【约谈与审计】

第六十四条 【约谈与审计】

【条文主旨】

本条是关于在个人信息处理活动存在较大风险或者发生个人信息安全事件时主管部门可采取的约谈、要求合规审计措施的规定。

【条文理解】

一、约谈

履行个人信息保护职责的部门在履行职责的过程中，发现个人信息处理活动存在较大风险或者发生个人信息安全事件的，可以按照规定的权限和程序对该个人信息处理者的法定代表人或者主要负责人进行约谈，这种由行政管理主体对行政管理相对人进行的约谈是一种行政指导行为。本条为个人信息保护领域确立了约谈制度。

行政约谈即依法享有行政监督管理权的行政主体在发现其所监管的行政相对人出现问题后，为防止违法行为发生，在事先约定的时间、地点与行政相对人进行沟通协商，然后给予警示告诫的非强制性行政行为。^[2]2015年，国家网信办颁布《互联网新闻信息服务单位约谈工作规定》，要求网信办在网络新闻信息服务单位发生违法违规时约谈其负责人，指出问题进行警示谈话并责令其改正，在互联网信息监管领域确立了约谈制度。

约谈制度是我国在推动依法行政的过程中探索出来的重大制度创新，其在内容和作用上如同各类行政行为的综合体，在不同场景下有着不同的特征：相对于传统的行政处罚，行政约谈具有更大的柔性和灵活性；相对于传统的行政指导，有的行政约谈也有一定意义上的警示、惩戒意味。具体而言，其具有以下功能：一是警示告诫。约谈将向社会传递一种被约谈对象没有积极履行法律义务和责任的信息，影响其社会形象和信赖度，引起媒体及社会公众的持续关注和监督，具有警示告诫的作用。二是具有督促履行义务的功能。通过约谈要求约谈对象说明情况，分析原因，提出整改措施，有助于督促其落实责任。三是有助于落实个人信息保护相关制度。对于存在较大安全风险的个人信息处理者，通过约谈有助于其尽早采取有针对性的措施进行风险监测预警和分析控制。四是具有教育指导作用。通过面对面的沟通交流，约谈者可以了解被约谈对象的实际情况，可以采取更有效的指导措施，帮助被约谈对象履行义务，也有助于被约谈对象准确理解约谈者关切的问题和重点，采取更有针对性和更加符合监管要求的措施。^[3]正是行政约谈的这种综合性和灵活性，既能使得行政主体合理履行行政职能，避免行政主体的懒政或滥权，又能保护市场经济主体得以正常运营，避免牵一发而动全身，符合进一步要求完善国家行政体制、深化行政执法体制改革、最大限度减少不必要的行政执法事项并提高行政执法能力水平等要求。(https://www.daowen.com)

本条虽然规定了约谈制度并明确约谈应当按照规定的权限和程序进行，但对具体的权限和程序未作出明确规定，还需要在后续立法或主管部门的规定中予以明确。参考当前相关部门对互联网平台进行约谈的经验，一般分为约谈主体通知，召开约谈、针对问题强调，企业表态，事后监督等程序：“约谈主体通知”是指行政机关在行政约谈前拟定约谈主题、约谈提纲等信息，并通知行政相对人；“召开约谈、针对问题强调”是指在约谈时，行政主体首先表明身份并提出约谈问题，即指出被约谈对象存在的问题，提出具体要求，明确整改责任，督促被约谈对象自查自纠并按照要求进行整改；“企业表态”是指在非作为行政处罚行为的约谈时，被约谈对象通常可以发言，对自身存在的问题表示歉意和解释原因，并接受指导进行整改，这种对话方式能够推进双方之间的信息交流，避免以往缺乏交流刚性执法所带来的矛盾问题，并在双方的交流中交换意见；“事后监督”是指被约谈对象应当按照约谈方的要求采取措施，及时消除风险，妥善处置问题，加强和改进工作，防范类似问题再次发生，被约谈对象无正当理由不接受约谈、不接受整改意见或者不落实整改承诺的，约谈部门应当采取进一步的监管和追责措施。

