合规运行:企业开展个人信息保护合规审计的合规要点与运行指南|iLaw
2025年2月12日,国家互联网信息办公室制定发布《个人信息保护合规审计管理办法》(国家互联网信息办公室令第18号,简称18号令),已于2025年5月1日起施行。
针对有个人信息保护需求的企业,构建常态化的个人信息保护合规审查运行机制,特制订本指南,供企业参考!
关联链接:
数据法课堂12 I 重磅加餐-个信保护新时代,企业如何踏上合规正步?
本指南适用于企业内部开展个人信息保护合规审计活动,包括自行审计及委托专业机构审计。
根据18号令的第四条、第五条,目前个人信息保护合规审查的适用企业对象主要包括以下两类主体:
1)如何认定个人信息数量?
在18号令之前,个人信息数量的认定,在司法实践中存在两个标准:
一是:刑事领域涉及侵犯公民个人信息刑事案件,其适用的标准为“条数”,如《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(法释〔2017〕10号)第11条:“非法获取公民个人信息后又出售或者提供的,公民个人信息的条数不重复计算。向不同单位或者个人分别出售、提供同一公民个人信息的,公民个人信息的条数累计计算。对批量公民个人信息的条数,根据查获的数量直接认定,但是有证据证明信息不真实或者重复的除外”。
二是:数据出境领域涉及个人信息的,其适用的标准为“人数”,如《个人信息出境标准合同办法》(国家互联网信息办公室令第13号)第4条:“个人信息处理者通过订立标准合同的方式向境外提供个人信息的,应当同时符合下列情形:……(二)处理个人信息不满100万人的;(三)自上年1月1日起累计向境外提供个人信息不满10万人的;(四)自上年1月1日起累计向境外提供敏感个人信息不满1万人的”。
18号令确定的个人信息数量认定标准适用后者,即“人数”,统计的是处理的不同自然人数量(如用户、客户、员工等),而非数据条目数。同一自然人的姓名、手机号、住址等多项信息被处理,仅计为1人。
2)如何认定触发条件之处理活动存在较大风险
前述法定触发条件包括两方面内容:一是处理活动存在“严重影响个人权益”,如非法收集、超范围处理等;二是处理活动“严重缺乏安全措施”,如未加密、未控制访问权限等。
3)如何认定触发条件之可能侵害多个人的权益
此条件强调“规模性风险”,如平台利用自动化决策对海量用户实施歧视性定价,或未经同意向第三方共享用户轨迹信息等。
需注意:“可能侵害”表明即使实际损害未发生,只要存在高度盖然性即可触发审计。
4)如何认定触发条件之大规模个人信息安全事件
此条件强调发生导致100万人以上个人信息或10万人以上敏感信息泄露、篡改、丢失的安全事件,量化标准体现后果导向,如:医疗机构因系统漏洞泄露10万份病历(含健康信息),或电商平台遭攻击导致百万用户手机号泄露。
需注意:一是“敏感信息”范围依《个人信息保护法》第28条(如生物识别、医疗健康等)及相关标准界定;二是个人信息处理者根据《个人信息保护法》第51条有制定并组织实施个人信息安全事件应急预案的要求。
二、合规要点:26类合规场景,111项合规审查要点
根据18号令所附《个人信息保护合规审查指引》,其根据相关法律法规规范提炼出26类合规场景,111项合规审查要点,具体如下:
(个人信息合规审查要点清单,引用请后台留言并注明来源)
1)合规审查要点的使用价值
国家网信办在《个人信息保护合规管理办法》文件之后,附上《个人信息保护合规审计指引》,对合规审查要点进行系统列举,有助于企业:
——合规自查:对照审查要点,系统核查企业个人信息处理活动的合法性与规范性。
——风险防控:识别潜在合规漏洞,制定整改措施,降低合规风险。
——持续改进:建立长效合规机制,定期更新审查要点以适应法律法规变化。
2)企业应如何适用前述合规审查要点
企业可参照以下步骤适用合规审查要点:
步骤1场景匹配:根据企业业务场景(如“基于同意处理信息”“自动化决策”“委托处理”等),筛选对应的审查要点。
步骤2部门落实/外部委托:将相应的审查要点,根据企业内部的职责进行分类,便于分部门落实,或委托外部中介机构实施。
步骤3核查记录:针对每项“合规审查内容”,核查企业是否满足合规要求,对于符合项标注并备注核查证据,对于不符合项记录具体问题。
三、合规运行:企业如何开展个人信息保护合规审查
参考全国网络安全标准化技术委员会《网络安全标准实践指南——个人信息保护合规审计要求》(TC260-PG-2025XA,征求意见稿V1.0-202504),个人信息保护合规审计实施流程包括审计准备、审计实施、审计报告、问题整改、归档管理5个阶段,企业可参考以下流程实施:
1)如何确定审计范围和依据?
依据《个人信息保护法》《合规审计管理办法》及国家标准《网络安全标准实践指南——个人信息保护合规审计要求》等,以及个人信息合规审查要点清单》,结合企业个人信息处理的实际情况划定审计范围。
2)如何组建审计组?
企业内部一般可由IT、安全,以及法务/合规部门人员组成。外部专业机构可选择律师事务所、会计师事务所等提供支持。
3)为什么要作审前调查?
审前调查类拟于个人信息处理现状的摸底调查,通过问卷、访谈、资料调阅等方式,全面了解企业个人信息处理现状,包括组织架构、场景活动、制度规程、技术措施、安全事件等,以识别潜在风险点。
4)审计方案主要包括哪些内容?
审计方案是审计实施的步骤设计,一般包括以下内容:审计对象的名称、审计目标和范围、审计依据和内容、审计流程和方法、审计组成员的组成及分工、审计起止日期、审计进度安排、对专家和合规审计工作结果的利用、审计实施所需资源、审计风险管理措施、其他有关内容。
5)在审计实施阶段有哪些关键步骤?
企业在作个人信息保护的审计时,一般涉及以下关键步骤:
——发送审计通知:提前告知审计时间、范围及所需材料,确保相关部门配合。
——收集审计证据:通过文档检查、系统测试、人员访谈等方式获取证据,确保其真实、完整、可追溯。
——形成审计底稿:记录审计过程、发现的问题及依据,便于后续复核和整改。
——确认审计发现:与管理层沟通审计结论,对异议问题进一步核实,确保结果客观公正。
6)审计涉及哪些主要证据?
参考《数据安全技术 个人信息保护合规审计要求》(征求意见稿)附录B,企业在进行个人信息保护审计时,可参考以下审计证据:
7)审计报告主要包括哪些内容?
审计报告是发表审计意 见的书面文件,应包括但不限于审计概况、审计依据、审计结论、审 计发现、审计意见、审计建议等。
8)问题整改阶段做什么?
对不合规项限期整改,必要时进行跟踪审计,确保措施落地。
9)个人信息保护合规审计的持续改进?
个人信息保护合规审计并非一次性任务,而是持续优化的过程。企业应结合自身业务特点,定期开展审计,确保数据合规,降低法律风险。
END.
免责. 本文及其内容并不代表iLaw对有关问题的法律意见,同时我们并不保证将会在载明日期之后继续对有关内容进行更新,我们不建议读者仅仅依赖于本文中的全部或部分内容而进行任何决策,因此造成的后果将由行为人自行负责。如果您需要法律意见或其他专家意见,我们建议您向具有相关资格的专业人士寻求专业帮助。