人信息的种类、目的、必要性等相关规则,并采用发送短信、推送消息、发送邮件等方式向监护人发送完整的儿童个人信息处理规则,在合理鉴别监护人身份后取得监护人的单独同意;如目标人群没有年龄限制,需针对可能存在的儿童个人信息处理活动设计告知和同意机制,制定儿童个人信息处理规则作为隐私政策的一部分或以其他方式显著发布并就处理不满14周岁的未成年人的个人信息取得监护人单独同意;如目标人群为成年人,但经鉴别发现用户存在不满14周岁的未成年人,可参照前述方式取得未成年人监护人的单独同意,或拒绝向未成年人提供服务。
02
建立个人信息保护影响评估制度
1. 需要进行个人信息保护影响评估的主要场景
《审计参考要点》要求个人信息处理者建立个人信息保护影响评估制度,作为个人信息保护内部管理制度体系的一部分,并且将个人信息保护影响评估开展情况及评估内容作为一项重点审计事项进行审查。同时《审计参考要点》在不同条款分别要求审查在如下事项发生时,信息处理者是否进行了个人信息保护影响评估:
(1)个人信息处理者存在向其他个人信息处理者提供其处理的个人信息的(第8条)
(2)个人信息处理者利用自动化决策处理个人信息的(第9条)
(3)个人信息处理者存在公开其处理的个人信息情形的(第10条)
(4)个人信息处理者处理敏感个人信息的(第13条)
(5)在进行对个人权益具有重大影响的个人信息处理活动前(第25条)
2. 个人信息保护评估的内容
根据《个人信息保护法》,个人信息保护影响评估应当包括下列内容:(一)个人信息的处理目的、处理方式等是否合法、正当、必要;(二)对个人权益的影响及安全风险;(三)所采取的保护措施是否合法、有效并与风险程度相适应。个人信息保护影响评估报告和处理情况记录应当至少保存三年。
根据国家市监总局和国家标准委发布的《信息安全技术 个人信息安全影响评估指南》(以下简称《个人信息安全影响评估指南》)(GB/T 39335-2020),评估报告的内容通常包括:个人信息保护专员的审批页面、评估报告的适用范围、实施评估及撰写评估报告的人员信息、参考的法律法规和标准、个人信息影响评估对象(明确涉及的个人敏感信息)、评估涉及的相关方、个人权益影响分析结果、安全保护措施分析结果、安全事件发生的可能性分析等。
该指南并非强制适用,但给个人数据处理者提供了良好的参考范例。在具体操作过程中,评估报告除了上述指南列示的内容外,还应该关注评估的具体目的,并根据评估目的来设置具体的内容,需注意避免仅为了满足评估报告的形式要求而忽略或遗漏与评估目的有关的关键信息及结论。
3. 个人信息保护评估的方法及流程
《个人信息安全影响评估指南》也介绍了个人权益影响评估的原理和流程,评估原理示意图如下:
具体操作中,首先要结合评估目的确定要评估的个人数据处理活动范围,并针对拟评估的数据处理活动范围进行数据映射分析。数据映射分析是指对于个人数据处理者的各项数据处理活动、数据处理场景所涉及的个人信息类型、信息主体、收集和处理的目的等要素进行收集和整理,并形成个人信息映射表,作为后续评估步骤的基础。一个典型的个人信息映射表示例如下:
(点击查看大图)
此外,数据处理者亦可以从数据管理角度进行列表统计及分析,作为进一步评估的依据。典型的个人信息数据管理表格示例如下:
(点击查看大图)
在完成数据映射分析后,需要进行个人权益影响分析,即分析特定的个人信息处理活动是否对个人信息主体合法权益产生影响以及可能产生何种影响。个人权益影响范围一般可包括“限制个人自主决定权”、“引发差别性待遇”、“个人名誉受损或遭受精神压力”、“人身财产受损”等维度。
关于对个人权益影响程度的判定,可以根据严重程度参照如下标准进行判定:
(点击查看大图)
在完成个人权益影响分析后,下一步工作是结合数据处理者所采取的安全保护措施,对安全事件的可能性以及风险级别进行分析。并可以结合风险级别提出相应的整改措施或避免风险措施。
03
个人信息保护内控体系及内控制度的要求
1. 内控体系
为满足审计要求,个人信息处理者需要制定个人信息保护相关的内部管理制度和操作规程,设立相关的组织架构并配备人员,建立应急响应机制,建立个人信息保护影响评估及合规审计制度,建立投诉举报受理流程等。
2. 内控制度
内控体系的建设成果主要体现为颁布相关的内控制度、设置相关合规内控部门以及设立相关负责人岗位。结合我们的经验,建议个人信息处理者颁布实施如下内控制度:
(1)《个人信息保护合规管理工作制度》,主要规定个人信息保护的总体原则、个人信息保护的目标、信息保护部门的组织架构以及职责、企业内部责任承担机制,并可以对信息保护的分类标准以及针对性的安全措施等作出规定;
(2)《个人信息保护负责人工作细则》,主要规定个人信息保护负责人的岗位职责及权限、选任机制、汇报机制、履职评价、责任承担机制等;
(3)《个人信息保护评估及合规审计制度》,主要规定需要进行信息保护评估的情形、评估的方法及主要内容、合规审计的负责部门、合规审计的方法及机制、合规审计的频率等;
(4)《个人信息保护应急响应制度及应急预案》,主要规定在出现信息保护重大风险事项时的响应机制,以及应急预案,包括向有关主管部门报告的通道及负责人;
(5)《个人信息保护用户行权响应制度》,主要规定用户提出投诉、要求进行解释或者有其他行权行为时的响应机制;
(6)《个人信息保护安全教育及培训制度》,主要规定安全教育和培训的对象、频率、负责人以及培训的主要内容等。
3. 个人信息保护负责人
《个人信息保护法》规定,处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。
而关于何谓达到“国家网信部门规定数量的个人信息处理者”,国家网信办尚未公布具体的数量标准。实践中可以参考《信息安全技术个人信息安全规范》(GB/T 35273-2020 )(以下简称《个人信息安全规范》)中的规定,即:(1) 主要业务涉及个人信息处理,且从业人员规模大于200人;(2) 或处理超过100万人的个人信息,或预计在12个月内处理超过100万人的个人信息;(3) 或处理超过10万人的个人敏感信息的;
《审计参考要点》也将个人信息保护负责人的设置及履职情况作为审计重点事项,具体包括信息保护负责人是否具备相关的工作经历和专业知识、是否有清晰的职责、是否有足够的履职权限、是否将该负责人的联系方式进行公开并报送有关主管部门等。
此外,报送履行个人信息审计保护部门的个人信息保护合规审计报告应当由企业的合规审计负责人签字。我们理解,如果企业未单独设立专门的合规审计负责人岗位,也可以由个人信息保护负责人兼任。
4. 安全培训
参照《审计参考要点》的审计要求,我们建议个人信息处理者应定期对员工开展安全教育和培训,此外在重要监管规则出台后,或者出现重大有代表性事件时,应当及时为相关员工安排临时性的培训,以便相关岗位的员工能够及时掌握监管要求和行业动态,并及时将相关监管要求体现为具体的个人信息保护措施。
安全教育和培训可以根据具体内容的不同而面向不同的对象。例如相对较为普及性的培训可以面向全体员工,提高全员的个人信息保护意识和网络合规与安全、数据合规与安全意识。而较为专业性的培训可以面向管理人员、以及个人信息保护负责人、网络及数据安全负责人、法律合规负责人等专岗人员。
5. 数据分类
《审计参考要点》要求信息处理者对个人信息进行分类,并采取针对性的管理措施或安全技术措施。
《个人信息保护法》将个人信息区分为敏感个人信息和一般信息。敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
实践中,参考全国信息安全标准化技术委员会发布的《网络安全标准实践指南——网络数据分类分级指引》,个人信息遭到泄露或者非法利用对个人信息主体权益可能造成的以下任一种影响的可以认定为敏感个人信息:(1)个人信息遭到泄露或者非法使用,可能直接侵害个人信息主体的人格尊严。例如,特定身份(如身份证、护照、驾驶证、工作证等)、医疗健康、犯罪记录等信息属于一旦泄露即侵害人格尊严的敏感个人信息;(2)个人信息遭到泄露或者非法使用,不会直接侵害个人信息主体的人格尊严,但可能由于社会偏见、歧视性待遇而间接侵害个人信息主体的人格尊严。例如因个人种族、宗教信仰、性取向遭到歧视性待遇;(3)个人信息遭到泄露或者非法使用,可能直接或间接危害个人信息主体的人身、财产安全。例如,泄露、非法使用家庭住址、家属关系等家庭相关信息,可能会为入室抢劫或绑架等犯罪所利用;个人信息主体的身份证复印件被他人用于手机号卡实名登记、银行账户开户办卡等。
