個人信息保護(hù)合規(guī)審計是監(jiān)督與評估個人信息處理者切實履行個人信息保護(hù)義務(wù)的重要制度?�!秱€人信息保護(hù)合規(guī)審計管理辦法》(以下簡稱《辦法》)的制定是以《中華人民共和國個人信息保護(hù)法》等法律法規(guī)為依據(jù)���,清晰且全面地規(guī)定了個人信息保護(hù)合規(guī)審計制度的具體實施方式����,有效平衡了個人信息安全保護(hù)和個人信息合理利用的雙重立法目標(biāo)?!掇k法》的出臺有利于推動個人信息保護(hù)義務(wù)的充分履行,顯著提升個人信息處理活動的透明性和合規(guī)性����,推動我國個人信息保護(hù)工作進(jìn)入全新階段,為全球個人信息保護(hù)治理實踐提供了有益的中國方案��。
在世界范圍內(nèi)����,各國正在普遍推進(jìn)個人信息保護(hù)合規(guī)審計制度的立法進(jìn)程�����。歐盟《通用數(shù)據(jù)保護(hù)條例》(GDPR)第二十八條�、第三十九條等條款均有提及數(shù)據(jù)保護(hù)審計制度的具體實施方式和義務(wù)主體范圍���。美國各州在各自立法權(quán)限內(nèi)也設(shè)置了不同的審計要求�����,如《加州消費者隱私法》(CCPA)針對存在重大風(fēng)險的企業(yè)���,明確每年應(yīng)當(dāng)進(jìn)行一次網(wǎng)絡(luò)安全審計。英國《數(shù)據(jù)保護(hù)法案》(DPA)和《信息專員辦公室(ICO)審計指南》中也提及了自愿性審計和強制性審計等數(shù)據(jù)保護(hù)審計的具體實施流程�����。
然而�����,個人信息保護(hù)合規(guī)審計與各國的個人信息保護(hù)體系密切相關(guān)��,目前并未形成完全統(tǒng)一的合規(guī)審計模式���?���!掇k法》以中國的個人信息保護(hù)實踐問題為導(dǎo)向,立足于中國的個人信息保護(hù)制度特點���,提供了不同于任何一個國家的“中國答案”��?��?偨Y(jié)而言���,該《辦法》的創(chuàng)新之處主要表現(xiàn)為以下四個方面��。
第一����,合理設(shè)置不同的審計模式����,有效避免過重的義務(wù)負(fù)擔(dān)。個人信息保護(hù)合規(guī)審計制度適用于所有類型的個人信息處理者���,然而這些主體的業(yè)務(wù)合規(guī)能力有所差別�����,并且其所處理的個人信息數(shù)量�、類型也不盡相同,所以��,《辦法》設(shè)置了外部審計和內(nèi)部審計兩種審計模式���。外部審計是指個人信息處理者委托外部的專業(yè)機構(gòu)進(jìn)行合規(guī)審計����;內(nèi)部審計是指個人信息處理者自行開展個人信息保護(hù)合規(guī)審計����。當(dāng)國家網(wǎng)信部門和其他履行個人信息保護(hù)職責(zé)的部門(以下統(tǒng)稱為保護(hù)部門)發(fā)現(xiàn)個人信息處理活動存在較大風(fēng)險,可能侵害眾多個人的權(quán)益或者發(fā)生個人信息安全事件時�,可以要求個人信息處理者采用外部審計模式。此外�,《辦法》明確規(guī)定處理超過1000萬人個人信息的個人信息處理者,應(yīng)當(dāng)每兩年至少開展一次個人信息保護(hù)合規(guī)審計����。這將有助于對個人信息處理者的安全風(fēng)險狀況進(jìn)行全方位�����、短周期地評估和審查��。
第二����,明確專業(yè)機構(gòu)�����、審計人員和審計活動的獨立客觀性�。個人信息保護(hù)合規(guī)審計制度最重要的環(huán)節(jié)是確保合規(guī)審計活動的獨立性和客觀性,這樣才能確保依據(jù)合規(guī)審計活動作出的審計結(jié)論能夠真實地反映個人信息處理者的業(yè)務(wù)合規(guī)情況�����,進(jìn)而對個人信息處理者提出針對性的審計建議��。在專業(yè)機構(gòu)方面�����,《辦法》設(shè)置了“同一專業(yè)機構(gòu)及其關(guān)聯(lián)機構(gòu)����、同一合規(guī)審計負(fù)責(zé)人不得連續(xù)三次以上對同一審計對象開展個人信息保護(hù)合規(guī)審計”的要求,背后的原因正是為了預(yù)防專業(yè)機構(gòu)在多次的合規(guī)審計活動中疏忽審計對象可能出現(xiàn)的新問題新情況���,也能夠有效避免專業(yè)機構(gòu)與審計對象之間形成“黑幕交易”���。