企业个人信息保护合规审计:焦点问题解读
编者按:
2023年8月3日,国家互联网信息办公室发布《个人信息保护合规审计管理办法(征求意见稿)》及配套文件《个人信息保护合规审计参考要点》,明确企业开展个人信息保护合规审计的频次与规则,并提供实务指导。
未来在实务中,个人信息保护合规审计将面临挑战,包括专业机构如何保持独立性、如何处理因审计而获得的个人信息等。针对这些问题,本文结合相关法规提出解读建议。
哪些情形会触发个人信息保护合规审计?
根据《办法》及相关法规,企业开展个人信息保护合规审计分为“定期审计”和“监管审计”两种类型:
- 定期审计:需每年或每两年进行一次,具体周期如下:
- 处理100万以上个人信息的企业:每年至少一次
- 其他企业:每两年至少一次 - 监管审计:当监管部门发现以下情况时可要求企业开展:
- 用户投诉
- 公益诉讼
- 数据泄露等安全事件
- 日常履行数据义务时暴露风险
- 媒体曝光引发监管关注
- 上线高风险新产品或服务
- 执法检测中发现问题
哪些企业或行业最需重视合规审计?
下列企业在个人信息保护方面面临更高监管压力,因此对合规审计的需求更为迫切:
- 大型互联网平台企业:面临更高标准合规要求;
- 处理敏感个人信息的企业(如人脸识别、金融数据、遗传资源、健康医疗);
- 涉及高频跨境传输、数据交易或融合操作的企业;
- 遭遇数据泄露、投诉、公益诉讼等风险事件的企业。
如何确定个人信息保护合规审计范围?
审计范围取决于审计目标和启动原因:
- 面向企业整体的审计:适用于年度定期审计,覆盖制度建设、组织架构、安全能力、数据生命周期管理等方面。
- 特定处理活动的审计:适用于监管触发或企业自主发起的情况,聚焦高风险场景,如跨境数据处理、特定产品服务等。
如何理解“参考要点”的作用?h3>
虽然《参考要点》仅为部门指导意见,但其依据法律、行政法规和国家标准制定,体现了监管部门对企业合规基准的考量。未来可能成为实质审计标准的重要依据。
合规审计应依据什么标准?
审计标准即为合规对照的基础。对于“定期审计”,标准是企业是否符合现行法律、行政法规的要求;而对于“监管审计”,可能进一步包含部门规章或强制性国家标准。
内审还是外审更合适?
- 第三方外审:适合高风险或需要确保公正性的审计,由具备经验的专业机构完成,更具独立性。
- 内审:可用于日常监督或特定项目审计,成本较低,但缺乏外部视角。
审计范围应以审计目标为导向,不因审计主体的不同而变化。
如何选择合适的审计机构?
目前主要存在三类适合开展个人信息保护合规审计的机构:
- 律师事务所:擅长法律合规性审查,具有法律条文解读优势;
- 技术机构:熟悉信息安全与技术措施,适合因数据泄露等问题导致的安全审计;
- 传统审计机构:流程熟悉、经验丰富,适合系统化审计项目。
综合三种类型的机构共同参与可能是最佳方案,也可根据实际情况有针对性地选取。
---