2025年2月12日,网信办发布《个人信息保护合规审计管理办法》,将自2025年5月1日起施行。此前,网信办于2023年8月3日发布草案面向社会公开征求意见,历时一年半发布正式终稿。
相比征求意见稿,终稿有几处明显的变化,反映出网信办对数据保护的监管立场有所放宽。
本办法是《个人信息保护法》和自2025年1月1日起施行的《网络数据安全管理条例》下有关个人信息保护合规审计要求的实施细则。
根据《个人信息保护法》规定,个人信息处理者(类似于欧盟和其他法域数据隐私法定义的数据控制者)有义务定期进行个人信息合规审计(第五十四条),如果发现个人信息处理活动存在较大风险或者发生个人信息安全事件,数据保护主管部门(如网信办)可要求相关个人信息处理者委托专业机构进行合规审计(第六十四条)。
《网络数据安全管理条例》第二十七条要求网络数据处理者(其含义相当于个人信息处理者,只不过后者仅涉及个人信息,不涉及其他数据)定期自行或委托专业机构进行合规审计。
《个人信息保护法》《网络数据安全管理条例》和其他法律法规对个人信息处理者设置了诸多数据保护义务。
但显然,网信办没有、未来也不可能有足够的资源和精力,来监督所有个人信息处理者的信息处理活动。通过制定实施审计要求,网信办能够调动社会资源(无论是个人信息处理者本身或他们委托的专业机构)来有效敦促个人信息处理者持续保持个人信息处理活动合规。
建议
此次审计管理办法并未规定处理不超过1000万人个人信息的个人信息处理者进行审计的频次,或启动和完成首次审计的时间。因此,即使在2025年5月1日之后,个人信息处理者亦无强制性义务必须立即进行审计。
包括建议性国标在内的进一步指引仍有待出台。中国的个人信息处理者可考虑暂时推迟启动审计,同时密切关注监管动态,为全面的审计作好准备。
不过,准备工作应即刻开始。处理大量个人信息的个人信息处理者应利用这段时间作好数据映射和数据清单分析工作,评估:
-
- 自己在中国总共处理多少人的个人信息;以及
- 处理个人信息的具体业务场景。
如果个人信息处理者有可能达到审计门槛,或者预料有安全风险,尽早规划以及作好风险评估有助减轻合规问题。主动采取措施可降低被主管部门要求进行审计的可能性,避免出现重大不合规发现。
处理超过1000万人个人信息的个人信息处理者应作好定期审计的规划,理想情况是在此次审计管理办法正式施行后两年内完成。
除合规问题外,审计还可能对业务产生深远影响。
监管部门可能要求提供审计证据,以证明个人信息处理活动遵守数据保护和数据安全方面的法律法规。从他人处收取个人信息的个人信息处理者可能还需要向业务伙伴证明合规。监管也许有弹性,但不可轻视审计要求,合规可能影响监管审查和业务运营。
《商法摘要》由贝克·麦坚时国际律师事务所协助提供,内容仅供参考之用。读者如欲开展与本栏内容相关之工作,须寻求专业法律意见。读者可通过以下电邮与贝克·麦坚时联系:吴昊(上海)howard.wu@bakermckenzie.com
