China: 《个人信息保护合规审计管理办法（征求意见稿）》要点解析

2023年8月3日，国家互联网信息办公室（“ 网信办”）就《个人信息保护合规审计管理办法（征求意见稿）》（“ 《办法》”）及配套的《个人信息保护合规审计参考要点》（“ 《要点》”）向社会公开征求意见，截止至2023年9月2日。

《办法》规定了审计活动的触发条件及具体流程；而《要点》部分重申了《个保法》等法律法规已有的原则性要求，并增加了一些具体新规定。综合来看，《办法》和《要点》实质上为企业增加了一些新的合规义务。

本文对《办法》和《要点》中值得企业关注的重点内容展开分析，并为企业提供应对建议。

一、  审计的触发条件

《个人信息保护法》（“ 《个保法》”）规定了个人信息合规审计的两种触发情形：

第五十四条 个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。

第六十四条 履行个人信息保护职责的部门在履行职责中，发现个人信息处理活动存在较大风险或者发生个人信息安全事件的，可以按照规定的权限和程序对该个人信息处理者的法定代表人或者主要负责人进行约谈，或者要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。个人信息处理者应当按照要求采取措施，进行整改，消除隐患。

简而言之，《个保法》规定的审计触发条件包括：（1）定期审计，（2）依监管部门要求审计。

《办法》第2条则明确其适用范围包括上述两种法定的触发情形。而在两种情况下，审计活动开展的流程和细则稍有不同，以下对两种情况分别概述。

二、  定期审计

(一)    审计频率

《个保法》第54条没有明确“定期”审计的审计频率。而《办法》第4条对两种量级的个人信息处理者分情况做出规定：

（1）处理个人信息数量超过100万人：至少每年一次。

（2）不超过100万人：至少每两年一次。

(二)    审计机构

在企业依法开展定期审计活动的情况下，审计机构可以是企业自己的内部机构（例如法务部门、合规部门），也可以由企业委托专业审计机构进行定期审计。

三、  依监管部门要求审计

(一)        审计频率

《办法》第6条重申了《个保法》第64条的要求。当监管部门发现：（1）企业的个人信息处理活动存在较大风险，或者（2）发生个人信息安全事件时，可以要求企业开展合规审计。

(二)        审计机构

在依监管部门要求审计的情况下，企业仅能委托外部专业审计机构，而不能由自己内部部门进行审计。根据《办法》第7条规定，如监管部门向企业发出通知，企业在接到通知后应尽快按要求选定专业审计机构。

(三)    配合审计

依监管部门要求审计的过程中，企业应在多方面向审计机构提供便利和配合。审计机构可拥有下列权限：

1. 要求提供或者协助查阅相关文件或资料；
2. 进入个人信息处理活动相关场所；
3. 观察场所内发生的个人信息处理活动；
4. 调查相关业务活动及所依赖的信息系统；
5. 检查、测试个人信息处理活动相关设备设施；
6. 调取、查阅个人信息处理活动相关数据或信息；
7. 访谈与个人信息处理活动有关的人员；
8. 就相关问题进行调查、质询和取证；
9. 其他开展合规审计工作所必需的权限。

(四)    时间要求

依监管部门要求进行的审计应当在90个工作日内完成，情况复杂的可报请批准延长。

这一时间要求意味着企业一旦接到来自监管部门的审计通知，就必须尽快选定外部专业审计机构并开启审计活动，且面临着较大的时间压力。对于超出时间完成会面临何种后果，目前尚不明确。