6. 预案
个人信息处理者应该制定针对个人信息安全事件的应急预案,在发生个人信息安全事件时,应该能够及时查明个人信息安全事件的影响、范围和可能的危害分析,并防止危害扩大,将可能的损失及危害降到最小,还需要建立通报渠道,并在事件发生后72小时内通过有关主管部门。
关于个人信息安全事件的判定标准,实践中可以参照《个人信息安全影响评估指南》采用的安全事件可能性等级判定标准。根据该指南,当发生如下情形时可以认为发生安全事件的可能性等级很高:(1)网络环境与互联网及大量信息系统有交互现象,基本上未采取安全措施保护个人信息安全;(2)该个人信息处理行为为常态、不间断的业务行为,该行为已经对个人主体的权益造成了影响,或收到了大量相关的投诉,并引起了社会关注;(3)任意人员可接触到个人信息,对第三方处理个人信息的范围无任何限制,或已出现第三方滥用个人信息的情形;(4)威胁引发的相关安全事件已经被本组织发现,或已收到监管部门发出的相关风险警报。
04
个人行使权利响应机制的要求
结合《审计参考要点》的审计关注点,个人信息处理者应该建立对个人用户行使权利的响应机制,即我们通常理解的“客服”机制。但鉴于用户在行使个人信息权益时,涉及的问题具有较强的专业性,企业需酌情考虑建立专业的客户服务团队,或者由企业内部负责信息保护合规的部门负责对此做出响应。
具体而言,个人信息处理者应该建立个人行使权利的申请受理机制,即有专门的受理通道及负责部门及人员;此外,个人信息处理者需要响应用户对个人信息处理规则进行解释和说明的诉求,并在规定的时间内使用通俗易懂的语言做出解释说明。
05
向境外提供个人信息应注意事项
《个人信息保护法》规定,个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一:(1)关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,确需向境外提供个人信息的,应当通过国家网信部门组织的安全评估;(2)按照国家网信部门的规定经专业机构进行个人信息保护认证;(3)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;(4)法律、行政法规或者国家网信部门规定的其他条件。个人信息处理者应当采取必要措施,保障境外接收方处理个人信息的活动达到《个人信息保护法》规定的个人信息保护标准。
上述个人信息出境路径中,数据出境安全评估具有法定强制性,应优先适用,向境外提供个人信息达到需要申报数据出境安全评估的标准,必须通过数据出境安全评估后才可向境外提供个人信息;尚未达到需要申报数据出境安全评估标准的,可以通过取得个人信息保护认证或与境外接收方签署个人信息出境标准合同并完成相应备案的方式向境外提供个人信息。根据《数据出境安全评估办法》《个人信息出境标准合同办法》《个人信息保护认证实施规则》及《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》等相关规定,上述个人信息出境路径的适用情形及相关要求简要梳理如下:
(点击查看大图)
除上述向境外提供个人信息的一般规定外,对于向外国司法或执法机构提供个人信息的特定情形,《个人信息保护法》要求非经中华人民共和国主管机关批准,个人信息处理者不得向外国司法或者执法机构提供存储于中华人民共和国境内的个人信息。此外,国家网信部门可以将从事侵害中华人民共和国公民的个人信息权益,或者危害中华人民共和国国家安全、公共利益的个人信息处理活动的境外的组织、个人列入限制或者禁止个人信息提供清单,采取限制或者禁止向其提供个人信息等措施。
除审计上述情形是否达到合规标准外,《审计参考要点》还要求重点审查个人信息处理者对境外接收方采取监督措施的有效性,包括但不限于:(1)是否了解和掌握境外接收方的情况,特别是接收方是否具备必要的个人信息保护能力;(2)是否向境外接收方告知我国法律、行政法规对个人信息保护的要求,并要求境外接收方采取相应的保护措施;(3)是否采取签订协议、定期核查等方式,督促境外接收方切实履行个人信息保护义务。
06
针对特定信息处理者的要求
除上述一般性要求外,《审计参考要点》对某些特定类型的信息处理者提出了专门的审计要求。
1. 利用自动化决策处理个人信息的处理者
《审计参考要点》针对利用自动化决策处理个人信息的处理者,要求重点关注是否对算法模型进行安全评估,按国家规定进行备案,是否进行科技伦理审查,是否事前进行个人信息保护影响评估,是否向用户提供拒绝自动化决策的选项等。
根据《个人信息保护法》,自动化决策,是指通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,并进行决策的活动。
关于利用自动化决策处理个人信息的处理者需履行的评估、备案等程序,应适用《互联网信息服务算法推荐管理规定》的相关要求,包括:具有舆论属性或者社会动员能力的算法推荐服务提供者应当按照国家有关规定开展安全评估;具有舆论属性或者社会动员能力的算法推荐服务提供者应当在提供服务之日起十个工作日内通过互联网信息服务算法备案系统填报服务提供者的名称、服务形式、应用领域、算法类型、算法自评估报告、拟公示内容等信息,履行备案手续等相关要求。
关于科技伦理审查要求,参考科技部发布的《科技伦理审查办法(试行)》(征求意见稿),科技伦理审查由企业设立的科技伦理(审查)委员会负责。对于涉及数据和算法的科技活动,科技伦理(审查)委员会应审查数据处理方案符合国家有关数据安全的规定,数据安全风险监测及应急处理方案得当;算法和系统研发符合公平、公正、透明、可靠、可控等原则。此外,具有舆论社会动员能力和社会意识引导能力的算法模型、应用程序及系统的研发还应该开展专家复核。
2. 公开采集个人身份的数据处理者
《审计参考要点》要求,针对个人信息处理者在公共场所安装图像采集、个人身份识别设备的,是否为维护公共安全所必需,是否存在为商业目的处理所采集信息的情况,是否设置了显著的提示标志,是否取得了个人单独同意等。
针对上述处理者,在判断应遵守的操作标准时,可进一步参考《人脸识别技术应用安全管理规定(试行)(征求意见稿)》的相关规定。此外,《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》对于信息处理者处理人脸信息可能构成侵犯自然人人格权益的行为也做出了规定,信息处理者需予以关注。
3. 大型互联网平台
《审计参考要点》对大型互联网平台运营者的审计要求高于一般的信息处理者,主要体现为,大型互联网平台需定期审核平台内产品或者服务提供者个人信息处理规则的合法性、合理性,定期对平台内产品或者服务提供者处理个人信息遵守法律、行政法规情况进行审核,并对严重违规的平台内产品或者服务提供者要及时停止服务。大型互联网平台的生态体系内,产品和服务提供者数量较多,也比较难于实施统一监管,上述要求对于大型互联网平台而言负担较重,实践中如何把握尚有待观察。
对于大型互联网平台的认定标准,目前尚未有明确的法律规定。《网络数据安全管理条例(征求意见稿)》第73条规定,大型互联网平台运营者是指用户超过五千万、处理大量个人信息和重要数据、具有强大社会动员能力和市场支配地位的互联网平台运营者。实践中一般认为可以参照上述标准。
小结
《审计办法征求意见稿》虽然对信息处理者的合规体系建设给出了明确的目标及指引,但具体如何落实,仍然是一项浩繁的工作。我们建议处理较多个人信息的处理者应尽快加强合规工作,引入专业力量,早日搭建符合要求的合规体系。
来源:金杜研究院微信公众号
(三)律师事务所解读-1
关注要点
- 《个人信息保护合规审计办法》若正式发布,将对所有处理个人信息的企业都适用。
