个人信息保护合规加码｜mhp君悦评论

国家互联网信息办公室于2023年8月3日发布了《个人信息保护合规审计管理办法（征求意见稿）》（“合规审计办法意见稿”），对于个人信息处理者提出了具体的个人信息保护合规审计要求。

1、适用范围

合规审计办法意见稿的上位法是《中华人民共和国个人信息保护法》（“个保法”）。其源自个保法第54条“个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计”及第64条“履行个人信息保护职责的部门在履行职责中，发现个人信息处理活动存在较大风险或者发生个人信息安全事件的，可以按照规定的权限和程序对该个人信息处理者的法定代表人或者主要负责人进行约谈，或者要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。个人信息处理者应当按照要求采取措施，进行整改，消除隐患。”。根据个保法的定义，“个人信息处理者”是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人，而个人信息的处理，包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。

在日常业务及管理运营中，除了部分企业可能会处理非员工个人的个人信息外，各企业均不可避免地收集、存储、使用员工的个人信息。从这一角度出发，各个企业均受制于合规审计办法意见稿的管理，即均应按照其要求开展个人信息保护合规审计工作。

2、合规审计要求

个人信息处理者应当每2年至少开展一次个人信息保护合规审计。若个人信息处理者累计处理超过100万人个人信息，则其应当每年至少开展1次个人信息保护合规审计。

个人信息保护合规审计可以分为（1）自行开展或（2）依职能部门要求开展。

 （1） 自行开展

个人信息处理者自行开展个人信息保护合规审计，可以由个人信息处理者（的内部机构）自行完成或委托第三方专业机构开展。

（2） 依职能部门要求开展

如果个人信息保护职能部门发现个人信息处理活动存在较大风险或发生个人信息安全事件，则其可以要求个人信息处理者委托第三方专业机构开展合规审计，且该工作应在90个工作日内完成。经过职能部门批准后，可适当延长。该合规审计完成后，个人信息处理者应当将第三方专业机构出具的合规审计报告报送职能部门。如果第三方专业机构提供整改建议，则个人信息处理者应整改并由第三方专业机构复核并报送职能部门。

第三方专业机构对同一审计对象开展个人信息保护合规审计不得连续超过三次。

3、合规审计要点

合规审计重点关注个人信息处理者在处理个人信息各个环节上的合法性及着重保护个人信息主体的合法权益不受侵害。其主要包括以下几个方面：

（1）个人信息处理活动的合法性基础条件；（2）个人信息处理规则；（3）告知义务的履行；（4）与他人共同处理个人信息的审查；（5）委托处理个人信息的审查；（6）个人信息处理者因合并、重组、分立、解散、被宣告破产而需要转移个人信息的审查；（7）向第三方提供个人信息的审查；（8）利用自动化决策处理个人信息的审查；（9）公开个人信息的审查；（10）对于在公共场所安装图像采集、个人身份识别设备的合法性及收集个人信息用途的审查；（11）处理已公开个人信息的审查；（12）处理敏感个人信息的审查；（13）处理未满14周岁未成年人个人信息的审查；（14）向境外提供个人信息及相关必要措施的审查；（15）对个人信息删除权的审查；（16）保障个人信息主体行使个人权益的审查；（17）对响应个人申请的审查；（18）对承担主体责任的审查；（19）对于内控制度的审查；（20）对于安全技术措施的审查；（21）对于内部培训计划和实施情况的审查，等。

4、合规审计与自评估/影响评估的关系

如果个人信息处理者拟向境外提供个人信息，其应经过安全评估或个人信息保护认证或标准合同备案三种路径中的一种。在安全评估路径下，个人信息处理者应进行数据出境风险自评估；在标准合同备案路径下，个人信息处理者应进行个人信息保护影响评估。虽然自评估/影响评估在范围和内容上与合规审计有重合之处，但其法律基础及实施前提和过程均有区别，故不能用合规审计代替自评估/影响评估，反之亦然。

5、前瞻

合规审计办法意见稿的出台，无疑继续加重了一般企业（特别是不涉及个人信息出境企业）的合规成本负担。在个保法严格对个人信息保护的框架下，企业应审慎对待。如果忽略了相关合规要求，企业可能面临警告、整改等行政处罚；极端情况下，可能面临企业最高一百万元人民币的罚款，且直接负责的主管人员和其他直接责任人可能面临最高十万元人民币的罚款。