■孙文波
今年8月3日,国家网信办发布《个人信息保护合规审计管理办法(征求意见稿)》(以下简称“办法”),面向社会公开征求意见。《办法》对个人信息保护合规审计的概念进行了明确,即个人信息保护合规审计是指对个人信息处理者的个人信息处理活动是否遵守法律、行政法规的情况进行审查和评价的监督活动。
个人信息是自然人基于人的自然属性和社会属性而产生的各种信息。《办法》是《个人信息保护法》规定的具体细化。全文仅有十五个条文,另附有31条“审计要点”。《办法》开宗明义地指出制订的目的在于指导、规范个人信息保护合规审计活动,提高个人信息处理活动合规水平,保护个人信息权益。
现实生活中,很多时候我们需要对个人信息进行处理。但在处理个人信息时,应当如何进行,不仅涉及个人信息权益保护,也涉及企业管理、社会治理等多个方面的内容。因此,《办法》第2条规定了两类情形下应当进行合规审计:一是需要自行定期开展审计的情形。《个人信息保护法》第54条规定,个人信息处理者定期对其处理个人信息遵守法律、行政法规的情况开展合规审计。对个人信息的处理进行定期合规审计是原则。这种审计可以促使个人信息处理者不断开展日常性合规审计工作,确保个人信息不被不适当地披露和使用;二是应监管要求审计的情形。这一细化规定也是落实《个人信息保护法》第64条规定,即履行个人信息保护职责的部门在履行职责中,发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,可以要求个人信息处理者委托专业机构对其个人信息处理活动是否合规进行审计。这种对个人信息的合规审计是基于某些特定事项发生或可能发生时,监管部门及时开展的合规审计,以确保个人信息不会产生信息安全事件。
除了明确个人信息合规审计的情形外,《办法》还根据个人信息的不同合规审计情形,作出了明确的流程制度安排。
针对需要定期开展合规审计的情形,该《办法》规定,处理超过100万人个人信息的处理者,应当每年至少开展一次合规审计;其他个人信息处理者应当每二年至少开展一次合规审计。审计的方式可以是组织内部自行设立的合规审计部门根据规定进行合规审计,也可以委托专业机构按照规定要求开展审计。
针对应监管要求开展合规审计的情形,《办法》规定,应要求开展的合规审计,必须由个人信息处理者委托专业机构进行,而不能自行开展审计工作。因为在监管合规审计的情形下,个人信息已经面临不安全的因素,故只能交由专业机构进行合规审计,而不能再由组织内部机构自行开展审计活动。同时,为确保专业机构能够有效开展合规审计,不受外界因素的影响,保证合规审计结论的独立性与客观性,《办法》还规定,连续为同一审计对象开展个人信息保护合规审计不得超过三次。被审计的个人信息处理者,在接到专业机构出具的审计报告后,应当按照整改建议进行整改,并将整改意见先送专业机构复核无误后,再将相关报告、整改意见报送履行个人信息保护职责的部门,报告应当由合规审计负责人、专业机构负责人签字并加盖专业机构公章。
这种严格的个人信息合规审计流程,出于对个人信息的严格保护。从现实中来看,因共同处理或者委托处理某一项事务,或者因企业的合并、重组、分立、解散、被宣告破产等原因需要转移个人信息的情形下,或者需要向第三方提供个人信息、公开个人信息、在公共场所安装图像采集、个人身份识别设备,或者处理已公开个人信息、处理敏感个人信息、处理不满十四周岁未成年人个人信息,甚至需要向境外提供个人信息等情形下,往往都会涉及到个人信息的保护问题。
我国不少企业用工量较大,需要处理的个人信息较多,也是我国管控个人信息的重点单位。可以预见的是,在个人信息保护合规审计成为执法机构常态化监管的重要手段的情况下,企业应当如何应对员工个人信息的保护,保证企业员工的个人信息安全,也是摆在企业开办者面前的一道重要课题。
笔者认为,对于企业员工的个人信息保护工作可以从以下几个方面展开:
一是负有个人信息保护职责的企业以及专业第三方机构,应当尽快熟悉个人信息保护法以及即将颁行的《办法》对个人信息保护的要求,通过组织全员学习,提高员工对个人信息保护的重要性认识,确保全体员工真正弄懂相关法律法规的要求,在工作中自觉提高个人信息保护意识。
二是建立、健全有效的企业个人信息保护机制。除了要在企业大力宣传个人信息保护的重要性,让全体员工树立个人信息安全保护的意识,同时尽可能在企业内部设立个人信息处理的机构,依《个人信息保护法》及《办法》的要求,经常性开展个人信息保护的巡查工作,并按要求开展个人信息合规审计。
三是将个人信息合规审计工作纳入企业常态化的内部管控体系。个人信息合规审计应当成为与企业其他内部管理流程同等重要的控制工作,经过梳理企业员工个人信息保护过程中存在的不足,明确个人信息保护中可能存在的风险点,经过设立制度,尽可能消弥风险,或者将风险置于可控的环境之中。这种制度的设立有必要将个人信息保护与现有企业的相关业务整合起来,形成完整的合规控制流程,通过流程改造,强化制度对个人信息保护的支撑。
四是将个人信息保护的要求同员工的工作职责挂钩。通过设立专职或在特定管理部门设立特定职能的办法,强化对员工个人信息保护的考核机制,要将个人信息保护的成效不仅落实到员工身上,更要落实到负有特定监管职责的人员身上。通过这种双管齐下的方法,真正将对员工个人的信息保护工作落实到位。
当然,作为企业整体绩效的重要组成部分,企业员工的个人信息保护除了可以采取以上这些措施外,还可以通过有针对性地设立企业评价体系,以增强企业对个人信息保护合规管理的科学性、实效性。例如,即将颁行的《办法》要求,个人信息处理者应当依照法律、行政法规的规定制定内部管理制度和操作规程,明确组织架构、岗位职责,建立工作流程、完善内控制度,保障个人信息处理合规与安全。审计时,应当重点对个人信息保护内部管理制度和操作规程进行审查。因此,企业可以依托内控管理流程,定期或不定期地开展对企业个人信息合规工作复盘、评价等工作,以核查在个人信息保护工作中是否面临或现实存在的控制漏洞,并尽可能通过人为干涉,堵塞漏洞,从而不断提高个人信息合规管理水平。
(作者系佛山市法学会知识产权专业委员会主任)