(五)    审计报告报送

《办法》第10条规定，企业应“及时”将专业机构出具的审计报告报送监管部门，并针对审计报告提出了一定的格式要求。

虽然尚未明确“及时”所代表的时限，但考虑到上述90个工作日内完成审计的时间要求，企业很有可能需要在90个工作日内向监管部门报送报告。

(六)    整改、复核、再报送

依监管部门要求进行的审计完成后，企业应当按照专业机构给出的整改建议进行整改。整改后由经专业机构复核，并将整改情况报送监管部门。

目前尚未明确上述整改及复核完成的时限。

四、  审计机构

(一)        审计机构强制轮换

《办法》第12条规定，专业审计机构连续为同一审计对象开展个人信息保护合规审计不得超过三次。

这一规定意味着：处理个人信息数量不超过100万人的企业若2年一次定期审计，且一直使用同一外部审计机构，则最多6年内必须更换审计机构；处理个人信息数量超过100万人的大型企业若1年一次定期审计，且一直使用同一外部审计机构，则最多3年内必须更换审计机构。若审计频率更为频繁，则外部审计机构则会更快被更换。

而上述3年或6年的期限明显比其他行业中审计机构强制轮换的期限要短。例如根据财政部、国务院国资委、证监会2023年5月4日联合印发的《国有企业、上市公司选聘会计师事务所管理办法》（财会〔2023〕4号）规定，国企、上市公司聘用的会计师事务所原则上8年轮换，不得超过10年。

虽然本条的立法初衷是保持合规审计机构的独立性和客观性，但如此频繁更换的要求实际上可能并不合理：审计机构了解企业业务、熟悉个人信息处理流程都需要时间，而更换成本比较高。强制要求频繁更换审计机构可能会给企业带来较重的负担。

考虑到目前《办法》还在征求意见阶段，相关企业可以及时向有关部门提出意见。

(二)        “推荐目录”

《办法》第13条规定，国家网信部门、公安机关等国务院有关部门每年会更新“个人信息保护合规审计专业机构推荐目录”。《办法》鼓励企业优先选择推荐目录中的机构，但并不强制。

然而实践中，若企业选择推荐目录外的审计机构进行合规审计，其审计结果的证明力可能无法达到监管部门要求的合规标准。因此，推荐目录出台后，为确保合规，企业可能仅会选择目录中的机构。

此外，如何保证推荐目录遴选过程的公开、公正、公平，也是需要有关部门予以考虑的重点问题。

(三)        投诉

专业审计机构的违规行为可以向履行个人信息保护职责的部门投诉。经核实，违规机构将永久禁止列入推荐目录。

五、 个人信息合规要求

《要点》的主要依据为《个保法》，但在法律强制性规定之外增加了一些具体的细则，实质上对企业的个人信息处理实践提出了超出当前法律规定的若干合规要求。

(一)        留痕要求

1. 同意动作

《要点》第2条明确规定，审查合法性基础时应重点审查：“ （四）基于个人同意处理个人信息，是否对个人同意的操作进行记录； …”

企业需注意采取可记录、可查实的方式通过线上或线下途径取得个人同意，并保存操作记录，以便应对合规审计。

2. 告知

《要点》第7、8、9、13、14、18条规定，企业在转移、提供个人信息、进行自动化决策、处理敏感个人信息、儿童个人信息、相应个人行权请求时，均应重点审查向个人进行告知的情况。而《要点》第3、4条的重点审查事项分别反映了企业具体应如何通过个人信息处理规则或其他方式履行告知义务。

因此，企业应当注意向个人信息主体进行告知时保留告知的文本及记录，以体现告知义务的履行情况。

(二)        单独同意

《要点》规定，在向其他个人信息处理者提供（《要点》第3条、第8条）、公开（《要点》第10条）、处理敏感个人信息（《要点》第13条）以及将在公共场所收集的个人图像等信息用于维护公共安全以外用途（《要点》第11条）时，应当重点审查“ 是否取得个人的单独同意”。

值得注意的是，《要点》对于这一审查事项并未明确排除《个保法》第13条第2至7款规定的不必取得个人同意的情形。这些不必取得个人同意的情形包括：“ （二）为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需；（三）为履行法定职责或者法定义务所必需；（四）为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需；（五）为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息；（六）依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息；（七）法律、行政法规规定的其他情形。”

