【定期合规审计义务】
【条文主旨】
本条是关于个人信息处理者定期合规审计义务的规定。
【条文理解】
本条规定了个人信息处理者的定期合规审计义务。合规审计是一种经济合规监督活动,是为了确定被审计单位是否遵守了有关的法律和上级监管部门制定的有关程序与规则而实施的审计[13],审计机构和审计人员依据国家法律、法规和财经制度对被审计单位的生产经营管理活动及其有关资料是否合规进行监督。个人信息保护法确立了个人信息处理者的合规审计制度。个人信息处理者对其个人信息处理活动的内部管理是个人信息处理者对其个人信息处理活动是否遵守法律、行政法规进行合规审计的重要前提。(https://www.daowen.com)
本条在表述上和本法草案二审稿基本一致,对一审稿第五十三条的内容进行了简化,语义表述上更加完善,将“审计”的形式明确为“合规审计”,本条中的“个人信息处理活动”包含“个人信息处理者对个人信息采取的保护措施等”活动。同时,一审稿第五十三条中关于“履行个人信息保护职责的部门”要求个人信息处理者委托专业机构审计的表述在二审稿中被删除,[14]文本逻辑更加通畅;在个人信息保护法第六十四条第一款中对该权力加以限制,规定履行个人信息保护职责的部门在履行职责中,发现个人信息处理活动存在较大风险或者发生个人信息安全事件时,可以选择法定代表人或者主要负责人“约谈”或者要求个人信息处理者委托专业机构对其个人信息处理活动进行“合规审计”。履行个人信息保护职责的部门行使“约谈”或“要求第三方审计”权力,需要两个条件,即“履行职责中”的时间条件和“个人信息处理活动存在较大风险或者发生个人信息安全事件”的程度条件。
合规审计制度的主要目的是维护国家财经法纪的严肃性,确保社会主义财产完好无损,检查财经纪律执行情况,揭露违法乱纪行为。因此,个人信息处理者应当积极履行定期合规审计义务,在进行合规审计时,审计机关可以根据审计决定,对违反财经法纪的单位和个人,予以经济制裁;对严重违反财经法纪的,可采取停止财政拨款、停止银行贷款等措施;有权建议对有关责任人员给予行政处分;触犯刑律的,由司法机关依法惩处。近年来我国正在加紧治理违法违规处理个人信息行为,2019年至2020年初,由全国信息安全标准化技术委员会、中国消费者协会、中国互联网协会、中国网络空间安全协会成立App专项治理工作组对App进行监管整治,国家各有关部门开展多项监管活动,达近800款中国企业持有、运营的App受到通报或要求整改、下架的处罚处理,其中公安部组织的“净网2019”专项行动依法查处的违法违规采集个人信息的App中,多数是因未公开收集个人信息的规则、私自收集个人信息、超越必要范围收集个人信息、实际收集的个人信息与业务功能无关等而构成违法违规行为。App进行个人信息处理活动应当遵循合法、正当、必要的原则,且应对收集、使用的用户个人信息的安全负责。
同时,合规审计制度也能够促进被审计单位遵守法律、法规、制度和合同,使个人信息处理者尽可能规避个人信息处理活动带来的风险。定期合规审计能够控制和避免个人信息处理者因处理个人信息不合规,引发法律纠纷,承担法律责任,从而造成经济、声誉等方面的负面影响及损失,同时也能对个人信息处理者的经营管理状况和经济效益起到改善和促进作用。因此,个人信息处理者应当定期委托专业机构对其自身个人信息治理的合规性进行审查,并根据审查结果进行整改。
【适用指南】
关于个人信息合规审计的内容,本条仅进行了原则性规定,要求个人信息处理者确保在日常运营和业务开展过程中的个人信息处理行为符合法律法规规定,具体内容应当包括个人信息在收集、储存、使用、加工、传输、提供、公开、删除等信息处理环节中的相关行为,遏制个人信息非法收集、滥用、泄露等违规行为,最大限度地保护个人信息权益[15]。2020年《信息安全技术 个人信息安全规范》第11.7条提出了较为详尽的审计要求:“对个人信息控制者的要求包括:a)应对个人信息保护政策、相关规程和安全措施的有效性进行审计;b)应建立自动化审计系统,监测记录个人信息处理活动;c)审计过程形成的记录应能对安全事件的处置、应急响应和事后调查提供支撑;d)应防止非授权访问、篡改或删除审计记录;e)应及时处理审计过程中发现的个人信息违规使用、滥用等情况;f)审计记录和留存时间应当符合法律法规的要求。”2020年工信部发布的《电信和互联网企业网络数据安全合规性评估要点》重点围绕机构人员、制度保障、分类分级、合规评估、权限管理、安全审计、合作方管理、应急响应、投诉处理、教育培训等方面开展评估。[16]在合规评估方面,要求将数据安全合规性评估作为企业数据安全管理的重要内容和抓手,按照“谁运营、谁主管、谁负责”的原则,开展企业整体数据安全保护水平评估并形成评估报告,评估内容包括但不限于数据安全制度建设情况、数据分类分级情况、数据安全事件应急响应水平,以及重点业务与系统数据合规处理情况、数据安全保障措施配备情况、合作方数据安全保护水平等;按年度开展核心数据处理活动平台系统数据安全合规性评估并形成评估报告,重点评估企业内部管理措施执行落实情况、平台建设运维部门及合作方数据安全保护措施配备情况等。在安全审计方面,要求对数据授权访问、批量复制、开放共享、销毁、数据接口调用等重点环节实施日志留存管理,日志记录至少包括执行时间、操作账号、处理方式、授权情况、IP地址、登录信息等,能够对识别和追溯数据操作和访问行为提供支撑。定期对日志进行备份,防止数据安全事件导致的日志被删除;加强企业数据安全审计管理,明确审计对象、审计内容、实施周期、结果规范、问题改进跟踪等要求。
关于合规审计义务的时间规定,目前法律并未明确规定个人信息处理审计的时间。2013年工信部制定的《电信和互联网用户个人信息保护规定》第十六条规定:“电信业务经营者、互联网信息服务提供者应当对用户个人信息保护情况每年至少进行一次自查,记录自查情况,及时消除自查中发现的安全隐患。”2020年发布的《电信和互联网企业网络数据安全合规性评估要点》规定:“企业数据安全管理责任部门或核心数据处理活动相关平台系统负责部门应配备日志安全审计员,加强日志访问和安全审计管理,至少每半年形成一份数据安全审计报告。”本条虽未直接规定个人信息处理者合规审计的时间和频率,但规定了定期审计制度,这也意味着个人信息保护法对个人信息处理者的监管将长期存在。
【相关规定】
《中华人民共和国个人信息保护法》第六十四条。