Q2���:个保审计的对象是个人信息处理者对“法律���、行政法规”的遵守情况���,那对“国标”���、特别是推荐性国标的遵守情况要不要纳入审计范围?
A���:我们认为对于该问题的回答���,应当秉持“实用主义”原则。尽管个保审计办法���、个保法���、网数条例仅提及了对“法律���、法规”的遵守情况进行审计���,但实践中数据合规领域不乏推荐性国标被作为法律法规的“实施细则”���,进而被监管执法部门直接引用为执法依据的情况。因此我们建议将对这一类国家标准的遵守情况纳入审计范畴。
需要说明的是���,实践中并非所有推荐性国标都会被监管与执法部门作为执法依据���,因此哪些国标需要被重点参考���,还有赖于审计机构或审计部门的经验。
Q3���:个保审计分为哪些类型?
A���:按照审计发起的原因���,分为“自主审计”与“监管审计”。所谓“自主审计”���,是指个人信息处理者应当定期对其处理个人信息遵守法律���、行政法规的情况进行合规审计���,其中���,处理超过1000万人个人信息的个人信息处理者���,应当每两年至少开展一次个人信息保护合规审计。虽然个保审计办法并未明确要求处理个人信息数量不足1000万人的个人信息处理者开展个保审计���,但个保审计办法也并未明确豁免其他个人信息处理者履行个保审计义务。鉴于开展个保审计是《个人信息保护法》规定应由个人信息处理者履行的合规义务���,我们仍建议其他个人信息处理者开展个保审计工作。而“监管审计”是指在发生包括三类高风险场景���:存在严重侵害个人信息权益风险���、可能影响众多个体权益���、发生重大数据安全事件时���,监管部门要求个人信息处理者开展个保审计。
关于“监管审计”���,需要提醒企业的是���,由于该类审计由监管机关发起���,特定情形是否属于三类高风险场景���,将由监管部门独立做出认定���,因此企业应当建立内部合规监控体系���,如果发生相关数据安全事件���,除了根据法律法规要求启动数据安全事件应急响应机制之外���,还要做好启动个保审计的准备。
Q4���:个保审计由谁来做?有完成时限要求吗?
A���:“自主审计”可自行进行���,亦可以委托专业机构进行;“监管审计”应委托第三方进行。
“自主审计”无时限要求���,“监管审计”应当在限定时间内完成���,但具体时间如何限定没有进一步规定���,我们理解监管部门将结合企业处理数据规模���、触发“监管审计”的原因来综合确定审计时限。
Q5���:只要处理超过1000万人个人信息���,都需要自主做个保审计吗?
A���:个保审计办法规定处理超过1000万人个人信息的个人信息处理者���,应当每两年至少开展一次个人信息保护合规审计。适用这条的前提条件不但需要考察处理个人信息的数量���,还需要考察处理个人信息的数据法律地位���,即是否构成数据处理者。如果以数据处理受托方的身份处理的数据���,我们认为不应纳入此处数据统计范围。
但需要说明的是���,参考我们在数据出境项目中的经验���,在实践中监管部门可能对“数据处理者”的认定比较宽泛���,因此我们建议企业在签署相关数据处理协议或商业合同时���,明确双方的数据处理法律关系。
此外���,需要说明的是���,如果处理未成年人个人信息���,根据《未成年人网络保护条例》的规定���,个人信息处理者每年对其处理未成年人个人信息的情况进行合规审计。而对于特定行业(例如金融���、医疗行业)���,还需要关注行业监管部门的特别要求。
Q6���:委托什么类型的专业机构?
A���:相较征求意见稿���,个保审计办法没有采取制定“专业机构推荐目录”这一做法���,且没有强制要求专业机构通过认证。很多企业纠结委托哪一类机构作为审计专业机构(律师事务所���、技术检测专业机构等)���,我们建议企业可参考个保审计办法附件《个人信息保护合规审计指引》以及国家标准《数据安全技术 个人信息保护合规审计要求(送审稿)》规定的审计项���,就不难得出个保审计的审计项主要是考察法律合规问题���,部分审计项需要进行技术验证。因此我们推荐由律师事务所作为外部专业机构进行审计���,并辅以技术验证或检测。
Q7���:审计团队可以由内部与外部团队组合构成吗?
