2025年2月14日,国家互联网信息办公室正式发布了《个人信息保护合规审计管理办法》(下称“《办法》”),细化了《个人信息保护法》《网络数据安全管理条例》关于开展个人信息保护合规审计活动的规定,指引企业落实个人信息保护的合规审计义务。对于新出台的《办法》,许多企业尚不清楚个人信息保护合规审计是什么、自己是否需要开展审计、什么情况下需要开展审计、如何确定审计对象以及如何选择审计机构等。本文将结合相关标准,通过图表与举例解释《办法》中的合规要求,为企业识别审计需求、有效开展审计提供参考。
一、《办法》的出台背景及主要内容
早在2021年8月发布的《个人信息保护法》(下称“《个保法》”)中,个人信息保护合规审计(下称“个保审计”)就已明确为个人信息处理者的法定合规义务之一。除《个保法》外,今年1月1日施行的《网络数据安全管理条例》(下称“《网数条例》”)中也对网络数据处理者提出了合规审计的要求。然而无论是《个保法》还是《网数条例》,对审计义务的规定均为概括性表述,其中对于定期审计的频率、审计方式与标准、第三方审计专业机构资质等焦点问题久未有答案,导致许多企业和律师并不清楚如何落实个人信息保护合规审计要求。
因此,新《办法》的及时出台,旨在为个人信息处理者开展个人信息保护合规审计提供系统性、针对性、可操作性的规范,主要内容如下:
从《办法》对个人信息处理者违规责任的规定上看,2025年5月1日《办法》正式实施后,主管部门可以依照《个保法》《网数条例》等规定对违反《办法》的个人信息处理者、专业机构进行处罚。虽然《办法》尚未实施,但根据近年网信办等主管部门对其他违反《个保法》规定、未履行个人信息保护义务的相关处罚结果,可预见个保审计义务履行不到位的企业也将面临与违规收集个人信息等行为相近的高额罚款与整改要求。因此,企业应在《办法》生效前,尽快在企业内进行数据合规并开展个保审计,及时通过自查发现并纠正潜在的合规风险漏洞。
二、哪些企业应当进行审计?
根据《个保法》第54和64条、《办法》第2条等规定,个保审计是对企业的个人信息处理活动是否遵守法律、行政法规的情况进行审查与评价的监督活动,所有涉及个人信息处理活动的企业都应当定期自行开展个保审计或按照保护部门的要求开展个保审计。
企业如何判断自己是否为个人信息处理者?
若企业在个人信息处理活动中可以自主决定处理目的、处理方式则会被认定为个人信息处理者,包括个人信息的收集、存储、使用、加工、传输、提供、公开等活动。
因此,企业的当务之急是梳理、识别日常经营中是否涉及到个人信息的处理、涉及哪些类型的个人信息并计算个人信息处理的量级,以确认自身是否属于个人信息保护的合规义务主体,并确定相应需承担的合规义务。
三、企业在什么情况下需要开展个保审计?
企业开展个人信息保护合规审计分两种方式:⼀是自行开展合规审计,二是按照监管要求开展合规审计,不同情形下企业的个保审计要求也有所区别。企业在判断是否需要开展个保审计时,需要综合数据处理的体量、数据类型、处理主体的特殊性以及处理场景进行考量,具体可以参考下图总结。
四、企业需要对哪些内容进行审计?
虽然《个保法》《办法》并未明确审计的对象范围,但结合《办法》附件《个人信息保护合规审计指引》以及国标《数据安全技术 个人信息保护合规审计要求(征求意见稿)》(下称“《个保审计要求(意见稿)》”)中的审计要求,审计人员在编制审计方案阶段,应当结合以下因素确定审计的对象:
此外,个保审计的本质是对个人信息处理活动的合规性进行审查和评价,因此个保审计不只是法律要求,也是检测个人信息安全风险的手段之一,定期对重要系统进行个保审计,及时识别并整改管理漏洞,通过审计优化个人信息的安全管理效果。
对于企业而言,出于风险自查的考虑,也应当主动对外部性强、影响大的高风险场景开展合规审计,如涉及合法性基础、个人信息处理规则、第三方管理、数据跨境传输等,应被更为严格地审查。
五、企业应当如何选择审计机构?
说起审计,企业最熟悉的往往就是财务审计,然而个保合规审计基本上与财务部门并无关联,而是与法务部门、IT技术部门、合规风控部门、业务部门等熟悉数据合规标准、了解企业内部体系和业务场景的内部机构更为契合。
在选择审计机构时,企业应当首先根据审计情形进行判断,比如说开展监管审计时应委托外部的专业审计机构,自行审计时则可以选择由内部机构或外部专业审计机构开展。结合审计要求来看,在自行审计的情形中,由外部合规律师协助内部机构开展自行审计是更贴合法律要求与商业考量的安排。
《个保审计要求(意见稿)》中提到,个保审计应遵循合法性、独立性、客观性、全面性、公正性、保密性原则,这就要求审计人员至少符合以下要求:
(1)了解并遵守所有适用的法律法规要求;
(2)独立于具体被审计的个人信息处理活动;
(3)针对审计对象,应进行全面、系统的审计,进行综合、全面、系统的审查;
(4)保证审计证据的真实、完整、有效;
换言之,审计人员除了应保持独立性外,还应当具备开展个保审计的专业技术能力,保证审计的全面性与证据的客观性,这也是个保审计与其他审计的主要区别。参照全国网安标委于2025年3月公布的《网络安全标准实践指南——个人信息保护合规审计专业机构服务能力要求(征求意见稿)》规定,个保审计人员的技术能力包括:
由此可见,个保审计对审计人员的专业性要求是非常高的,审计人员最好具备个人信息保护相关检查、检测、评估、咨询等服务项目或任务的实施经验,以保证审计的充分、真实有效和全面。
因此,出于专业性、独立性以及合规成本的考量,建议企业委托合规律师协助内部机构开展合规审计。而且对于“提供重要互联网平台服务、用户数量巨大、业务类型复杂”的企业而言,其所有个保审计活动的开展都应受外部独立机构的监督,此时选择由合规律师作为机构成员也更符合该监督机制设立的法律内涵。
此外,企业还需注意避免连续三次以上委托同一专业机构及其关联机构、同一合规审计负责人对同一审计对象开展个保审计,否则将导致审计违规。
实习生黄粲对本文亦有贡献。
(原标题:研究|数字化转型下的企业必修新规:个人信息保护合规审计实操要点)
来源:德恒广州律师事务所
作者:张晓彤,德恒广州业务合伙人、律师;业务领域:复杂商事诉讼与仲裁、数据合规与个人信息保护、知识产权与不正当竞争纠纷、企业出海与合规、股权设计与公司治理;联系方式:zhangxt@dehenglaw.com
声明:本文内容由德恒广州律师事务所律师原创,仅代表作者本人观点,不得视为德恒广州律师事务所或其律师开具的正式法律意见或建议。