- 自主审计频次根据个人信息处理数量有区分:处理超过100万人个人信息的个人信息处理者每年应至少开展一次个人信息保护合规审计;其他个人信息处理者每二年至少开展一次个人信息保护合规审计。
- 自主审计方式包括企业自行或委托网信部门认定的专业机构进行合规审计。但同一家审计机构连续为同一审计对象开展个人信息保护合规审计不得超过三次。
- 个人信息处理活动存在较大风险或者发生个人信息安全事件的,个人信息保护职责的部门可以要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。
- 合规审计的审查要点体现《个保法》及国家标准的要求。要点包含个人信息处理规则、个人信息跨境提供、个人信息主体权利保障、个人信息处理者的义务、大型互联网平台特殊责任等方面。
阅读全文
2023年8月3日,国家互联网信息办公室发布《个人信息保护合规审计管理办法(征求意见稿)》(下称“《审计办法》”)。意见反馈截止时间为2023年9月2日。本文拟就《审计办法》中规定的合规审计的适用情形、审查要点、法律责任进行简要分析,并向作为个人信息处理者的企业提供依法开展合规审计的建议。
一
合规审计的适用情形
《审计办法》细化和补充了《个人信息保护法》(下称“《个保法》”)第54条和第64条规定的个人信息保护合规审计要求(下称“合规审计”),并将合规审计的触发情形区分为“定期自主审计”与监管部门认为个人信息处理活动存在较大风险或者发生个人信息安全事件时要求的“不定期强制审计”两类。
定期自主审计
《个保法》第54条要求个人信息处理者应当定期开展合规审计。《审计办法》根据个人信息处理者的处理活动规模,进一步要求处理超过100万人个人信息的个人信息处理者,应当每年至少开展一次合规审计;其他个人信息处理者,应当每两年至少开展一次合规审计(第4条)。
不定期强制审计
《个保法》第64条规定履行个人信息保护职责的部门在履行职责中,发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,可以要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。
《审计办法》对审计机构的推荐和选择也确定了一系列要求,负责开展合规审计的专业机构的推荐目录由国家网信部门会同公安机关等部门建立,并特别提出执行合规审计的专业机构应当保持独立性和客观性,连续为同一审计对象开展个人信息保护合规审计不得超过三次。
二
不定期强制审计的具体要求
《审计办法》就本情形进一步规定了个人信息处理者应履行的义务:
- 选定机构(《审计办法》第7条、第13条):推荐个人信息处理者参考有关部门制定的合规审计专业机构推荐目录,委托第三方机构尽快开展审计。
- 协助配合(《审计办法》第8条):在专业机构开展合规审计时予以协助配合,包括提供或者协助查阅相关文件或资料、协助进入个人信息处理活动相关场所,调查、测试相关业务活动及所依赖的信息系统与相关设备设施,调取、查阅个人信息处理活动相关数据或信息,访谈与个人信息处理活动有关的人员,配合专业机构的调查、质询和取证等开展合规审计工作必需的权限。
- 按时完成(《审计办法》第9条):一般情况下,不定期强制审计应当在90个工作日内完成,情况复杂时可以适当延长。
- 开展整改(《审计办法》第10条、第11条):应当按照专业机构给出的整改建议进行整改,并由专业机构进行复核。
- 成果报送(《审计办法》第10条、第11条):将专业机构出具的合规审计报告及整改情况报送履行个人信息保护职责的部门。
三
合规审计的审查要点
《审计办法》在附件《个人信息保护合规审计参考要点》(下称“《参考要点》”)中详细列举了个人信息处理者或其委托的专业机构在开展合规审计时审查事项,与《个保法》中各章规定相对应,同时纳入了如《信息安全技术 个人信息安全规范》等行政法规和国家标准的要求,基本囊括了个人信息处理全流程各环节,具体可分为如下五个模块:
- 个人信息处理规则(《参考要点》第2-14条):《参考要点》对应《个保法》第二章内容,对个人信息处理的合法性基础、处理规则、告知、共同处理、委托处理、合并/分立/重组/破产、提供、自动化决策、公开、公共场所采集、已公开信息、敏感个人信息、未成年人个人信息等要求提出了审计要点。
- 个人信息跨境提供规则(《参考要点》第15-16条):《参考要点》对应《个保法》第三章内容,对个人信息出境活动所选择的合规路径、基于司法执法或条约协定的个人信息出境、为保障境外接收方处理个人信息的活动达到《个保法》规定标准所采取的措施等要求提出了审计要点。
- 个人信息主体权利保障(《参考要点》第17-19条):《参考要点》对应《个保法》第四章内容,对个人信息权利申请受理以及个人信息主体所享有的查阅、复制、转移、更正、补充、删除、要求对个人信息处理规则解释说明等权利保障要求提出了审计要点。
- 个人信息处理者的义务(《参考要点》第20-27条):《参考要点》对应《个保法》第五章内容,对个人信息处理者主体责任、管理措施、技术措施、人员培训、个保负责人、个人信息保护影响评估、个人信息安全应急等要求提出了审计要点。
- 大型互联网平台特殊责任(《参考要点》第28-31条):《参考要点》对应《个保法》第58条内容,对个人信息保护独立监督机构、互联网平台规则、平台内的产品或者服务提供者监督、个人信息保护社会责任报告等方面提出了审计要点。
《参考要点》第一条指出其目的为开展合规审计提供参考。因此,我们理解各企业及审计机构也可在《参考要点》的基础上根据自身情况进行相应的调整和补充。
四
违反《审计办法》的法律责任
《审计办法》第15条规定了转致条款,指出针对个人信息处理者违规的处罚措施按照《个保法》的规定处理。根据《个保法》第七章法律责任的规定,未履行合规审计相关义务的个人信息处理者可能面临如下处罚:由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,责令暂停或者终止违法处理个人信息的应用程序服务,处一百万元以下罚款;情节严重的,处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照。
同时,对于个人信息处理者直接负责的主管人员和其他直接责任人员,拒不改正的,处一万元以上十万元以下罚款;若情节严重,处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。
五
我们的建议
《审计办法》征求意见稿的发布,体现了我国在个人信息保护方面的立法与监管不断加强的态势,向个人信息处理者着重提示了开展合规审计的重要性、列明了开展合规审计的具体要求和方式。此外,我们理解企业在完成合规审计后形成的相应报告及其形成的记录文档也可作为合规性证明,帮助企业在政府、相关机构或商业伙伴的调查、执法、合规性审计等活动中证明其遵守了个人信息保护与数据安全等方面的法律、法规和标准的要求。
尽管《审计办法》正式版本的发布尚需时日,我们建议企业应尽早根据征求意见稿的要求,并结合自身业务与管理体系特点,建立内部个人信息保护合规审计工作机制,为《审计办法》正式实施后所需开展的合规审计在组织领导、人员配置、技术支持、外部合作等方面做好准备。
来源:君合法评微信公众号
(四)律师事务所解读-2
2023年8月3日,国家网信办发布《个人信息保护合规审计管理办法(征求意见稿)》(以下简称“《办法》”),就《个人信息保护法》(以下或称“个保法”)第54、64条项下的个人信息保护合规审计要求提供了落地指引。作为一种监督机制,个人信息保护合规审计于企业需按法律要求实施,也是监管迈向深水区的重要标志;作为一种风险发现工具,企业可据此开展合规自检并形成合规的长效机制,也可作为向监管、公众或合作伙伴展现自身良好合规状态的有力证明。
可以预见,个人信息保护合规审计将成为企业合规治理的重要工具,也是执法机构常态化监管的重要抓手,基于此,我们就《办法》所涉及的七个焦点问题进行解读,以期为企业全面理解、应对个人信息保护合规审计提供参考。
问题一:哪些情形会触发个人信息保护合规审计?
