适用场景
适用于所有在中国境内处理个人信息的企业,无论其规模大小或是否涉及跨境业务。特别是处理超过100万个人信息主体的企业,以及在数据合规方面面临较高风险或发生安全事件的企业。
核心要点
1. 审计主体与范围
任何在中国境内处理个人信息的组织都需进行合规审计。中国法律对“个人信息处理者”的定义广泛,涵盖收集、存储、共享、转移等所有活动,不区分“控制者”与“处理者”。
2. 审计频率要求
处理超过100万个人信息的企业至少每年审计一次;其他企业至少每两年审计一次。此外,若存在较高风险或发生安全事件,网信部门可强制要求进行审计。
3. 审计机构选择与要求
企业可自行或委托专业机构进行自发审计;但若为网信部门强制要求,则必须委托专业机构。网信部门将发布推荐机构名单,并对机构的独立性、客观性、保密性等方面有严格要求。
4. 强制审计的特殊流程
网信部门要求的审计需在90个工作日内完成,审计机构需获得充分访问权限,审计报告需经负责人签字盖章后提交网信部门,企业还需根据审计结果制定并提交整改报告。
5. 审计内容全面性
审计范围广泛,覆盖个人信息处理活动的各个方面,包括处理目的、法律依据、告知同意、共享委托、自动化决策、敏感信息处理、未成年人信息保护、跨境传输、个人权利保障及内部管理制度和安全措施等。
实务建议
- 定期评估企业处理的个人信息数量,明确自身审计频率要求,并提前规划审计工作。
- 建立健全内部个人信息保护制度和技术安全措施,确保数据处理活动全流程合规。
- 对于涉及跨境数据传输的业务,应特别关注相关合规要求,并将其纳入审计重点。
- 考虑与专业的第三方机构建立合作关系,以便在需要时能够迅速启动外部审计。
- 加强员工数据合规意识培训,确保所有涉及个人信息处理的员工了解并遵守相关规定。
风险提示
- 忽视对“个人信息处理者”的广泛定义,可能导致未能识别自身合规审计义务。
- 未能按规定频率进行审计或未有效整改,可能面临《个人信息保护法》下的行政处罚,甚至刑事责任。
- 在网信部门强制审计时,未能配合提供必要资料或未能按时完成审计,将面临额外风险。
- 委托不具备独立性、客观性或专业能力的机构进行审计,可能导致审计结果无效或被质疑。
- 审计报告流于形式,未能真实反映问题并有效推动整改,将无法达到合规目的。