《个人信用信息合规与审计服务》项目介绍
《个人信息保护法》颁布以来,我国已形成“监管机构——企业”上下发力推进数据合规多层次建设的治理格局,个人信用信息合规与审计服务的工作进入新篇章。2023年8月,国家网信办制定出台了《个人信息保护合规审计管理办法(征求意见稿)》,就《个人信息保护法》中第54、64条项下的个人信息保护合规审计要求提供了落地指引。个人信用信息合规与审计服务要求企业应当按法律要求实施,也是监管向深水区更进一步的重要标志。本文以征求意见稿的出台为背景,分析个人信用信息合规与审计服务的背景与价值,把握实操要点与流程,并基于数据合规新规及新形势下提出企业数据信用信息合规的对策。
一、服务背景
个人信用信息合规与审计服务最早由《信息安全技术 个人信息安全规范》(GB/T 35273-2020)提出。此后,2021年11月生效的《中华人民共和国个人信息保护法》(下文简称“个人信息保护法”)明确规定了个人信息处理者的个人信息保护合规审计义务,并将审计分为自行审计与监管审计两种情形,自此企业需承担个人信用信息合规与审计服务义务。为进一步细化与落实《个人信息保护法》上述原则性规定,2023年8月,国家网信办制定出台了《个人信息保护合规审计管理办法(征求意见稿)》,为构建与执行个人信用信息合规与审计服务工作提供更多细节性指导。
二、服务价值
于企业而言,个人信用信息合规与审计服务不仅是一项法律义务,更能为企业带来商业价值并规避合规风险。
首先,开展个人信用信息合规与审计服务工作建立在企业对自身个人信用信息处理活动开展全局性尽职调查的基础上,此过程能够使得企业充分了解其所掌握的个人信用信息,即数据资产类型、内容、规模等,借此机会盘活数据资产,充分发挥数据资产商业价值;
其次,企业通过开展尽职调查,能够全面掌握个人信用信息合规处理活动情况,发现尚未察觉的合规风险点,将所有活动纳入企业信用合规建设工作体系中,进一步避免产生潜在的信用合规风险问题;
最后,《个人信息保护法》提出个人信息处理者侵犯个人信息权益时,个人向法院起诉主张侵权责任的,实行举证责任倒置原则,由个人信息处理者承担举证责任。企业作为个人信息处理者,建立完善的内部信用合规流程与审计制度能够充分识别其个人信用信息合规处理活动中存在的法律风险,并进行针对性整改,形成完整记录,在发生争议时能够实现“自证清白”,铸成“金色盾牌”,降低被处罚概率。
为此,企业应以正向态度迎接个人信用信息合规与审计服务工作,积极落实相关规定,建立符合自身特点的个人信用信息合规与审计服务制度。
三、个人信用信息合规与审计服务和财务审计服务的异同
(一)都带有监管性质,但监管事项不同。
1、个人信用信息合规与审计服务旨在通过审计方式对于企业的个人信用信息合规处理活动进行事后监督。
2、财务审计服务旨在通过审计方式对于特定企业,如涉及国有资产项目或特定项目的企业,依法强制要求审计的企业等的财务状况进行事后监督。
(二)都存在法律强制要求,但适用范围不同。
1、依据法律规定,所有企业都需开展个人信用信息合规与审计服务。
2、除法律规定需要开展财务审计服务的企业外,其他企业无需开展财务审计服务。
(三)都具备独立性与中立性。
1、个人信用信息合规与审计服务在特定情形下需引入第三方专业机构进行外部合规审计服务,且同一专业机构连续为同一审计对象开展个人信用信息合规与审计服务次数不得超过三次。
2、财务审计服务,除部分特殊情形外,如涉及国有金融机构等,必须定期轮换财务审计机构。
四、个人信用信息合规与审计服务的实操要点及流程
(一)审计实操要点
个人信用信息合规与审计服务工作需要企业各部门通力协作完成,一般而言法务/合规部门发挥牵头或引导作用。当然,个人信用信息合规与审计服务工作也离不开IT部门、业务部门、HR部门等部门的支持。当前大部分企业采用电子化、系统化方式存储与处理个人信息,因此,了解企业个人信用信息合规与审计处理活动全流程,需要建立在充分了解企业整体IT架构与企业业务等情况的基础上进行。