根据《办法》第2条,《办法》适用于个人信息处理者定期开展个人信息保护合规审计(以下称“定期审计”),或者按照履行个人信息保护职责的部门要求委托专业机构对其个人信息处理活动进行合规审计(以下称“监管审计”),据此,与《个人信息保护法》第54、64条一脉相承,触发个人信息保护合规审计的情形包括:
“定期审计”:《个人信息保护法》第54条要求个人信息处理者定期对其处理个人信息遵守法律、行政法规的情况进行合规审计,这是个保法项下的法定要求。所谓“定期审计”,是相对于“监管审计”的概念,并非强调企业仅可由自身内部人员开展审计,根据《办法》第5条,此等“定期审计”可以由企业内部机构开展,也可委托专业机构开展。根据主体不同,开展“定期审计”的周期[1]为:
- 处理100万人以上个人信息的个人信息处理者:每年至少开展一次;
- 其他个人信息处理者:每二年至少开展一次。
“监管审计”:《个人信息保护法》第64条规定,履行个人信息保护职责的部门在履行职责中,发现“个人信息处理活动存在较大风险”或者“发生个人信息安全事件”的,可以要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。据此,针对“监管审计”的情形,必须委托专业机构开展,不得由企业内部机构进行,以保持审计的独立性和客观性。关于如何理解“个人信息处理活动存在较大风险”,主要可能包括如下情形:
- 涉及用户或其他个人信息主体就企业个人信息处理活动向监管部门进行投诉;
- 发生有权机构向企业提起个人信息保护公益诉讼;
- 发生了个人信息安全事件或合规事件,例如数据泄露、违法收集处理个人信息、违法数据交易等;
- 针对企业在履行其他法定义务(例如汽车数据年报、数据出境风险自评估报告、数据出境个人信息保护影响评估报告、网络产品安全漏洞报送)过程中,监管部门发现或企业主动向监管部门披露的个人信息处理活动合规风险或安全风险;
- 针对大平台企业或重点领域或行业的头部企业,监管部门在日常调查与沟通中了解的个人信息保护合规风险或安全风险;
- 针对媒体或其他公开渠道所披露的企业个人信息合规风险或安全风险(例如3·15晚会),据此引发监管关切;
- 处理大量个人信息的新类型网络产品或服务上线(例如Chat-GPT),基于其技术原理及企业合规落实情况,引发监管对其个人信息合规风险或安全风险的关切;
- 基于执法机构(及所委托的技术检测机构)日常开展安全检测过程中,所了解到的个人信息保护合规风险或安全风险等。
问题二:如何确定个人信息保护合规审计范围?
基于《个人信息保护法》和《办法》所确立的“定期审计”与“监管审计”二分法,我们理解合规审计的范围主要包括两类:
- 针对企业整体的审计:《办法》第4条提出了企业开展“至少每年一次”或“至少每二年一次”的“年度审计”要求,这是针对“定期审计”的规定。我们理解,此等“年度审计”的监管目标是督促企业定期开展全面合规自检,其审计范围应面向企业整体,包括制度建设、组织架构设置、安全能力、数字产品与服务、个人信息全生命周期管理各个环节等。
- 针对特定处理活动的审计:一方面,此等针对特殊处理活动的审计可能由监管部门基于《个人信息保护法》第64条所依职权触发,监管部门可以依照发现的风险因素或个人信息安全事件的影响来确定审计范围;另一方面,企业如需与合作伙伴就特定业务场景开展合作,或需就自身特定产品或服务向公众展现合规水平,亦可由企业主动触发,其审计范围则主要面向特定处理活动的合规性和安全性,当然,审计过程中也可能会对企业制度建设、组织架构、安全能力做附带性审查。
问题三:开展个人信息保护合规审计的审计基准是什么?
审计基准决定了企业开展合规审计的成本,也决定了企业如何在法律、行政法规项下的“合规红线”与其他规章、规范性文件和标准性文件项下的“最佳实践”作出取舍。遗憾的是,《办法》未明确规定开展个人信息保护合规审计的审计基准,尽管《办法》附件提供了“个人信息保护合规审计参考要点”,但由于仅仅是“参考”,对此问题的理解有必要回溯至个保法本身。
事实上,个保法第54条已明确“定期审计”的审计基准为处理个人信息“遵守法律、行政法规”的情况,企业如基于成本等因素,在未触发高风险时优先就法律、行政法规所规定的“合规红线”开展定期审计,属个保法的应有之义。然而,个保法第64条下的“监管审计”则未参照第54条的模式对审计基准进行明确。从体系解释的角度,可能立法者认为个保法第54条已经明确合规审计的基准是“法律、行政法规”(不必区分“定期审计”和“监管审计”),故第64条下的合规审计自然也适用,无需再重复表述。从目的解释的角度,由于触发“监管审计”往往意味着高风险处理活动已然引发监管关切,故由专业机构对企业进行更全面、深入的审计(例如以《办法》附件“个人信息保护合规审计参考要点”作为审计基准)亦符合监管利益。考虑到审计基准于企业的重要性,为避免制度落地过程中陷入审计基准边界不清晰的局面,我们也期待未来《办法》正式稿可以对此问题做出明确。
问题四:如何理解“个人信息保护合规审计参考要点”?
《办法》附件详细列举了30条个人信息保护合规审计的参考要点,其中有相当部分内容系基于既有“法律、行政法规”的延伸性或解释性规定。为厘清审计基准这一关键问题,我们对《办法》附件之规定与现有规定进行了匹配,以期为企业或专业机构未来确定审计基准提供参考。
(注:蓝色字体标识系基于既有生效“法律、行政法规”的延伸性或解释性内容)
上下滑动可查看
图1 个人信息保护合规审计参考要点匹配表
尽管“参考要点”仅为参考性示例,且当前“参考要点”中的部分内容超出了既有“法律、行政法规”规定范围,但考虑到“参考要点”第一条即明确其依据“法律、行政法规和国家标准的强制性要求”制定,我们理解“参考要点”仍在很大程度上反映出监管部门对个人信息处理者合规基准的考虑,并有可能在后续出台的行政法规或强制性国标中被规定,作为企业实质的审计基准。
企业或第三方专业机构在具体运用“参考要点”搭建审计标准时,需充分考虑审计结论的评价方法,尽可能将“参考要点”体系化、逻辑化,如基于各要点风险差异进行赋值,并确保要点完整,且避免在不同要点中重复出现同一要求,导致评价重复。例如,对于“参考要点”目前在第3条、第8条重复出现的对外提供场景下的告知与单独同意要求,可考虑将之分别整合至整体性的“透明性”与“合法性”要求中,并以相同逻辑整合其他场景下的“透明性”与“合法性”要求,例如,应补充“参考要点”中未提及的跨境传输个人信息场景下的告知与单独同意(如以同意为合法性基础)要求。
问题五:企业内部机构审计应按照什么程序开展?
