浅析新能源汽车企业的个人信息保护合规审计
浅析新能源汽车企业的个人信息保护合规审计
浅析新能源汽车企业的个人信息保护合规审计
浅析新能源汽车企业的个人信息保护合规审计
《个人信息保护法》中明确了个人信息处理者有审计义务,但是对于审计工作具体该怎么做,《个人信息保护法》作为法律,不可能做颗粒度很细的规定,因此实务中个人信息处理者往往都是按照各自的理解来进行个人信息保护审计。今年8月3日,国家网信办发布了《个人信息保护合规审计管理办法(征求意见稿)》(以下简称“《征求意见稿》”),虽然只是征求意见稿,但是其颗粒度和可实操性方面很适合个人信息处理者用其来指导自身的个人信息保护合规审计活动。
下面我们就结合《个人信息保护法》及《征求意见稿》来浅析一下新能源汽车企业作为个人信息处理者,其个人信息保护合规审计该怎么做。
一、《个人信息保护法》中关于审计的规定
《个人信息保护法》中与审计相关的条款:
第五十四条 “个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计”这一条规定了个人信息处理者应当定期进行合规审计,审计的内容是“处理个人信息遵守法律、行政法规的情况”。
第六十四条 “履行个人信息保护职责的部门在履行职责中,发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,可以按照规定的权限和程序对该个人信息处理者的法定代表人或者主要负责人进行约谈,或者要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。个人信息处理者应当按照要求采取措施,进行整改,消除隐患。”该条规定了触发有关部门强制个人信息处理者进行合规审计的两种情形“发现个人信息处理活动存在较大风险或者发生个人信息安全事件”,并且该审计应当由“专业机构”来进行。值得注意的是,这条并没有规定这种触发强制“对其个人信息处理活动进行合规审计”的审计内容是“处理个人信息遵守法律、行政法规的情况”,所以这条实际上给监管部门在此种情形下扩大审计范围提供了依据。
目前新能源汽车企业的产品都毫无例外涉及到大量处理个人信息,并且其对大部分个人信息处理活动是具有掌控权的,毫无疑义属于《个人信息保护法》中的个人信息处理者,所以是具有做合规审计的法律义务的。此外,新能源汽车行业处于强监管的状态,监管部门在其报送汽车数据安全管理情况、进行数据出境安全评估等其他监管场景中发现其个人信息处理活动存在较大风险也是会触发强制审计的,所以在此角度衡量,也必须要做好合规审计。
二、《征求意见稿》要点
1、****审计频次
根据个人信息处理者掌控的个人信息人数,有以下两种审计频次要求:处理超过100万人个人信息的个人信息处理者,每年至少开展一次个人信息保护合规审计;其余不超过的个人信息处理者,应当每二年至少开展一次个人信息保护合规审计。
2、审计方式
根据执行审计工作的机构的不同分为:(1)个人信息处理者内部自行审计,也就是内审;(2)个人信息处理者委托专业的机构进行审计,也就是外审。
根据是否监管部门强制要求也可以分为两种方式:(1)个人信息处理者根据法律要求自发的进行定期审计;(2)监管部门发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,可以强制要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。
3、强制合规审计的执行机构
强制的合规审计由个人信息处理者委托专业机构进行开展。
4、强制合规审计的审计时限
应当在90个工作日内完成个人信息保护合规审计;情况复杂的,报经履行个人信息保护职责的部门批准后可适当延长。
5、审计机构的独立性
应当保持独立性和客观性,连续为同一审计对象开展个人信息保护合规审计不得超过三次。
6、合规审计专业机构资质
对于合规审计专业机构资质问题,《征求意见稿》里并没有明确,什么机构能够从事个人信息保护合规审计活动还有待监管部门进一步的明确。
此外《征求意见稿》里提出由国家网信部门同公安机关等国务院有关部门建立和维护个人信息保护合规审计专业机构推荐目录,并鼓励个人信息处理者优先选择推荐目录中的专业机构。这里面的细节也有待后续监管部门的进一步明确。
7、审计参考要点
《征求意见稿》包含有一份《个人信息保护合规审计参考要点》(简称《参考要点》)的附件。《参考要点》比较全面地覆盖了个人信息处理全流程的合规项目。虽然只是参考要点,并没有强制性,但是这本身属于监管部门总结的要点,一定程度上代表了监管的态度。另外该《参考要点》也梳理得比较全面,因此建议进行审计的时候,可以参考该附件,然后结合自身的业务场景,进行一定的增补,形成企业的审计依据文件,然后去开展审计活动。
