個人信息保護合規(guī)審計是指對個人信息處理者的個人信息處理活動是否符合法律���、行政法規(guī)的規(guī)定進(jìn)行審查和評價的監(jiān)督活動。《中華人民共和國個人信息保護法》第五十四條�����、第六十四條為合規(guī)審計提供了法律依據(jù)?��!秱€人信息保護合規(guī)審計管理辦法》(以下簡稱《辦法》)則進(jìn)一步細(xì)化了審計的具體實施規(guī)則�����,標(biāo)志著我國個人信息保護監(jiān)管體系進(jìn)一步完善�。
全球范圍看�,合規(guī)審計已經(jīng)成為個人信息保護領(lǐng)域的標(biāo)配。美國聯(lián)邦貿(mào)易委員會早在2010年代便通過行政和解協(xié)議的方式要求谷歌和臉書通過第三方進(jìn)行隱私審計���。富有影響力的歐盟《通用數(shù)據(jù)保護條例》同樣較早地引入了數(shù)據(jù)保護審計制度�����。除美國和歐盟外����,俄羅斯《聯(lián)邦個人數(shù)據(jù)法》���、印度《數(shù)字個人數(shù)據(jù)保護法》等新近個人信息保護立法都納入了合規(guī)審計相關(guān)內(nèi)容���。然而,全球范圍內(nèi)對個人信息保護領(lǐng)域?qū)徲嬛贫鹊淖罴褜嵺`尚未獲得共識����。立足于中國的數(shù)字經(jīng)濟與監(jiān)管經(jīng)驗�����,《辦法》在以下方面給出了中國方案�����。
其一��,明確審計的類型與形式�。《辦法》將個人信息保護合規(guī)審計分為兩類:一是個人信息處理者自行定期開展的合規(guī)審計���,二是依據(jù)履行個人信息保護職責(zé)的部門要求開展的合規(guī)審計�。針對這兩類審計�,《辦法》規(guī)定了不同的審計頻率與觸發(fā)條件。處理個人信息超過1000萬人的個人信息處理者需每兩年至少進(jìn)行一次審計�����,其他個人信息處理者沒有強制要求���;對于依部門要求開展的審計�����,以發(fā)現(xiàn)較大風(fēng)險或發(fā)生安全事件為觸發(fā)條件�。通過區(qū)分審計類型并細(xì)化要求,《辦法》實現(xiàn)了“定期體檢”與“專項檢查”相結(jié)合的雙重監(jiān)管效果���。這種分類設(shè)計不僅有助于提高審計的針對性����,還能夠有效平衡監(jiān)管效率與企業(yè)負(fù)擔(dān)��。
其二�����,強化審計的獨立性與專業(yè)性�����。全球范圍看����,合規(guī)審計在美國���、歐盟等法域已有所嘗試���,但過往域外針對谷歌��、臉書的審計要求多流于形式�,僅在于披露其存在個人信息保護的內(nèi)部程序���,而非實質(zhì)效果�?���!掇k法》從獨立性與專業(yè)性兩方面入手,確保審計的實效性��。獨立性方面����,《辦法》規(guī)定依部門要求開展的審計必須由第三方專業(yè)機構(gòu)進(jìn)行���,且同一機構(gòu)連續(xù)服務(wù)同一對象的次數(shù)不得超過三次。這一規(guī)定有效避免了審計機構(gòu)與被審計對象之間可能存在的利益關(guān)聯(lián)�,確保審計結(jié)果的客觀公正。專業(yè)性方面�����,《辦法》規(guī)定專業(yè)機構(gòu)應(yīng)當(dāng)具備開展個人信息保護合規(guī)審計的能力����,有與服務(wù)相適應(yīng)的審計人員��、場所、設(shè)施和資金等���,并鼓勵相關(guān)專業(yè)機構(gòu)通過認(rèn)證����。個人信息處理者應(yīng)當(dāng)為專業(yè)機構(gòu)正常開展個人信息保護合規(guī)審計工作提供必要支持���,并承擔(dān)審計費用�����。專業(yè)機構(gòu)還需確保其誠信正直�����、公正客觀地作出合規(guī)審計職業(yè)判斷��。上述規(guī)定有助于提升審計結(jié)果的公信力,推動個人信息保護合規(guī)審計從形式化向?qū)嵸|(zhì)化轉(zhuǎn)變���,提升合規(guī)審計的專業(yè)水平。