针对由专业机构开展的“定期审计”或“监管审计”,需遵循相关专业机构提出的合规审计程序要求。针对由企业内部机构开展的“定期审计”,结合《个人信息保护法》《办法》规定及我们的实务经验,建议可按照如下“六步法”推进。
第一步:识别合规审计义务。根据前述分析,我国《个人信息保护法》《网数条例》《平台指南》等分别对个人信息处理者、数据处理者、重要数据处理者、大型互联网平台运营者、超大型平台经营者的合规审计义务做出了规定,不同类型的主体在审计方式、审计频次、审计报告披露、审计内容等方面需要遵循的法律要求有所不同。企业应结合法律法规的要求,准确判断自身主体类型,识别相应的合规审计义务。
第二步:确定审计目标。企业开展内部机构审计的原因可能是履行《办法》第4条的年度审计要求,也可能是针对特定高风险业务场景主动对某项个人信息处理活动发起审计。前者的审计目标可能包括制度建设、组织架构设置、个人信息全生命周期各个环节的合规状况,后者的审计目标则主要是针对一项个人信息处理活动的合规性和安全性开展深入的审查和评估。
第三步:明确合规审计流程。2021年12月,由信通院牵头成立的“个人信息保护合规审计推进小组”发布了《关于推进个人信息保护合规审计的若干建议》(以下简称“《若干建议》”),其第四章对“审计程序”做出了建议,主要包括计划、准备、实施、报告和后续跟踪等多个阶段,为企业开展合规审计提供了有益参考。国际标准化组织发布的《ISO 19011:2018管理体系审计指南》(ISO 19011:2018, Guidelines for Auditing Management Systems)也对管理体系的审计流程作出了规定,在合规审计项目管理层面及合规审计项目实施层面遵循“计划-实施-检查-落实(Plan-Do-Check-Act)”四大步骤,企业可考虑参照执行。具体如下:
图2 ISO 19011:2018审计流程
第四步:开展合规审计活动。具体需考虑如下方面:
- 审计范围:审计范围应该根据审计目标确定。具体而言,如为年度审计,审计范围至少应涵盖对现有内部管理制度和操作规程的完备性、执行的有效性的审查;组织架构层面,是否依法设置数据保护机构和个人信息保护负责人,其履职是否符合法律要求;个人信息处理活动层面,就个人信息的收集、存储、使用、跨境传输、个人信息主体行权响应等环节,是否具备合法性基础、采取了法律要求的合规措施;安全事件响应机制是否有效运转等事项,企业可以《个人信息保护法》等法律、行政法规作为基准,并参考《办法》附件“个人信息保护合规审计参考要点”。
- 审计组织:应结合审计目标、审计范围等确定内部审计小组成员。为确保合规审计执行的有效性,需确立审计开展的领导部门,并考虑由合规、法务、IT、业务、HR等多个部门负责人作为审计小组成员来推进审计的实施。在审计小组成立后,审计小组应将审计的目标、实施流程、相关部门需要提供的支持等事项通知到公司内部各个相关部门,为审计的实施做好准备。
- 审计方式:在具体进行审计时,审计小组可以通过入场调查、审阅制度文件、访谈、进行产品及服务合规或安全测试等方式对现有合规措施的完备性和有效性进行审查,发现并记录问题,生成审计报告,并针对审计报告中发现的合规问题,依据个保法等法律、行政法规的规定,参考其他规定、标准性文件等,提出整改建议,由相关部门予以落实。
第五步:输出审计报告。建议企业应根据审计报告所面向的对象,在报告内容上作出区别。例如,针对拟向监管部门提交的年度审计报告,可能需重点体现监管机构关注的风险问题,并对企业遵守相关法律、行政法规的情况予以说明。而针对作为企业合规的支持性文件,例如面向合作伙伴提交时,则应就合作伙伴对企业在个人信息保护方面的主要关切予以明确。此外,审计报告中应包含整改建议。
第六步:开展合规整改。针对“监管审计”,《办法》第11条要求企业需将整改情况向监管部门报送。尽管开展整改并非《个人信息保护法》《办法》项下针对“定期审计”的法定要求,但合规审计的最终目标不仅仅是发现风险,而是控制、缓释乃至消除风险。据此,建议企业对审计报告提出的合规整改建议予以落实,以此也可作为企业积极落实个保法项下的合规义务的有力证明。
问题六:“监管审计”需要遵循哪些特殊要求?
由于“监管审计”系企业开展高风险处理活动或发生安全事件所触发,《办法》对此提出了一系列特殊要求,以确保此等监管手段得到有效落实,具体包括:
- 审计方式:收到监管通知后,应选定专业机构开展合规审计(《办法》第7条);
- 权限保证:应保证专业机构的权限行使,包括提供或协助查阅资料、允许其进入处理活动相关场所并观察相关处理活动、允许其调查相关系统或检查测试相关设备设施、允许其调取查阅相关数据、允许其访谈处理活动相关人员、允许其开展调查、质询和取证等(《办法》第8条);
- 期限限制:应当在90个工作日内完成合规审计;情况复杂的,报批准后可适当延长(《办法》第9条);
- 审计报告报送:应将专业机构出具的合规审计报告报送履行监管部门,审计报告应当由合规审计负责人、专业机构负责人签字并加盖专业机构公章(《办法》第10条);
- 整改情况报送:应按专业机构的建议进行合规整改,经专业机构复核后将整改情况报送监管部门(《办法》第11条)。
问题七:企业如何选择专业机构?
如前述,针对“监管审计”,应当委托专业机构开展;而对于“定期审计”,尽管从规则层面企业有权选择由企业内部机构开展或委托专业机构开展,但从实践层面,基于成本、权威性、中立性、专业性等因素的考量,我们理解企业主动委托外部专业机构协助开展合规审计将成为普遍实践。
《办法》第13条规定,网信部门、公安机关等监管部门将建立“个人信息保护合规审计专业机构推荐目录”,并“鼓励”个人信息处理者优先选择推荐目录中的专业机构开展审计活动。据此,与网络安全等级保护、个人信息保护认证等制度类似,监管部门将适时公布个人信息保护合规审计专业机构名单,区别在于,个人信息保护合规审计制度下的专业机构系推荐性质,企业如经综合考虑,选择了监管部门推荐目录之外的专业机构开展合规审计,亦属于《办法》所允许的范围。
针对此等专业机构的专业要求,结合《办法》第8条及《办法》附件“个人信息保护合规审计参考要点”之规定,除极少部分审计要点涉及信息安全能力、技术措施能力验证等偏技术外[2],开展个人信息保护合规审计的绝大部分要点仍集中在法律符合性的审查和评价,因此,企业可选择长期从事个人信息保护合规工作且在该领域有全面法律服务能力的机构,例如第三方律所或咨询公司等作为专业机构,协助开展合规审计工作。
最后,需要注意,实践中企业可能基于长期、友好的合作关系,而愿意选择同一家专业机构持续提供审计支持,但基于独立性、客观性的考量,《办法》第12条提出专业机构“连续为同一审计对象开展个人信息保护合规审计不得超过三次”,我们理解,企业同样应将该要求作为每次开展合规审计前选定专业机构的考虑因素,避免因违反《办法》的法定要求,导致相关审计结论失去效力。
[注]
[1]《办法》第4条。
[2] 例如《办法》第8条“(四)调查相关业务活动及所依赖的信息系统;(五)检查、测试个人信息处理活动相关设备设施”,以及《办法》附件“个人信息保护合规审计参考要点”第22条,“个人信息处理者应当采取与所处理个人信息规模、类型相适应的安全技术措施,并对个人信息处理者采取的技术措施的有效性进行评价”。
来源:中伦视界微信公众号
附文 国家互联网信息办公室关于《个人信息保护合规审计管理办法(征求意见稿)》公开征求意见的通知
为指导、规范个人信息保护合规审计活动,根据《中华人民共和国个人信息保护法》等法律法规,国家互联网信息办公室起草了《个人信息保护合规审计管理办法(征求意见稿)》,现向社会公开征求意见。公众可以通过以下途径和方式提出反馈意见:
1.登录中华人民共和国司法部 中国政府法制信息网(www.moj.gov.cn、www.chinalaw.gov.cn),进入首页主菜单的“立法意见征集”栏目提出意见。
2.通过电子邮件方式发送至:shujuju@cac.gov.cn。