A���:个保审计办法没有限制该等组合。事实上���,通常一家专业机构很难做到全面覆盖法律合规与技术部分的审计���,因此实践中可以考虑委托不同专业机构负责不同板块内容���,或者委托一家专业机构并由其将部分工作内容分包给其他机构完成���,或者由内部与外部团队共同组成审计团队(如外部专业机构提供法律合规审计���,内部团队进行技术验证与检测)。
需要说明的是���,无论何种配合方式���,都需要遵循个保审计诚信正直���、公正客观的原则���,并做好审计团队内部工作界面的划分与协调。
Q8���:审计范围需要100%覆盖吗?
A���:我们认为个保审计办法附件《个人信息保护合规审计指引》中所列重点审查事项���,在适用的情况下应当全面覆盖。但现实中针对某些事项���,可采取抽样的审计方式���,例如零售企业旗下可能拥有众多零售店铺���,审计团队可采取抽样方式选取特定店铺进行合规审计���,并在报告中予以说明。
Q9���:审计结论必须是无保留的“清洁”意见吗?
A���:遵循客观原则���,企业实际情况是什么样审计结论就是什么样。个保审计制度设计的初衷就是“以审促改”���,审计的目的是帮助企业发现问题���,重点是后续的整改环节。
从个保审计项目工作内容来看���,整改并非“自主审计”范围���,但属于“监管审计”事项的必要工作范围。在“自主审计”中���,企业可请审计团队对整改结果进行进一步的审查���,或者在后续审计中进行审查。
Q10���:外部专业审计机构可以协助企业进行整改吗?如果协助企业进行整改���,可以后续进一步做审计业务吗?
A���:我们认为是可以的。个保审计办法强调的是专业机构需秉承“诚信正直���、公正客观”的原则���,但并不意味着参与了整改或者日常服务工作���,就有违该等原则。而且同一专业机构发现问题后���,更有助于后续协助企业完成整改。整改的最终落地毕竟还需靠企业自身完成���,所以专业机构对整改效果的核查或进一步审计���,也是对企业合规落地情况的检验。
Q11���:企业内部谁来牵头个保审计项目?
A���:超过100万人的个人信息处理者应当指定个人信息保护负责人���,并负责进行个保审计。
需要说明的是���,个保负责人的设置仍可以进一步细化���,且设立条件也并非仅仅考察处理个人信息的数量。例如���,如果处理儿童个人信息的���,应当指定专人负责儿童个人信息保护(《儿童个人信息网络保护规定》第8条)。
Q12���:集团公司可否合并审计?
A���:我们认为存在业务关联���,特别是数据交互(如共用系统或数据相互流转)的集团公司是可以的。若非前述情况���,将不同集团公司合并审计���,恐缺乏合理性和必要性���,建议还是分开审计。需要注意在报告中要说明审计范围涵盖哪些主体���,特别是这些主体之间的数据处理关系。
我们认为存在数据交互的集团公司合并审计更能反映数据处理实际情况���,更容易发现相关合规问题���,但同时毫无疑问也会增加相应的工作量与工作难度。
Q13���:个保审计的审计要点都有哪些?
A���:个保审计参考要点如下���:
Q14���:相较于其他数据合规项目���,个保审计项目需要特别注意什么吗?
A���:个保审计是对企业个人信息处理情况的全面盘点���,因此工作范围覆盖面非常之广。个保审计是实质性审查���,而非形式审查���,且个保审计强调程序与流程。相较一般个人信息保护项目���,个保审计项目对于审计底稿���、审计证据提出了很高的要求���,因此在开展个保审计的过程中���,企业与专业审计机构应该特别关注相关程序性要求。