三、审计工作的开展
1、确定企业身份适用
通过梳理企业处理的个人信息的量,确定企业的身份是否属于处理超过100万人个人信息的个人信息处理者,以便确认企业是适用2年一次定期审计,还是适用1年一次定期审计。值得注意的是《征求意见》中并没有说明100万人个人信息是限于企业各个产品或者服务的业务场景处理的个人信息,也就是说应当是包括企业员工、企业通过销售渠道掌控到的客户个人信息、车载设备采集到的非车主的个人信息等等。这里面有个技术问题,结构化数据中的个人信息通常是比较容易统计的,但是在海量的半结构化数据甚至非结构化数据中进行个人信息的识别和统计并不是容易的事,需要有相应的技术手段,以及建立好分类分级等相应的个人信息处理的底层逻辑、管理机制。
2、审计制度建设
根据《个人信息保护法》和《征求意见稿》的规定,确定企业内部审计的负责部门,在企业的数据合规合规管理体系中加入个人信息保护合规审计的流程和制度。
《个人信息保护法》和《征求意见稿》中并没有明确规定企业进行个人信息保护审计的时候,在企业内部应当由什么样的部门负责。从管理体系融合的角度考虑,可以将个人信息保护合规审计的管理制度、管理流程合并到企业原先的数据合规的管理体系中,岗位设置在企业原本已有的审计部门或者机构,审计部门的人员可能会面临不熟悉个人信息保护合规审计的内容和规则,这就需要在加强培训的同时,可以在审计时候根据需要聘请外部的顾问、专家协助进行审计。
3、内审和外审的选择
对于非强制性的审计,企业可以根据自身的情况选择外审或者内审。内审有成本优势,内部人员通常也更熟悉企业的情况,业务场景状况,与企业内部人员沟通通道也更畅通,开展审计工作更加便利,但是也有可能限于人员本身的知识、经验、客观性、专业性等问题导致审计效果不佳。
企业如果自评个人信息保护合规风险较高或者对个人信息保护合规审计能力不足等情况下,建议还是做外审。专业的审计机构专业能力更强、客观性和权威性也更好。在外审时候应给予外审人员足够的支持和配合,让外审人员能够更透彻的了解企业实际情况,业务场景,个人信息处理情况,以便让外审人员做出足够专业和具有权威性的审计报告。在与外审机构签订合同时候,应注意除了传统的合同条款外,还应增加数据处理条款,以保证审计过程中的数据合规。
4、内审怎么做
个人信息保护合规内审可以根据各个企业的实际情况制定,一般可以包含以下步骤:
(一)审前准备工作
(1)编写内审计划,制定审计时间、目标、范围;
(2)确定审计小组成员组成;
(3)审计前的调查:包括调查个人信息合规制度的运行情况、涉及个人信息处理的各个场景、上次审计情况等,并收集个人信息保护相关的法律、法规、政策和标准文件以及企业内部的相关标准制度文件;
(4)根据《参考要点》等相关法律法规规定、企业的标准等,制定详细审计方案,包括具体的审计方法,审计内容、执行人、执行时间等;
(5)发出审计通知书;
(二)实施审计
(6)审计方式可以包括但不限于通过与被审计对象交谈了解,要求被审计对象如实填写调查问卷,审查被审计对象进行个人信息处理活动的相关文件,数据处理合同,现场查看系统的个人信息处理情况,进行技术检测等等;
(7)审计方法可以包括对内控制度进行健全性测试和有效性测试,以及对个人信息全生命周期的处理进行穿行测试等等;
(8)根据检查和测试情况,进行个人信息保护合规分析,拟制中期审计报告;
(9)召开会议向被审计部门通报中期审计报告,核实审计中发现的问题,要求相关人员限期整改;
(三)审计报告
(10)根据审计情况,编制审计报告,总结企业在个人信息保护方面存在的问题和不足,提出改进建议和整改措施;
(11)发布审计报告;
(四)后续跟踪
(12)跟踪整改措施的落实情况;
(13)审计结束归档。
四、展望
《个人信息保护法》规定了个人信息保护合规审计是个人信息处理者必须履行的法定义务。《征求意见稿》则在《个人信息保护法》框架内对审计进行了进一步的细化,对企业的审计内容和规则有了更具体、落地性的操作指导。但是我们认为《征求意见稿》仍然可能存在一些有待商榷,以及尚待进一步明确的问题。例如以100万人个人信息为划分界限要求至少一年一审或者两年一审,还是显得过于粗糙,是否后续可以增加其他的划分因素,如其管控的个人信息敏感程度、风险程度,或者其是否属于关键信息基础设施运营者等身份情况,又如外审机构资格认定方面,哪些机构可以从事个人信息保护合规审计,需要怎样的资质等都没有明确。期待《个人信息保护合规审计管理办法》正式文件的出台能进一步解决企业开展合规审计的实务问题。
山丘团队
丘山积卑而为高,江河合水而为大——《庄子》,北京市隆安(广州)律师事务所山丘团队专注于新能源汽车领域个人数据合规、出境、交易,知识产权合规与维权,新能源汽车投融资法律,人工智能合规、营销合规与消费者权益保护等。