从目前的实践来看，很多企业按照《个保法》第13条规定，在依赖人力资源管理、合同履行等合法性基础进行个人信息处理的情况下，不会另行取得个人的单独同意。

若要求审计机构按照《要点》当前规定的口径审查单独同意的获取情况，则实质上与《个保法》要求相冲突，而加重了企业的合规负担。

考虑到《要求》目前尚未生效，相关企业可以在征求意见期内对此提出修改意见。

(三)        个人信息传输中的合作方需要接受审计

对个人信息处理者的审计会延伸至其共同处理者、受托人、以及接受个人信息传输的其他个人信息处理者。

1. 共同处理者

《要点》第5条规定，若存在共同处理个人信息的情形，则应当重点审查“ （二）各方采取的个人信息保护措施；（三）个人信息权益保护机制；（四）个人信息安全事件报告机制； …”

为此，在对个人信息处理者的审查过程中，审计机构可能不仅会审查共同处理者双方之间的数据传输合同是否合规，而且会审查合作方采取的个人信息保护措施、实施的个人信息权益保护机制、个人信息安全报告机制等。

2. 受托人

根据《要点》第6条规定，若存在委托处理个人信息的情形，则不仅应针对个人信息处理者展开合规审查，而且还需要针对受托人重点审查下列事项：“ （四）受托人是否严格按照委托合同的约定处理个人信息，是否存在超出约定的处理目的、处理方式处理个人信息的情况；（五）当委托合同不生效、无效、被撤销或者终止时，受托人是否将个人信息返还个人信息处理者或者予以删除；（六）受托人是否存在转委托他人处理个人信息的情况，是否得到个人信息处理者的同意。”

3. 其他个人信息处理者

《要点》第8条规定，若存在向其他个人信息处理者提供其处理的个人信息的情形，应针对接收方审查下列事项：“ （三）接收方是否在双方约定的处理目的、处理方式和个人信息的种类等范围内处理个人信息；（四）变更处理目的、处理方式的，是否依照法律、行政法规规定重新取得个人同意； …”

因此，除自身的年度审计之外，企业可能会因数据传输合作方的审计工作而需要接受额外的审计。

而作为个人信息处理者，企业在传输个人信息的过程中，应在数据传输合同中明确要求合作方接受合规审计。

(四)        个人信息跨境传输

《要点》第15和第16条重申了《个保法》、《数据出境安全评估办法》、《个人信息处境标准合同办法》下关于个人信息跨境传输的各项合规要求。

《要点》第16条规定，在跨境传输个人信息的情况下，应当重点审查企业对境外接收方采取监督措施的有效性，而审查的要点包括：“ （一）是否了解和掌握境外接收方的情况，特别是接收方是否具备必要的个人信息保护能力；（二）是否向境外接收方告知我国法律、行政法规对个人信息保护的要求，并要求境外接收方采取相应的保护措施；（三）是否采取签订协议、定期核查等方式，督促境外接收方切实履行个人信息保护义务。”

上述审查事项的审查对象均为进行个人信息跨境传输的企业，而并没有要求直接针对境外接收方展开合规审计。据此规定，审计中似乎仅需境内企业提供必要的文件、协议等用于配合审计，而不必要求境外接收方提供过多的配合。考虑到与境外沟通、必要时赴境外进行审计的高成本，《要点》这一要求目前看来较为合理。

然而如前文所述，《要点》的第5、6、8条普遍要求个人信息传输中的合作方需要接受合规审计。因此，《个人信息出境标准合同》中的境外接收方依然需要为审计工作提供一定程度的配合。如《个人信息出境标准合同》第3条第11项规定，境外接收方应“ （十一）承诺向个人信息处理者提供已遵守本合同义务所需的必要信息，允许个人信息处理者对必要数据文件和文档进行查阅，或者对本合同涵盖的处理活动进行合规审计，并为个人信息处理者开展合规审计提供便利。”

(五)        公共场所安装图像采集设备

《要点》第11条规定，在公共场所安装图像采集、个人身份识别设备的情况下，应当对收集的个人信息的用途进行重点审查，具体而言应审查“ 是否为维护公共安全所必需，是否存在为商业目的处理所采集信息的情况”。