3.通过信函方式将意见寄至:北京市海淀区阜成路15号国家互联网信息办公室网络数据管理局,邮编100048,并在信封上注明“个人信息保护合规审计管理办法征求意见”。
意见反馈截止时间为2023年9月2日。
附件:个人信息保护合规审计管理办法(征求意见稿)
国家互联网信息办公室
2023年8月3日
个人信息保护合规审计管理办法
(征求意见稿)
第一条 为指导、规范个人信息保护合规审计活动,提高个人信息处理活动合规水平,保护个人信息权益,根据《中华人民共和国个人信息保护法》等法律、行政法规和国家有关规定,制定本办法。
第二条 个人信息处理者定期开展个人信息保护合规审计,或者按照履行个人信息保护职责的部门要求委托专业机构对其个人信息处理活动进行合规审计,以及对个人信息保护合规审计活动的监督管理适用本办法。
第三条 本办法所称个人信息保护合规审计,是指对个人信息处理者的个人信息处理活动是否遵守法律、行政法规的情况进行审查和评价的监督活动。
第四条 处理超过100万人个人信息的个人信息处理者,应当每年至少开展一次个人信息保护合规审计;其他个人信息处理者应当每二年至少开展一次个人信息保护合规审计。
第五条 个人信息处理者自行开展个人信息保护合规审计,可根据实际情况,由本组织内部机构或者委托专业机构按照本办法要求开展。
第六条 履行个人信息保护职责的部门在履行职责中,发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,可以要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。
第七条 个人信息处理者按照履行个人信息保护职责的部门要求开展个人信息保护合规审计的,应当在收到通知后尽快按照要求选定专业机构进行个人信息保护合规审计。
第八条 个人信息处理者按照履行个人信息保护职责的部门要求委托专业机构开展个人信息保护合规审计的,应当保证专业机构能够正常行使下列权限:
(一)要求提供或者协助查阅相关文件或资料;
(二)进入个人信息处理活动相关场所;
(三)观察场所内发生的个人信息处理活动;
(四)调查相关业务活动及所依赖的信息系统;
(五)检查、测试个人信息处理活动相关设备设施;
(六)调取、查阅个人信息处理活动相关数据或信息;
(七)访谈与个人信息处理活动有关的人员;
(八)就相关问题进行调查、质询和取证;
(九)其他开展合规审计工作所必需的权限。
第九条 个人信息处理者按照履行个人信息保护职责部门要求委托专业机构开展个人信息保护合规审计的,应当在90个工作日内完成个人信息保护合规审计;情况复杂的,报经履行个人信息保护职责的部门批准后可适当延长。
第十条 个人信息处理者按照履行个人信息保护职责部门要求委托专业机构开展个人信息保护合规审计的,应当按照本办法要求组织实施个人信息保护合规审计,在实施必要合规审计程序后,及时将专业机构出具的个人信息保护合规审计报告报送履行个人信息保护职责的部门。个人信息保护合规审计报告应当由合规审计负责人、专业机构负责人签字并加盖专业机构公章。
第十一条 个人信息处理者按照履行个人信息保护职责的部门要求委托专业机构开展个人信息保护合规审计的,应当按照专业机构给出的整改建议进行整改,经专业机构复核后将整改情况报送履行个人信息保护职责的部门。
第十二条 执行个人信息保护合规审计的专业机构应当保持独立性和客观性,连续为同一审计对象开展个人信息保护合规审计不得超过三次。
第十三条 国家网信部门会同公安机关等国务院有关部门按照统筹规划、合理布局、择优推荐的原则建立个人信息保护合规审计专业机构推荐目录,每年组织开展个人信息保护合规审计专业机构评估评价,并根据评估评价情况动态调整个人信息保护合规审计专业机构推荐目录。
鼓励个人信息处理者优先选择推荐目录中的专业机构开展个人信息保护合规审计活动。
第十四条 专业机构在从事个人信息保护合规审计活动时,应当诚信正直,公正客观地作出合规审计职业判断。
专业机构不得转包委托第三方开展个人信息保护合规审计。
专业机构在履行个人信息保护合规审计职责中获得的信息,只能用于个人信息保护合规审计的需要,不得用于其他用途;专业机构应当对获得的信息承担保密责任;专业机构应当采取相应技术措施和其他必要措施,保障数据安全。
专业机构在履行个人信息保护合规审计职责时不得恶意干扰个人信息处理者的正常经营活动。
专业机构有出具虚假、失实报告等违规行为的,个人信息处理者及相关方可向履行个人信息保护职责的部门进行投诉,经履行个人信息保护职责的部门核实的,永久禁止列入个人信息保护合规审计专业机构推荐目录。
第十五条 违反本办法规定的,依据《中华人民共和国个人信息保护法》等法律法规处理;构成犯罪的,依法追究刑事责任。
第十六条 本办法由国家互联网信息办公室负责解释,自 年 月 日起施行。
附件:个人信息保护合规审计参考要点
个人信息保护合规审计参考要点
第一条 本要点依据《中华人民共和国个人信息保护法》等法律、行政法规和国家标准的强制性要求制定,为开展个人信息保护合规审计提供参考。
第二条 个人信息保护合规审计应当首先审查个人信息处理活动的合法性基础条件,重点审查下列事项:
(一)处理个人信息是否取得个人同意,该同意是否在个人信息主体充分知情的前提下自愿、明确作出;
(二)基于个人同意处理个人信息,个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,是否重新取得个人同意;
(三)基于个人同意处理个人信息,是否为个人提供便捷的撤回同意的方式;
(四)基于个人同意处理个人信息,是否对个人同意的操作进行记录;
(五)基于个人同意处理个人信息,是否存在以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务的情况;处理个人信息属于提供产品或者服务所必需的除外;
(六)处理个人信息未取得个人同意,是否属于法律、行政法规规定不需取得个人同意的情形。
第三条 对个人信息处理规则进行审计时,应当重点审查下列事项:
(一)是否真实、准确、完整地告知个人信息处理者的名称或者姓名和联系方式;
(二)是否以清单形式列明所收集的个人信息及其处理目的、方式、范围;
(三)是否明确个人信息存储期限或者存储期限的确定方法、到期后的处理方式,以及确保存储期限为实现处理目的所必要的最短时间;
(四)是否明确个人查阅、复制、加工、转移、更正、补充、删除、公开、限制处理个人信息以及注销账号、撤回同意的途径和方法;
(五)向第三方提供个人信息的,是否明确向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,是否取得个人的单独同意;
(六)法律、行政法规规定的其他事项。
第四条 个人信息处理者处理个人信息应当履行告知义务,审计时应当重点审查下列事项:
(一)个人信息处理者在处理个人信息前,是否以显著方式、清晰易懂的语言真实、准确、完整地向个人告知个人信息处理规则;
(二)告知文本的大小、字体和颜色是否便于个人完整阅读告知事项;
(三)线下告知是否通过标注、说明等多种方式向个人履行告知义务;
(四)在线告知是否提供文本信息或者通过适当方式向个人履行告知义务;
(五)个人信息处理规则发生变更的,是否将变更内容及时告知个人。
第五条 个人信息处理者存在与他人共同处理个人信息情形的,应当重点审查下列事项:
(一)是否约定各自的权利义务;
(二)各方采取的个人信息保护措施;
(三)个人信息权益保护机制;
(四)个人信息安全事件报告机制;
(五)侵害个人信息权益造成损害的,各方应当承担的责任;
(六)其他法律、行政法规规定需要约定的权利和义务。
第六条 个人信息处理者存在委托处理个人信息情形的,应当重点审查下列事项:
(一)个人信息处理者在委托处理个人信息前,是否开展个人信息保护影响评估;
(二)个人信息处理者与受托人签订的合同,是否约定了委托处理的目的、期限、方式及个人信息的种类、受托人应当采取的技术措施和管理措施、双方的权利义务等;