《个人信息保护法》中明确了个人信息处理者有审计义务,但是对于审计工作具体该怎么做,《个人信息保护法》作为法律,不可能做颗粒度很细的规定,因此实务中个人信息处理者往往都是按照各自的理解来进行个人信息保护审计。今年8月3日,国家网信办发布了《个人信息保护合规审计管理办法(征求意见稿)》(以下简称“《征求意见稿》”),虽然只是征求意见稿,但是其颗粒度和可实操性方面很适合个人信息处理者用其来指导自身的个人信息保护合规审计活动。
下面我们就结合《个人信息保护法》及《征求意见稿》来浅析一下新能源汽车企业作为个人信息处理者,其个人信息保护合规审计该怎么做。
一、《个人信息保护法》中关于审计的规定
《个人信息保护法》中与审计相关的条款:
第五十四条 “个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计”这一条规定了个人信息处理者应当定期进行合规审计,审计的内容是“处理个人信息遵守法律、行政法规的情况”。
第六十四条 “履行个人信息保护职责的部门在履行职责中,发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,可以按照规定的权限和程序对该个人信息处理者的法定代表人或者主要负责人进行约谈,或者要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。个人信息处理者应当按照要求采取措施,进行整改,消除隐患。”该条规定了触发有关部门强制个人信息处理者进行合规审计的两种情形“发现个人信息处理活动存在较大风险或者发生个人信息安全事件”,并且该审计应当由“专业机构”来进行。值得注意的是,这条并没有规定这种触发强制“对其个人信息处理活动进行合规审计”的审计内容是“处理个人信息遵守法律、行政法规的情况”,所以这条实际上给监管部门在此种情形下扩大审计范围提供了依据。
目前新能源汽车企业的产品都毫无例外涉及到大量处理个人信息,并且其对大部分个人信息处理活动是具有掌控权的,毫无疑义属于《个人信息保护法》中的个人信息处理者,所以是具有做合规审计的法律义务的。此外,新能源汽车行业处于强监管的状态,监管部门在其报送汽车数据安全管理情况、进行数据出境安全评估等其他监管场景中发现其个人信息处理活动存在较大风险也是会触发强制审计的,所以在此角度衡量,也必须要做好合规审计。
二、《征求意见稿》要点
1、****审计频次
根据个人信息处理者掌控的个人信息人数,有以下两种审计频次要求:处理超过100万人个人信息的个人信息处理者,每年至少开展一次个人信息保护合规审计;其余不超过的个人信息处理者,应当每二年至少开展一次个人信息保护合规审计。
2、审计方式
根据执行审计工作的机构的不同分为:(1)个人信息处理者内部自行审计,也就是内审;(2)个人信息处理者委托专业的机构进行审计,也就是外审。
根据是否监管部门强制要求也可以分为两种方式:(1)个人信息处理者根据法律要求自发的进行定期审计;(2)监管部门发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,可以强制要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。
3、强制合规审计的执行机构
强制的合规审计由个人信息处理者委托专业机构进行开展。
4、强制合规审计的审计时限
应当在90个工作日内完成个人信息保护合规审计;情况复杂的,报经履行个人信息保护职责的部门批准后可适当延长。
5、审计机构的独立性
应当保持独立性和客观性,连续为同一审计对象开展个人信息保护合规审计不得超过三次。
6、合规审计专业机构资质
对于合规审计专业机构资质问题,《征求意见稿》里并没有明确,什么机构能够从事个人信息保护合规审计活动还有待监管部门进一步的明确。
此外《征求意见稿》里提出由国家网信部门同公安机关等国务院有关部门建立和维护个人信息保护合规审计专业机构推荐目录,并鼓励个人信息处理者优先选择推荐目录中的专业机构。这里面的细节也有待后续监管部门的进一步明确。
7、审计参考要点
《征求意见稿》包含有一份《个人信息保护合规审计参考要点》(简称《参考要点》)的附件。《参考要点》比较全面地覆盖了个人信息处理全流程的合规项目。虽然只是参考要点,并没有强制性,但是这本身属于监管部门总结的要点,一定程度上代表了监管的态度。另外该《参考要点》也梳理得比较全面,因此建议进行审计的时候,可以参考该附件,然后结合自身的业务场景,进行一定的增补,形成企业的审计依据文件,然后去开展审计活动。
三、审计工作的开展
1、确定企业身份适用
