《数据安全技术 个人信息保护合规审计要求(征求意见稿)》的主要亮点及完善建议
进一步确立个人信息保护合规审计标准
——《数据安全技术 个人信息保护合规审计要求(征求意见稿)》的主要亮点及完善建议
为指导、规范个人信息保护合规审计活动,2023年8月,国家互联网信息办公室发布《个人信息保护合规审计管理办法(征求意见稿)》公开征求意见。日前,全国网络安全标准化技术委员会发布国家标准《数据安全技术 个人信息保护合规审计要求(征求意见稿)》(以下简称《征求意见稿》)公开征求意见,进一步规范个人信息处理者开展个人信息保护合规审计。意见反馈截止日期为2024年9月11日。《征求意见稿》贯彻落实个人信息保护法相关规定,明确了开展个人信息保护合规审计时应遵循的审计原则、总体要求等,并提供了审计证据、审计内容和审计方法、审计底稿模板、审计报告模板等资料性附录,为个人信息保护合规审计工作明确了具体执行规则,填补了个人信息保护法确立合规审计以来下位规范的空白。它不仅适用于个人信息处理者开展个人信息保护合规审计工作,也可为相关机构对个人信息处理活动进行个人信息保护合规审计提供参考。
主要框架及价值
《征求意见稿》进一步贯彻落实个人信息保护法第五十四条、第六十四条提出的个人信息保护合规审计制度,在《个人信息保护合规审计管理办法(征求意见稿)》基础上,搭建了更加细致的审计框架体系,且遵循审计权限、拓展审计原则、补充了审计内容等。例如,《征求意见稿》在审计原则方面,明确提出合法性、独立性、客观性、全面性、公正性、保密性原则;在审计权限方面,提出应保证专业机构能够正常行使下列权限:a)要求提供或者协助查阅相关文件或资料;b)进入个人信息处理活动相关场所;在审计内容方面,规定被审计方的个人信息处理活动、信息系统、应用程序以及相关部门、人员和制度等。
总体来看,《征求意见稿》的制定、发布,有两方面意义:一方面,贯彻落实个人信息保护法相关规定。坚持科学立法、严格执法、公正司法、全民守法,实现良法善治,既需要完备的法律规定,还需要具体、细化的执行措施。个人信息保护法虽然确立了个人信息保护合规审计制度,具有极大的创新价值,但它与传统的财务审计制度相比差别大,难以套用传统的审计模式、审计方法,因此,作为国家标准,《征求意见稿》对个人信息保护法规定的具体内容进行了细化和落实。另一方面,满足个人信息保护合规审计执行需求。个人信息保护合规审计作为一项崭新的制度,成熟的、可借鉴的经验较少,《征求意见稿》通过明确审计权限、审计原则、审计流程、审计证据管理等内容,细化了合规审计的操作规则,这不仅有利于维护个人信息的利用秩序,还可以为个人信息处理者开展个人信息保护合规审计工作提供参考。此外,在被提起个人信息侵权诉讼时,个人信息处理者还可通过提供个人信息合规审计报告证明自身已履行相应的合规义务。
完善建议
目前,《征求意见稿》主要以《中华人民共和国个人信息保护法》《个人信息保护合规审计管理办法(征求意见稿)》作为上位法依据,但作为一项审计工作,还需要遵循审计的一般规范。例如,若委托会计师事务所承担合规审计工作,需要遵守《中华人民共和国注册会计师法》及相关准则;若由单位内部机构实施合规工作,需要遵守内部审计准则等规定。因此,《征求意见稿》还需对此进行衔接、完善。
进一步完善“审计证据”的概念。《征求意见稿》“3.2审计证据”明确,“审计人员获取的能够为个人信息保护合规审计审计结论提供合理基础的全部事实,包括个人信息保护合规审计过程中收集、使用或发现的记录、事实陈述或其他信息”;“5.1.3个人信息保护合规审计证据管理”规定,“个人信息处理者应保证提供的审计证据真实、完整、有效”。这两个条款关于审计证据的规定并不一致。个人信息处理者作为被审计对象,应该履行提供真实、完整、有效资料的义务,但这些资料能否作为审计证据使用,需要审计人员经过检查、认定之后,才能形成支持审计结论的资料,从而转化为审计证据。因此,个人信息处理者只能保证提供资料,而不能直接提供“审计证据”。《国家审计准则》第八十二条规定,“审计证据是指审计人员获取的能够为审计结论提供合理基础的全部事实”。实际上,事实发生了,只能通过记录来“拼接”“回顾”。这种记录就是信息,包括书面记录的信息、实物表达的信息,抑或相关人员口述的信息。《中国注册会计师审计准则第1301号——审计证据》第四条规定,“审计证据,是指注册会计师为了得出审计结论和形成审计意见而使用的信息”,建议《征求意见稿》将审计证据界定为,“审计人员获取的能够为个人信息保护合规审计审计结论而使用的信息。”
建议删除或完善再监督条款。《征求意见稿》“5.1.2个人信息保护合规审计实施管理”规定,“开展个人信息保护合规审计应加强管理,并满足以下要求:……e)提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当成立主要由外部成员组成的独立机构对个人信息保护合规审计情况进行监督”。该规定旨在对个人信息保护合规审计进行再监督,尤其针对“提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”,但在实践中是否方便操作,值得思考。一方面,为了强化再监督的权威性,明确由外部成员组成的独立机构实施再监督,外部成员由哪些人员组成,能否比合规审计组更具有权威性、专业性?另一方面,如果出现再监督的结果与合规审计出具的结论不一致(排除合规审计出现明显错误的情况),应以谁的结论为最终结论?因此,“外部成员组成的独立机构”适用性,需进一步斟酌。建议删除或进一步完善该条款。
进一步完善“异议解决”的程序。《征求意见稿》A.4审计报告阶段部分“A.4.1异议解决”规定,“撰写审计报告前,审计人员与审计对象之间应建立异议解决机制,对审计对象提出异议的审计结论应及时进行沟通确认,并将沟通结果和审计结论归档保存。”审计结论的异议解决是审计主体与被审计对象之间良好沟通的重要渠道。由于审计主体并不能完全掌握被审计对象的资料信息,审计结论难免会出现偏差,为了保护被审计对象的权益,设置“异议解决”程序尤为必要。但《征求意见稿》只明确了建立异议解决程序,没有明确规定如何对待“异议”。《第3101号内部审计实务指南——审计报告》第三十五条规定,“被审计单位对征求意见的审计报告有异议的,审计组应当进一步核实,并根据核实情况对审计报告作出必要的修改。审计组应当对采纳被审计单位意见的情况和原因,或者被审计单位未在规定时间内提出书面意见的情况作出书面说明。”建议《征求意见稿》改为:“撰写审计报告前,审计人员与被审计对象之间应建立异议解决机制,审计人员经沟通、核实后,对审计结论进行必要的修改。对未采纳的异议意见,审计人员应当说明并记录归档。”
此外,《征求意见稿》在用词、表述方面还需要进一步完善,确保国家标准的规范性。比如,《征求意见稿》“4个人信息保护合规审计原则”规定,“审计人员应独立于审计活动,与被审计方无利益冲突。”审计人员实施审计活动,必须参与其中,如何独立于审计活动?建议修改为“审计人员应独立于被审计对象或被审计事项”。同时,建议将个人信息处理者、被审计方等词语,统称为被审计方。
本文为重庆市社会科学规划项目“基于国家治理现代化的党内监督与审计监督贯通机制研究”(项目编号:2022NDYB18)的阶段性研究成果。
(作者为西南政法大学审计与法治研究中心执行主任、教授)