(三)个人信息处理者是否采取定期检查等方式,对受托人的个人信息处理活动进行监督,以确保委托处理个人信息的活动符合法律规定;
(四)受托人是否严格按照委托合同的约定处理个人信息,是否存在超出约定的处理目的、处理方式处理个人信息的情况;
(五)当委托合同不生效、无效、被撤销或者终止时,受托人是否将个人信息返还个人信息处理者或者予以删除;
(六)受托人是否存在转委托他人处理个人信息的情况,是否得到个人信息处理者的同意。
第七条 个人信息处理者存在因合并、重组、分立、解散、被宣告破产等原因需要转移个人信息情形的,应当重点审查下列事项:
(一)个人信息处理者是否向个人告知接收方的名称或者姓名和联系方式;
(二)接收方是否继续履行个人信息处理者的义务;
(三)接收方变更原先处理目的、处理方式的,是否依照法律、行政法规有关规定重新取得个人同意。
第八条 个人信息处理者存在向其他个人信息处理者提供其处理的个人信息的,应当重点审查下列事项:
(一)是否取得个人的单独同意;
(二)是否向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类;
(三)接收方是否在双方约定的处理目的、处理方式和个人信息的种类等范围内处理个人信息;
(四)变更处理目的、处理方式的,是否依照法律、行政法规规定重新取得个人同意;
(五)是否事前进行个人信息保护影响评估。
第九条 个人信息处理者利用自动化决策处理个人信息的,审计时应当重点评价自动化决策的透明度和结果的公平性、公正性:
(一)是否事前主动告知个人自动化决策处理个人信息的种类及可能带来的影响;
(二)是否事前对算法模型进行安全评估,并按国家相关规定进行备案,以尽可能减少自动化决策算法模型存在的缺陷,当应用场景和主要功能发生变化时,是否对算法模型重新进行评估;
(三)是否事前对算法模型进行科技伦理审查;
(四)是否事前进行个人信息保护影响评估;
(五)是否向用户提供保障机制,以便用户可以通过便捷方式拒绝通过自动化决策方式作出对个人权益有重大影响的决定,或要求个人信息处理者就应用自动化决策方式作出对用户个人权益有重大影响的决定予以说明;
(六)是否向用户提供删除或者修改用于自动化决策服务的针对其个人特征的用户标签功能;
(七)是否采取必要措施对算法和参数模型进行保护;
(八)是否对个人信息处理、标签管理、模型训练等自动化决策过程中的人工操作进行记录,防范人为恶意操纵自动化决策信息和结果;
(九)向个人进行信息推送、商业营销时,是否同时提供不针对个人特征的选项,或者提供便捷的拒绝自动化决策服务的方式;
(十)是否采取了有效措施,防止自动化决策根据消费者的偏好、交易习惯等对个人在交易条件上实行不合理的差别待遇;
(十一)其他可能影响自动化决策的透明度和结果公平、公正的事项。
第十条 个人信息处理者存在公开其处理的个人信息情形的,应当重点审查下列事项:
(一)个人信息处理者公开其处理的个人信息前是否取得个人单独同意,该授权是否真实、有效,是否存在违背个人意愿将个人信息予以公开的情况;
(二)个人信息处理者公开个人信息前,是否进行了个人信息保护影响评估。
第十一条 个人信息处理者在公共场所安装图像采集、个人身份识别设备的,应当重点对其安装图像采集、个人信息身份识别设备的合法性及所收集个人信息的用途进行审查。审查内容包括但不限于:
(一)是否为维护公共安全所必需,是否存在为商业目的处理所采集信息的情况;
(二)是否设置了显著的提示标志;
(三)若个人信息处理者所收集的个人图像、身份识别信息用于维护公共安全以外用途的,是否取得个人单独同意。
第十二条 个人信息处理者处理已公开个人信息的,审计时应当重点审查个人信息处理者是否存在下列违规行为:
(一)向已公开个人信息中的电子邮箱、手机号等发送与其公开目的无关的信息;
(二)利用已公开的个人信息从事网络暴力活动;
(三)处理个人明确拒绝处理的已公开个人信息;
(四)未取得个人同意处理已公开的个人信息对个人权益造成重大影响。
第十三条 个人信息处理者处理敏感个人信息的,审计时应当重点审查下列事项:
(一)处理生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等敏感个人信息的,是否事前取得个人的单独同意;
(二)处理不满十四周岁未成年人的个人信息,是否事前取得未成年人的父母或者其他监护人的同意;
(三)处理敏感个人信息的目的、方式是否合法、正当、必要;
(四)敏感个人信息处理是否与提供商品或者服务、履行法定职责或者法定义务等特定的目的密切相关,是否以非必要不处理为原则;
(五)是否在事前进行个人信息保护影响评估,并向个人告知处理敏感个人信息的必要性以及对个人权益的影响;
(六)法律、行政法规规定应当取得书面同意的,是否取得书面同意;
(七)是否对处理敏感个人信息的过程进行了记录,以保障处理敏感个人信息流程合法合规。
第十四条 个人信息处理者业务涉及处理不满十四周岁未成年人个人信息的,审计时应当重点审查下列事项:
(一)是否制定专门的未成年人个人信息处理规则;
(二)是否向未成年人及其监护人告知未成年人个人信息的处理目的、处理方式、处理必要性及处理个人信息的种类、所采取的保护措施等;
(三)是否存在强制要求未成年人或者其监护人同意非必要的个人信息处理的行为。
第十五条 个人信息处理者存在向境外提供个人信息情形的,应当重点审查下列事项:
(一)关键信息基础设施运营者和处理100万人以上个人信息的个人信息处理者向境外提供个人信息是否经过国家网信部门组织的安全评估;
(二)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的个人信息处理者向境外提供个人信息是否经过国家网信部门组织的安全评估;
(三)是否存在向外国司法或者执法机构提供存储于中华人民共和国境内的个人信息的情形,若有,是否经过中华人民共和国主管机关批准;
(四)中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的,是否按照其规定执行;
(五)是否按照国家网信部门的规定,经专业机构进行个人信息保护认证或者按照国家网信部门制定的标准合同与境外接收方签订合同,或者符合法律、行政法规、国家网信部门规定的其他条件;
(六)是否了解境外接收方所在国家或者地区的个人信息保护政策和网络安全环境对出境个人信息的影响;
(七)是否存在违规向被列入限制或者禁止个人信息提供清单的组织和个人提供个人信息的情形。
第十六条 个人信息处理者向境外提供个人信息,应当采取必要措施,保障境外接收方处理个人信息的活动达到《中华人民共和国个人信息保护法》规定的个人信息保护标准。审计时应当重点审查个人信息处理者对境外接收方采取监督措施的有效性,包括但不限于:
(一)是否了解和掌握境外接收方的情况,特别是接收方是否具备必要的个人信息保护能力;
(二)是否向境外接收方告知我国法律、行政法规对个人信息保护的要求,并要求境外接收方采取相应的保护措施;
(三)是否采取签订协议、定期核查等方式,督促境外接收方切实履行个人信息保护义务。
第十七条 对个人信息删除权保障情况进行审计时,应当重点审查下列情形个人信息删除的情况:
(一)个人信息处理目的已实现、无法实现或者为实现处理目的不再必要;
(二)停止提供产品或者服务,或者个人注销账号;
(三)达到与个人约定的存储期限;
(四)个人撤回同意;
(五)因使用自动化采集技术等,无法避免采集到非必要个人信息或者未经同意的个人信息;
(六)个人信息处理者违反法律、行政法规或者违反约定处理个人信息。
法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,个人信息处理者应当停止除存储和采取必要的安全措施之外的处理。
第十八条 个人信息处理者应当保障个人行使个人信息权益的权利,审计时应当重点审查下列事项:
(一)是否建立个人行使权利的申请受理机制;