本条衔接《个保法》第26条规定，但比《个保法》更进一步将“ 商业目的”划为一条红线。《个保法》第26条仅规定上述个人信息用途应为“ 维护公共安全所必需”，但未进一步说明这一用途的边界，导致实践中企业面临诸多不确定性。

然而“维护公共安全”和“ 为商业目的”这两种用途之间仍然存在灰色地带。例如实践中企业往往为维护自身财产安全而在具有公共性质的半开放场所内安装图像采集设备。此种情况并非为“ 维护公共安全”所必需，但也不存在为“ 商业目的”处理所采集的信息的情况。目前来看，《要点》并未完全解决这一疑难问题，上述情况的合规性依然有待进一步探讨。

(六)        自动化决策

《要点》与近年来出台的《互联网信息服务算法推荐管理规定》、《互联网信息服务深度合成管理规定》以及《生成式人工智能服务管理暂行办法》紧密衔接，要求个人信息处理者在利用自动化决策处理个人信息时事先对算法模型进行安全评估，按国家相关规定备案，并进行科技伦理审查。

此外，《要点》中的评估事项对《个保法》第24条进行了全面的扩充，明确了保障自动化决策透明度和结果公平性、公正性应当采取的具体合规措施，包括：

1. 保障个人信息主体权益

为了保障个人信息主体的知情权，企业应在事前主动告知个人自动化决策处理个人信息的种类及可能带来的影响。

为了保障个人信息主体的拒绝权，企业应提供保障机制以便用户可以通过便捷方式拒绝通过自动化决策方式作出对个人权益有重大影响的决定，或要求企业就应用自动化决策方式作出对用户个人权益有重大影响的决定予以说明。

企业还应当为用户提供删除或者修改用于自动化决策服务的针对其个人特征的用户标签功能。

2. 采取技术和组织措施保护算法和参数模型

企业应采取必要的措施对算法和参数模型进行保护，并采取相应的组织措施对个人信息处理、标签管理、模型训练等自动化决策过程中的人工操作进行记录，防范人为恶意操纵自动化决策信息和结果。

从自动化决策的结果上来看，企业应当防止自动化决策根据消费者的偏好、交易习惯等对个人在交易条件上实行不合理的差别待遇。

(七)        个人信息安全事件应急处置

《要点》第27条规定，评价个人信息安全事件应急处置情况时应重点考虑“ （二）是否建立通报渠道，能否在事件发生后 72小时内通知履行个人信息保护职责的部门和个人；…”

目前尚未有法律法规或其他强制性规定中对“事件发生后72小时内通报”做出了硬性要求。若《要点》最终生效时保留此项审计事项，则企业应当注意调整内部的信息安全事件相应机制和流程，以适应这一新规定。

六、 合规建议

虽然《办法》及《要点》目前尚未生效，但考虑到未来企业依法进行合规审计时可能会对已有的个人信息处理情况进行审计，建议企业未雨绸缪，参照目前征求意见稿的标准，事先着手进行以下合规措施：

(一)        个人信息处理情况留痕

为应对审计，建议企业留存个人信息处理相关的文本记录，包括同意书、隐私通知、数据传输协议以及其他内部文件。

(二)        在数据传输协议中要求合作方接受审计

如本文所述，企业进行合规审计的过程中可能需要数据传输中的合作方提供配合并接受审计。建议企业通过数据传输协议等形式要求合作方提供合理配合，以应对《办法》和《要点》的生效。

(三)        算法模型安全评估、备案、伦理审查

若企业涉及利用算法模型进行自动化决策，特别是涉及具有舆论属性或社会动员能力的算法推荐服务时，需注意根据相关法律法规的规定进行安全评估、备案以及科技伦理审查。

《办法》及《要点》的最终版在多大程度上会采用征求意见稿的内容，仍有待观察，如有后续进展，我们也将及时进行解读。

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.