《企业信用信息合规与审计服务》项目介绍

   一、服务背景

   长期以来，企业信用信息合规与审计服务工作进程较为缓慢，基于实践经验，企业数信用信息合规与审计服务涉及专业人才和时间成本较大，企业信用信息合规与审计服务工作不仅为第三方专业机构带来巨大工作压力，也可能对企业经济效益造成一定困扰。在综合考虑保障国家数据安全、保护个人信息权益，同时降低审计机构和监管部门压力、营造良好营商环境的基础上，国家网信办于2023年9月23日发布《规范和促进数据跨境流动规定（征求意见稿）》。

   二、企业信用信息合规义务

  《规范和促进数据跨境流动规定（征求意见稿）》的出台并不意味着企业数据出境的所有相关合规义务的减免，其第五条规定，“预计一年内向境外提供不满1万人个人信息的，不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。但是，基于个人同意向境外提供个人信息的，应当取得个人信息主体同意。”第六条规定，“预计一年内向境外提供1万人以上、不满100万人个人信息，与境外接收方订立个人信息出境标准合同并向省级网信部门备案或者通过个人信息保护认证的，可以不申报数据出境安全评估；向境外提供100万人以上个人信息的，应当申报数据出境安全评估。但是，基于个人同意向境外提供个人信息的，应当取得个人信息主体同意。”由此可见该文件仅旨在免除企业签订标准合同与备案等负担，企业仍需遵守《个人信息保护法》等法律所规定的，如个人信用信息出境需取得个人信用信息主体的单独同意、开展个人信用信息合规与审计影响评估等义务。

   此外，企业信用信息合规与审计服务新规是否适用于自身情况，以《规范和促进数据跨境流动规定（征求意见稿）》第五条与第六条为例，其明确规定了申报门槛，企业需根据自身情况判断是否符合申报门槛。但如果以“预计一年内向境外提供的个人信息数量”为标准，仍存在一定的适用争议，基于实践经验，建议企业若无法从业务或个人增量预估时，可进行既有企业信用信息合规与审计服务。

   三、企业信用信息合规义务审计服务

   当前《规范和促进数据跨境流动规定（征求意见稿）》尚存在一些适用问题争议，如第八条第二款对于敏感个人信息出境作出保留，规定“向境外提供涉及党政军和涉密单位敏感信息、敏感个人信息的，依照有关法律、行政法规、部门规章规定执行。”相关表述存在模糊性，易引发“所有的敏感个人信息”还是仅指“党政军和涉密单位的敏感个人信息”的争议。

   为此，企业在审计企业信用信息合规义务时，首先应审慎判断其所适用的出境路径，在新规出台后，若能够明确适用新规豁免条件时，则可自由从事数据出境活动，反之，则需履行相应的数据出境合规义务。企业应及时关注政府立法动态，行业主管部门与地区主管部门有关数据出境的相关规定，并作出针对性调整，降低合规成本，防范信用信息合规涉案风险。其次，企业应积极审计企业信用信息合规义务承担情况，如个人信用信息合规审计服务影响评估、单独同意等义务的承担。最后，企业信用信息合规义务的审计不是一成不变的，而是动态调整的过程，企业需定期动态审计估自身信用信息数据合规情况，并作出针对性数据信用合规动作的改进。