(二)是否向个人提供便捷的查阅、复制、转移、更正、补充、删除个人信息的方法;
(三)是否及时响应个人行使权利的申请,是否及时、完整、准确告知处理意见或者执行结果。
第十九条 个人信息处理者应当响应个人申请,对其个人信息处理规则进行解释说明,审计时应当重点对下列内容进行评价:
(一)个人信息处理者是否提供便捷的方式和途径,接受、处理个人关于个人信息处理规则解释说明的要求;
(二)接到个人的要求后,个人信息处理者是否在合理的时间内,使用通俗易懂的语言对其个人信息处理规则作出解释说明。
第二十条 个人信息处理者对个人信息保护承担主体责任,审计时应当重点对个人信息处理者履行主体责任情况进行评价,包括但不限于下列事项:
(一)个人信息保护制度制定、组织架构、管理程序与处理个人信息的性质、规模、复杂程度、风险程度的适应性;
(二)个人信息保护职责分工是否合理、职责是否明确、报告关系是否清晰;
(三)个人信息处理者为个人信息保护提供的人、财、物保障与企业业务规模、运营计划、个人信息合规风险管理的匹配性。
第二十一条 个人信息处理者应当依照法律、行政法规的规定制定内部管理制度和操作规程,明确组织架构、岗位职责,建立工作流程、完善内控制度,保障个人信息处理合规与安全。审计时,应当重点对个人信息处理者个人信息保护内部管理制度和操作规程进行审查,包括但不限于:
(一)个人信息保护工作的方针、目标、原则是否符合法律、行政法规规定;
(二)个人信息保护组织架构、人员配备、行为规范、管理责任是否与应当履行的个人信息保护责任相适应;
(三)是否根据个人信息的种类、来源、敏感程度、用途等,对个人信息进行分类,并采取有针对性的管理或者安全技术措施;
(四)是否建立个人信息安全事件应急响应机制;
(五)是否建立个人信息保护影响评估、合规审计制度;
(六)是否建立畅通的个人信息保护投诉举报受理流程;
(七)是否制定实施个人信息保护安全教育和培训计划;
(八)是否建立个人信息保护负责人及相关人员履职评价制度;
(九)是否建立针对个人信息处理相关人员的个人信息违规处置或者违规行为责任制度,并有效实施;
(十)法律、行政法规规定的其他内容。
第二十二条 个人信息处理者应当采取与所处理个人信息规模、类型相适应的安全技术措施,并对个人信息处理者采取的技术措施的有效性进行评价,评价内容包括但不限于:
(一)是否参照有关国家标准或者技术要求,采取相应安全技术措施实现个人信息的保密性、完整性、可用性;
(二)是否采取加密、去标识化等安全技术措施,确保在不借助额外信息的情况下,消除或者降低个人信息的可识别性;
(三)采取的安全技术措施能否合理确定有关人员查阅、复制、传输等个人信息的操作权限,减少个人信息在处理过程中未经授权的访问和滥用风险。
第二十三条 对个人信息处理者教育培训计划的制定和实施情况进行审计时,应当重点对下列事项进行评价:
(一)是否按计划对管理人员、技术人员、操作人员、全员开展相应的安全教育和培训,是否对相应人员的个人信息保护意识和技能进行考核;
(二)培训内容、培训方式、培训对象、培训频率等能否满足个人信息保护需要。
第二十四条 处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,对个人信息处理活动的合规性负责。审计时,应当重点审查下列事项:
(一)个人信息保护负责人是否具有相关的工作经历和专业知识,熟悉个人信息保护相关法律、行政法规;
(二)个人信息保护负责人是否具有明确清晰的职责,是否被赋予充分的权限协调组织内个人信息处理相关部门与人员;
(三)个人信息保护负责人是否有权提名个人信息保护团队负责人,并与其保持顺畅的沟通和联系;
(四)个人信息保护负责人在个人信息处理重大事项决策前是否有权提出相关意见和建议;
(五)个人信息保护负责人是否有权对组织内部个人信息处理的不合规操作进行制止和采取必要的纠正措施;
(六)个人信息处理者是否公开个人信息保护负责人的联系方式,并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门。
第二十五条 对个人信息处理者开展个人信息保护影响评估情况进行审计时,应当重点对影响评估开展情况和评估内容进行审查:
(一)是否依照法律、行政法规的规定,在进行对个人权益具有重大影响的个人信息处理活动前通过个人信息保护影响评估;
(二)是否对个人处理活动的合法性、正当性和必要性进行了分析评估,是否存在过度收集个人信息的情况;
(三)是否对限制个人自主决定权、引发差别性待遇、导致个人名誉受损或者遭受精神压力、造成人身财产受损等安全风险进行了分析评估;
(四)是否对所采取的保护措施的合法性、有效性、适应性进行了分析评估;
(五)个人信息保护影响评估报告和处理记录是否至少保存三年。
第二十六条 个人信息处理者应当制定个人信息安全事件应急预案。审计时,应当对应急预案的全面性、有效性、可执行性作出评价,包括但不限于下列内容:
(一)是否结合业务实际,对面临的个人信息安全风险作出了系统评估和预测;
(二)指导思想、基本策略,组织机构、人员,技术、物资保障及指挥处置程序、应急和支持措施等是否足以应对预测的风险;
(三)是否对相关人员进行应急预案培训,定期对应急预案进行演练。
第二十七条 对个人信息处理者个人信息安全事件应急响应处置情况进行评价时,应当重点考虑下列因素:
(一)是否按照应急预案、操作规程及时查明个人信息安全事件的影响、范围和可能造成的危害,分析、确定事件发生的原因,提出防止危害扩大的措施方案;
(二)是否建立通报渠道,能否在事件发生后72小时内通知履行个人信息保护职责的部门和个人;
(三)是否采取相应措施将个人信息安全事件可能造成的损失和可能产生的危害风险降低到最小。
第二十八条 大型互联网平台运营者应当成立主要由外部成员组成的独立机构对个人信息保护情况进行监督。审计时,应当对独立机构的独立性、履职能力、监督作用等进行评价。
(一)评价独立机构对个人信息保护情况进行监督的独立性,重点审查外部成员与个人信息处理者及其主要股东是否存在可能妨碍其进行独立客观判断的关系;
(二)评价外部成员的履职能力,重点审查外部成员是否具备相应的专业知识、能力和经验,能否对个人信息处理者的个人信息保护情况进行监督、指导,发表客观公正的意见建议;
(三)评价独立机构的监督作用,重点审查独立机构在个人信息处理者合规制度体系建设、平台规则制定、重大个人信息安全事件处置、督促企业履行社会责任等方面发挥的作用。
第二十九条 针对大型互联网平台规则,应当重点审计下列事项:
(一)评价平台规则的合法合规性,是否存在与法律、行政法规相抵触的情况;
(二)评价平台规则的公平公正性,是否存在恶意竞争、影响消费者权益等违反公平竞争原则、诚实信用原则、公序良俗的内容;
(三)评价平台规则个人信息保护条款的有效性,是否合理界定了平台、平台内产品或者服务提供者的个人信息保护权利和义务,是否对平台内经营者处理个人信息行为进行规范,平台内经营者的个人信息保护义务是否明确;
(四)检查平台规则的执行情况,通过抽样等方式验证平台规则是否被有效执行。
第三十条 大型互联网平台运营者应当对其平台内产品或者服务提供者的个人信息处理活动进行监督。审计时,应当重点审查下列事项:
(一)是否定期审核平台内产品或者服务提供者个人信息处理规则的合法性、合理性;
(二)是否定期对平台内产品或者服务提供者处理个人信息遵守法律、行政法规情况进行审核;
(三)对于严重违反法律、行政法规处理个人信息的产品或者服务提供者,平台是否及时停止向其提供服务。
第三十一条 大型互联网平台运营者应当每年发布个人信息保护社会责任报告。审计时,应当重点审查社会责任报告下列内容的披露情况:
(一)个人信息保护组织架构和内部管理情况;
(二)个人信息保护能力建设情况;
(三)个人信息保护措施和成效;
(四)个人行使权利的申请受理情况;
(五)独立监督机构履职情况;
(六)重大个人信息安全事件处理情况;
(七)法律、行政法规规定的其他情况。返回搜狐,查看更多
责任编辑: