法治號
2021年11月1日《中華人民共和國個人信息保護法》施行之后,諸如個人信息跨境傳輸保護、人臉信息保護等配套制度也隨著產(chǎn)業(yè)實踐和監(jiān)管實踐的深入而不斷完善。總體而言,我國個人信息保護制度體系正在呈現(xiàn)精細化、全面化發(fā)展趨勢。然而,實踐中諸如購置房產(chǎn)后家裝公司精準(zhǔn)定位推銷電話等類似事件仍然時有發(fā)生,公民個人信息保護面臨著網(wǎng)絡(luò)黑灰產(chǎn)業(yè)的嚴重威脅。部分個人信息處理者或是疏于履行法定義務(wù)導(dǎo)致個人信息泄露,或是為了牟取非法利益鋌而走險,直接參與個人信息買賣。為了進一步督促個人信息處理者充分履行個人信息保護義務(wù),最大限度地預(yù)防和控制個人信息安全風(fēng)險,國家互聯(lián)網(wǎng)信息辦公室基于個人信息保護法等提及的合規(guī)審計要求,制定了《個人信息保護合規(guī)審計管理辦法》(以下簡稱《合規(guī)審計辦法》),將于2025年5月1日起施行。
此前在實踐中,部分企業(yè)因其自身的主營業(yè)務(wù)并非與互聯(lián)網(wǎng)信息服務(wù)直接相關(guān),將個人信息保護視為一種“負擔(dān)”,進而出現(xiàn)“敷衍合規(guī)”“應(yīng)付合規(guī)”等現(xiàn)象。這種現(xiàn)象使得公民個人信息處于危險狀態(tài),網(wǎng)絡(luò)黑灰產(chǎn)業(yè)輕而易舉地便可獲取各類敏感個人信息,公民的人身安全和財產(chǎn)安全也受到嚴重威脅。《合規(guī)審計辦法》的出臺象征著我國個人信息保護制度進入到全新階段。各類企業(yè)、機構(gòu)乃至個人在收集和處理個人信息時,不僅需要按照個人信息保護法充分履行相應(yīng)義務(wù),而且還需要針對義務(wù)履行情況進行合規(guī)審計,確保義務(wù)履行方式恰當(dāng)和充分。
《合規(guī)審計辦法》的適用范圍與個人信息保護法第三條保持一致,無論是在中國境內(nèi)處理自然人個人信息,還是在境外處理境內(nèi)自然人個人信息,相應(yīng)的個人信息處理者均有可能面臨相應(yīng)的個人信息合規(guī)審計義務(wù)。值得注意的是,為了平衡個人信息保護和商業(yè)利益訴求,《合規(guī)審計辦法》并沒有強制要求個人信息處理者必須自行支付相應(yīng)費用委托外部第三方進行合規(guī)審計;亦沒有嚴格限定合規(guī)審計次數(shù),僅是針對處理1000萬個人信息的個人信息處理者,為了確保個人信息安全,要求其至少每兩年開展一次個人信息保護合規(guī)審計。《合規(guī)審計辦法》所規(guī)定的合規(guī)審計主要包括內(nèi)部合規(guī)審計和外部合規(guī)審計兩類,前者主要是個人信息處理者內(nèi)部機構(gòu)定期對個人信息處理情況進行合規(guī)審計,后者則是指基于監(jiān)管部門的監(jiān)管要求或個人信息處理者自行委托,由專門機構(gòu)進行獨立的合規(guī)審計。
《合規(guī)審計辦法》的功能定位不能簡單理解為個人信息保護法的“重復(fù)規(guī)定”或“內(nèi)容重述”,而是應(yīng)當(dāng)理解為個人信息保護義務(wù)履行方式的標(biāo)準(zhǔn)化。誠然,《合規(guī)審計辦法》乍一看外觀上與個人信息保護法在內(nèi)容層面存在大量“重復(fù)”,但是,從企業(yè)合規(guī)審計的角度考慮,卻是將業(yè)務(wù)合規(guī)的重點內(nèi)容和判斷標(biāo)準(zhǔn)予以明確化。需要注意的是,《合規(guī)審計辦法》還增設(shè)了附件《個人信息保護合規(guī)審計指引》(以下簡稱《合規(guī)審計指引》)。《合規(guī)審計指引》針對個人信息處理活動的合法性基礎(chǔ)、處理規(guī)則、告知義務(wù)履行方式等關(guān)鍵事項,進一步細化了需要重點審計的核心事項。客觀而言,《合規(guī)審計辦法》的立法目的并不是單純在業(yè)務(wù)合規(guī)程序上額外增設(shè)一個環(huán)節(jié),而是通過合規(guī)審計的方式督促個人信息處理者能夠真正落實個人信息保護法的法定要求。從具體內(nèi)容來看,《合規(guī)審計辦法》并沒有“一刀切”地限定審計主體、審計流程、審計次數(shù),而是強調(diào)根據(jù)個人信息安全風(fēng)險實際狀況選擇必要的合規(guī)審計模式。
為了實現(xiàn)《合規(guī)審計辦法》的立法目的以及進一步預(yù)防和控制個人信息安全風(fēng)險,《合規(guī)審計辦法》還對審計機構(gòu)作出專門規(guī)定。因為只有獨立自主的審計機構(gòu)和審計活動才能確保審計結(jié)果具有公正性和客觀性,否則又會再次出現(xiàn)“敷衍合規(guī)”的現(xiàn)象。針對外部審計,除了明確監(jiān)管部門負責(zé)合規(guī)審計專業(yè)機構(gòu)的選定范圍外,還要求專業(yè)機構(gòu)自身以誠信正直、公正客觀的方式作出合規(guī)審計職業(yè)判斷,并通過負責(zé)人簽字、加蓋公章等方式避免審計機構(gòu)與被審計單位弄虛作假。
在未來,隨著《合規(guī)審計辦法》的實施,我國公民個人信息所面臨的安全風(fēng)險將顯著下降,諸如內(nèi)部員工私自泄露個人信息、第三方合作機構(gòu)擅自對外傳輸個人信息等安全事件的發(fā)生概率也將得到有效控制。當(dāng)然,徒法不足以自行,個人信息保護合規(guī)審計制度也需要結(jié)合產(chǎn)業(yè)實踐持續(xù)完善,督促個人信息處理者真正重視個人信息保護,實現(xiàn)“有效合規(guī)”和“充分合規(guī)”。
(作者趙精武系北京航空航天大學(xué)法學(xué)院副教授)
編輯:李立娟