在審計人員方面,《辦法》對審計人員的審計行為和職業(yè)操守作出了詳細(xì)規(guī)定�����,包括專業(yè)機構(gòu)主要負(fù)責(zé)人�����、合規(guī)審計負(fù)責(zé)人應(yīng)當(dāng)在審計報告上簽字并加蓋專業(yè)機構(gòu)公章�,專業(yè)機構(gòu)不得泄露或者非法向他人提供在履行個人信息保護(hù)合規(guī)審計職責(zé)中獲得的個人信息、商業(yè)秘密���、保密商務(wù)信息等�����。
第三��,細(xì)化個人信息保護(hù)合規(guī)審計的重點審查事項��。該《辦法》的一大亮點在于配套設(shè)置了個人信息保護(hù)合規(guī)審計的具體審查事項����,這些審查事項的設(shè)置以《中華人民共和國個人信息保護(hù)法》的具體規(guī)則作為上位法依據(jù),指明了個人信息保護(hù)業(yè)務(wù)合規(guī)的核心內(nèi)容�����。以知情同意規(guī)則為例��,在實踐中��,社會公眾對人臉識別技術(shù)應(yīng)用背后的個人信息處理規(guī)則不甚了解��,部分原因是個人信息處理者未能履行事前告知義務(wù)�,并獲取用戶單獨同意。那么按照該《辦法》所提出的合規(guī)審計標(biāo)準(zhǔn)��,即便個人信息處理者采用了用戶協(xié)議的形式予以告知��,但是倘若用戶協(xié)議內(nèi)容冗長晦澀�,這類行為不符合“以顯著方式、清晰易懂的語言真實���、準(zhǔn)確�、完整地向個人告知個人信息處理規(guī)則”審查要求�,屬于典型的業(yè)務(wù)合規(guī)不到位。
第四���,充分發(fā)揮合規(guī)審計的監(jiān)督和整改效果����。該《辦法》明確要求個人信息處理者按照保護(hù)部門要求開展個人信息保護(hù)合規(guī)審計的���,應(yīng)當(dāng)對合規(guī)審計中發(fā)現(xiàn)的問題進(jìn)行整改�����,在整改完成后15個工作日內(nèi)�����,向保護(hù)部門報送整改情況報告�。該要求凸顯了合規(guī)審計的核心功能之一是通過客觀公正的審計活動評估風(fēng)險���、發(fā)現(xiàn)問題�����,并為個人信息處理者提供更好的整改優(yōu)化建議��。因此���,個人信息處理者不應(yīng)當(dāng)將此種制度視為額外的義務(wù)負(fù)擔(dān)����,而是另一種形式的業(yè)務(wù)合規(guī)優(yōu)化機制����。并且,為了實現(xiàn)個人信息保護(hù)合規(guī)的透明化��,該《辦法》還依據(jù)《中華人民共和國個人信息保護(hù)法》的規(guī)定將大型網(wǎng)絡(luò)平臺的個人信息保護(hù)社會責(zé)任報告納入審計事項���,形成了個人信息保護(hù)從落地實施到事后評估監(jiān)督的制度閉環(huán)�����,也讓社會公眾能夠更為直觀地了解到自己的個人信息究竟如何被處理和安全保護(hù)�。
個人信息保護(hù)合規(guī)審計制度的優(yōu)點在于��,通過獨立客觀的審計活動���,以《中華人民共和國個人信息保護(hù)法》等法律法規(guī)作為審計依據(jù)�,“逐條逐項”地確保個人信息保護(hù)制度落地落實�����。個人信息保護(hù)是一項長期性����、系統(tǒng)性和動態(tài)性的現(xiàn)代化治理活動,需要結(jié)合產(chǎn)業(yè)模式��、科技創(chuàng)新的實踐情況進(jìn)行同步規(guī)劃��、同步監(jiān)管�、同步更新。該《辦法》是我國個人信息保護(hù)立法工作的又一創(chuàng)新成果�����,有助于督促個人信息處理者切實保障好公民的個人信息權(quán)益�,高效促進(jìn)個人信息的合理利用和充分流動�����,夯實個人信息保護(hù)成效��。
作者:趙精武 北京航空航天大學(xué)法學(xué)院副教授����、院長助理
(來源:"網(wǎng)信浙江”)
(鏈接:https://mp.weixin.qq.com/s/0oBW1v97KX9yDh4bQlNs-Q)