二、合规审计

（一）触发条件

本条对于合规审计的规定与本法第五十四条相衔接，后者规定了个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计，为主动审计，而本条是在存在较大风险或者发生安全事件时所触发的被动审计，二者互相补充，构建了覆盖事前、事中和事后的合规审计制度。

一审稿中此两种合规审计被统一纳入第五十三条予以规定：“个人信息处理者应当定期对其个人信息处理活动、采取的保护措施等是否符合法律、行政法规的规定进行审计。履行个人信息保护职责的部门有权要求个人信息处理者委托专业机构进行审计。”可以看出，一审稿中对于被动审计的规定未明确触发条件和标准，最终立法将被动审计拆分至本条中，且规定了“存在较大风险或者发生个人信息安全事件”的触发标准，为企业提供了较一审稿更为清晰的条件，有利于澄清，设计更为科学。

（二）合规审计主体

第五十四条规定了个人信息处理者的定期审计义务，这一审计可以由个人信息处理者内部部门或人员进行，如审计部门、法务部门、合规部门、监察部门等，也可以委托外部机构进行，如律师事务所、会计师事务所等，而本条所规定的审计被明确规定为委托第三方机构进行审计。何为第三方审计机构目前尚未在立法上予以明确，需要后续立法进一步规定第三方机构需满足的资质与条件。

（三）合规审计内容

合规审计的性质是一种经济合规监督活动，主要指审计机构和审计人员依据国家法律、法规和财经制度，对被审计单位的生产经营管理活动及其有关资料是否合规所进行的一种监督活动。就其组织形式而言，审计一般分为内审和外审，前者是指企业内部设立的审计部门，后者是指第三方的审计机构。^[4]本法第五十四条规定，应对个人信息处理者遵守法律、行政法规的情况进行审计，因而本条所规定的外部第三方审计内容应与之相同，如刑法、网络安全法、民法典、数据安全法、未成年人保护法、出口管制法、电子商务法、消费者权益保护法、关键信息基础设施安全保护条例等。

对组织个人信息处理活动的合规要求具有综合性的内容。通常个人信息处理的合规要求是由作为或不作为的履行要求构成的，但有时合规要求也可能包括对履行结果符合性的要求。例如，网络安全法第十条、第四十二条、第五十条、第五十五条规定的“采取技术措施和其他必要措施”的合规义务，包含了“确保其收集的个人信息安全，防止信息泄露、毁损、丢失”的结果或状态的符合性要求。又如，加密传输、匿名化、去标识化等技术处理，包含了对加密、匿名化、去标识化结果的符合性要求。因此，个人信息保护合规往往意味着组织通过履行合规职责使其个人信息处理的过程和结果均符合要求。有时个人信息处理的合规要求也可能包含采取管理措施的要求，例如，将合规的意识与制度融入组织及其工作人员的文化、行为和态度，从而确保组织具备持续地满足合规要求和目标的管理体系。具体到合规审计实践中所考量的各项指标，根据中国科学技术法学会、中国法学交流基金会于2021年4月28日发布的团体标准《个人信息处理法律合规性评估指引》（T/CLAST 001—2021），主要包括合法性基础、手段合法、目的明确、目的限制、公开透明、告知、选择、权益保障、质量、安全保护、权责一致、可问责性等维度，覆盖个人信息在收集、存储、使用、共享、转让与公开披露等各个信息处理环节中的相关行为。

【适用指南】

企业内部应切实履行本法所规定的义务，主动承担责任，积极建立完善的内部合规审计机制，搭建合规审计部门，着重培养内部员工个人信息保护意识，将个人信息保护合规工作内化到业务的每一个环节中。通过引入外部专家或合作机构，形成定期合规审计的评估机制并向外界发布合规审计报告，除涉及敏感信息、商业秘密等不能公开的信息外，应及时公布自身个人信息保护工作情况。

企业要防范个人信息风险与安全事件的发生，在出现相关状况时，应立即启动应急预案，主动向主管部门报告，并积极采取措施减少危害后果的发生和扩大。对于主管部门的约谈，应积极主动地做好自查自纠，按照要求予以改正。

【相关规定】

《互联网新闻信息服务单位约谈工作规定》；《中华人民共和国个人信息保护法》第十条、第四十二条、第五十条、第五十五条。