企业可从制度设计层面率先开展个人信用信息合规与审计服务工作。企业在开展个人信用信息合规与审计服务工作前,应参照《个人信息保护合规审计管理办法(征求意见稿)》附件中所列合规审计参考要点搭建配套且完善的企业合规审计制度,包括成立审计小组,明确参与成员及负责人;确立审计整体策略,如审计流程、方式与审计结果整改措施等。基于监管视角,《个人信息保护合规审计管理办法(征求意见稿)》所附参考要点是对于《个人信息保护法》规定的企业数据保护义务的细化与充实,应被视为具备强制性效力的个人信用信息合规与审计服务基准,未来实行后将会转化为企业合规义务,因此企业在开展制度设计时需予以充分考量,并可建立内部合规审计全流程要点列表,以此为标准判断企业是否满足合规要求。
(二)审计流程
1、审计流程
如上文所述,企业开展个人信用信息合规与审计服务工作应以完善的制度设计为基础,建议企业内部搭建总领性合规职责机构(如遴选法务/合规、业务、IT等部门的负责人),进而明确划分其他各部门合规职责,防止互相推诿现象的发生。制度设计具体可从以下方面开展;
第一,明确审计流程。以监管审计为例,由于需要引入专业的第三方机构,因此企业审计流程需明确选定专业的第三方机构,并根据监管部门的具体要求,明确启动审计的具体场景与审计频率。在定期审计方面,对于处理个人信用信息合规与审计处理活动复杂的企业,可以自行适当提高审计频率,并可针对企业自身情况设定启动审计的特殊场景,如设定开展新业务时,若涉及个人信息处理或敏感个人信息处理,或涉及新技术、新应用时,可启动个人信用信息合规与审计服务工作。
第二,明确审计策略。即企业需明确个人信用信息合规与审计服务目的,如企业个人信息处理风险整体偏低,则其可按照符合法定要求的最低限度频率开展审计,或根据企业不同时期或不同业务需求启动审计工作,以及配合第三方专业机构审计工作的策略等内容。
第三,明确审计方式。企业应依据《个人信息保护合规审计管理办法(征求意见稿)》所附参考要点确定审计方式,包括访谈、审阅制度文本、调取系统数据、APP检测等。
第四,明确执行和整改要求。企业需在制度中明确规定,审计结果公布后各职能部门的执行和整改责任,以及执行落空后的补救措施、责任承担等。
2、审计频率
法律对于个人信用信息合规与审计服务频率提出了最低要求,即处理超过100万人个人信息的个人信息处理者,应当每年至少开展一次个人信用信息合规与审计服务,其他个人信用信息合规与审计处理者应当每两年至少开展一次个人信用信息合规与审计服务。但企业可根据自身情况提高审计频率。
(三)个人信用信息合规与审计服务与三法衔接
《个人信息保护合规审计管理办法(征求意见稿)》是对《个人信息保护法》的全盘细化,并与《中华人民共和国数据安全法》《中华人民共和国网络安全法》有关数据保护要求息息相关。例如,企业承担对个人信用信息采取分类分级管理制度,区分敏感个人信信息与非敏感个人信用信息,并进行分区存储,适用不同安全级别进行保护的义务,不仅是履行《个人信息保护法》个人信息保护义务的体现,也是履行《中华人民共和国数据安全法》有关数据分级分类处理保护的义务的体现。又如企业开展个人信用信息合规影响评估工作,能够影响个人信用信息合规与审计服务工作结果,也是履行《个人信息保护法》的合规义务的体现。
可见,开展个人信用信息合规与审计服务能够强化企业合规能力,开展个人信用信息合规与审计服务的过程也是企业自证合规的过程,为此企业应将个人信用信息合规义务落实在日常各项管理中,建立较为完善的合规审计制度,严格把控个人信用信息全生命周期管理的各个环节,降低企业信用信息合规风险发生概率和规避涉企信用合规案件。(信鸽)