通过梳理企业处理的个人信息的量,确定企业的身份是否属于处理超过100万人个人信息的个人信息处理者,以便确认企业是适用2年一次定期审计,还是适用1年一次定期审计。值得注意的是《征求意见》中并没有说明100万人个人信息是限于企业各个产品或者服务的业务场景处理的个人信息,也就是说应当是包括企业员工、企业通过销售渠道掌控到的客户个人信息、车载设备采集到的非车主的个人信息等等。这里面有个技术问题,结构化数据中的个人信息通常是比较容易统计的,但是在海量的半结构化数据甚至非结构化数据中进行个人信息的识别和统计并不是容易的事,需要有相应的技术手段,以及建立好分类分级等相应的个人信息处理的底层逻辑、管理机制。
2、审计制度建设
根据《个人信息保护法》和《征求意见稿》的规定,确定企业内部审计的负责部门,在企业的数据合规合规管理体系中加入个人信息保护合规审计的流程和制度。
《个人信息保护法》和《征求意见稿》中并没有明确规定企业进行个人信息保护审计的时候,在企业内部应当由什么样的部门负责。从管理体系融合的角度考虑,可以将个人信息保护合规审计的管理制度、管理流程合并到企业原先的数据合规的管理体系中,岗位设置在企业原本已有的审计部门或者机构,审计部门的人员可能会面临不熟悉个人信息保护合规审计的内容和规则,这就需要在加强培训的同时,可以在审计时候根据需要聘请外部的顾问、专家协助进行审计。
3、内审和外审的选择
对于非强制性的审计,企业可以根据自身的情况选择外审或者内审。内审有成本优势,内部人员通常也更熟悉企业的情况,业务场景状况,与企业内部人员沟通通道也更畅通,开展审计工作更加便利,但是也有可能限于人员本身的知识、经验、客观性、专业性等问题导致审计效果不佳。
企业如果自评个人信息保护合规风险较高或者对个人信息保护合规审计能力不足等情况下,建议还是做外审。专业的审计机构专业能力更强、客观性和权威性也更好。在外审时候应给予外审人员足够的支持和配合,让外审人员能够更透彻的了解企业实际情况,业务场景,个人信息处理情况,以便让外审人员做出足够专业和具有权威性的审计报告。在与外审机构签订合同时候,应注意除了传统的合同条款外,还应增加数据处理条款,以保证审计过程中的数据合规。
4、内审怎么做
个人信息保护合规内审可以根据各个企业的实际情况制定,一般可以包含以下步骤:
(一)审前准备工作
(1)编写内审计划,制定审计时间、目标、范围;
(2)确定审计小组成员组成;
(3)审计前的调查:包括调查个人信息合规制度的运行情况、涉及个人信息处理的各个场景、上次审计情况等,并收集个人信息保护相关的法律、法规、政策和标准文件以及企业内部的相关标准制度文件;
(4)根据《参考要点》等相关法律法规规定、企业的标准等,制定详细审计方案,包括具体的审计方法,审计内容、执行人、执行时间等;
(5)发出审计通知书;
(二)实施审计
(6)审计方式可以包括但不限于通过与被审计对象交谈了解,要求被审计对象如实填写调查问卷,审查被审计对象进行个人信息处理活动的相关文件,数据处理合同,现场查看系统的个人信息处理情况,进行技术检测等等;
(7)审计方法可以包括对内控制度进行健全性测试和有效性测试,以及对个人信息全生命周期的处理进行穿行测试等等;
(8)根据检查和测试情况,进行个人信息保护合规分析,拟制中期审计报告;
(9)召开会议向被审计部门通报中期审计报告,核实审计中发现的问题,要求相关人员限期整改;
(三)审计报告
(10)根据审计情况,编制审计报告,总结企业在个人信息保护方面存在的问题和不足,提出改进建议和整改措施;
(11)发布审计报告;
(四)后续跟踪
(12)跟踪整改措施的落实情况;
(13)审计结束归档。
四、展望
《个人信息保护法》规定了个人信息保护合规审计是个人信息处理者必须履行的法定义务。《征求意见稿》则在《个人信息保护法》框架内对审计进行了进一步的细化,对企业的审计内容和规则有了更具体、落地性的操作指导。但是我们认为《征求意见稿》仍然可能存在一些有待商榷,以及尚待进一步明确的问题。例如以100万人个人信息为划分界限要求至少一年一审或者两年一审,还是显得过于粗糙,是否后续可以增加其他的划分因素,如其管控的个人信息敏感程度、风险程度,或者其是否属于关键信息基础设施运营者等身份情况,又如外审机构资格认定方面,哪些机构可以从事个人信息保护合规审计,需要怎样的资质等都没有明确。期待《个人信息保护合规审计管理办法》正式文件的出台能进一步解决企业开展合规审计的实务问题。
山丘团队
丘山积卑而为高,江河合水而为大——《庄子》,北京市隆安(广州)律师事务所山丘团队专注于新能源汽车领域个人数据合规、出境、交易,知识产权合规与维权,新能源汽车投融资法律,人工智能合规、营销合规与消费者权益保护等。