其三��,規(guī)范依部門要求開展的審計程序�。針對風(fēng)險較大或發(fā)生安全事件時的審計�����,《辦法》明確了職責(zé)部門����、個人信息處理者與專業(yè)機構(gòu)之間的協(xié)作程序��。個人信息處理者在完成合規(guī)審計后,應(yīng)當(dāng)將專業(yè)機構(gòu)出具的個人信息保護合規(guī)審計報告報送履行個人信息保護職責(zé)的部門�,按照部門要求對合規(guī)審計中發(fā)現(xiàn)的問題進(jìn)行整改����,并在整改完成后向部門報送整改情況報告�����。這一程序體現(xiàn)了“受規(guī)制的自我規(guī)制”理念��,既發(fā)揮了專業(yè)機構(gòu)的專業(yè)優(yōu)勢,又滲透了職責(zé)部門的公益判斷���。通過這種協(xié)作機制���,《辦法》在提升審計效率的同時,也強化了監(jiān)管的針對性和實效性����。
其四�,避免審計對個人信息處理者造成不必要的負(fù)擔(dān)�����。《辦法》在確保審計效果的同時���,注重減輕個人信息處理者的負(fù)擔(dān)。對于定期審計��,個人信息處理者可自行決定是否采用第三方專業(yè)機構(gòu)審計�,靈活適應(yīng)自身業(yè)務(wù)狀況。對于專業(yè)機構(gòu)進(jìn)行的審計�,《辦法》特別要求專業(yè)機構(gòu)對在履行個人信息保護合規(guī)審計職責(zé)中獲得的個人信息、商業(yè)秘密����、保密商務(wù)信息等應(yīng)當(dāng)依法予以保密,不得泄露或者非法向他人提供�����,在合規(guī)審計工作結(jié)束后及時刪除相關(guān)信息�����。
其五���,建立全面的審計指引。《辦法》的附件部分詳細(xì)列出了審計指引���,涵蓋個人信息處理的合法性基礎(chǔ)��、處理規(guī)則����、告知義務(wù)����、共同處理與委托處理情形、個人信息轉(zhuǎn)移等多個方面�����,全面反映了《中華人民共和國個人信息保護法》的義務(wù)體系,并提供了更具操作性的指引�。目前�����,我國有關(guān)個人信息保護合規(guī)審計的標(biāo)準(zhǔn)化工作正在進(jìn)行,上述參考要點為各層級技術(shù)標(biāo)準(zhǔn)的進(jìn)一步落地與實操提供了重要的引導(dǎo)����。指引的設(shè)置有力預(yù)防了個人信息處理者對《中華人民共和國個人信息保護法》及配套行政法規(guī)的目標(biāo)虛置����,同時為技術(shù)標(biāo)準(zhǔn)的細(xì)化提供了焦點。
《辦法》的出臺是我國個人信息保護領(lǐng)域立法和監(jiān)管體系的重要補充����,標(biāo)志著我國在個人信息保護合規(guī)治理方面邁出了實質(zhì)性的一步。作為《中華人民共和國個人信息保護法》的關(guān)鍵配套制度�����,該《辦法》首次系統(tǒng)性地構(gòu)建了個人信息處理活動的合規(guī)審計框架���,為個人信息處理者的合規(guī)實踐與監(jiān)管部門的執(zhí)法提供了具體指引���。從國際視角看��,《辦法》在借鑒國際經(jīng)驗的基礎(chǔ)上����,避免了合規(guī)審計的形式化�����,具有實質(zhì)提升個人信息權(quán)益保護的潛力�����?!掇k法》的公布不僅是我國個人信息保護法治化進(jìn)程的重要里程碑,也是推動數(shù)字經(jīng)濟高質(zhì)量發(fā)展�����、構(gòu)建信任社會的關(guān)鍵舉措�。未來,隨著《辦法》的施行��,我國個人信息保護工作將邁向更高水平�����,為數(shù)字經(jīng)濟的可持續(xù)發(fā)展和治理現(xiàn)代化注入新的動力。
作者:丁曉東 中國人民大學(xué)法學(xué)院教授�����、未來法治研究院副院長
(來源:"網(wǎng)信浙江”)
(鏈接:https://mp.weixin.qq.com/s/6t524qanprFXyBZCqg_JQA)