网信办拟细化个人信息保护合规审计, 企业需定期做“体检”
21世纪经济报道记者王俊 冯恋阁 钟雨欣 郑雪 北京、广州报道
8月3日,中央网信办就《个人信息保护合规审计管理办法》(简称《办法》)及配套的《个人信息保护合规审计参考要点》(简称《要点》)公开征求意见。
(相关资料图)
不少受访专家认为,这是监管机构常态化监管和个人信息处理者自我规制的关键一环。并且,能够有效弥补监管资源的紧张,发挥全面的社会监督的作用,是监管的有效补充。
根据《办法》要求,处理超过100万人个人信息的个人信息处理者,应当每年至少开展一次个人信息保护合规审计;其他个人信息处理者应当每二年至少开展一次个人信息保护合规审计。
也就是说企业均需定期做个人信息保护“体检”。
值得注意的是,配发的《要点》对个人信息处理的各个环节都一一划出了审计重点,比如对个人信息处理规则应重点审计:存储期限的确定方法、到期后的处理方式以及注销账号、撤回同意的途径和方法;告知是否以显著方式、清晰易懂的语言真实、准确、完整地向个人告知个人信息处理规则。
利用自动化决策处理个人信息的,要重点审计是否事前对算法模型进行安全评估,是否事前对算法模型进行科技伦理审查;处理已公开信息的,要审计是否利用已公开的个人信息从事网络暴力活动等。
《办法》和《要点》征求意见稿发布,意味着《个人信息保护法》中规定的个人信息处理者的审计义务将进一步走向落实,将成为法律落实的又一重要抓手。
个保合规审计全覆盖
个人信息保护合规审计已经成为国际通行做法。
北京师范大学法学院博士生导师、中国互联网协会研究中心副主任吴沈括深度参与了《办法》的制定工作,他表示,个保合规审计办法本身是贯彻个保法的具体举措,个保法中有关于个保合规审计的专门规定,所以这是法定的制度要求。
“在实务层面,个保合规审计能够有效弥补监管资源的紧张,发挥全面的社会监督的作用,是监管的有效补充。《要点》本身是个保合规审计开展的业务指引和核心要求,作为一个参考性的文件,具有很强的实务指引意义。”吴沈括说。
北京大成律师事务所高级合伙人邓志松认为,采取定期审计,能够对个人信息处理者起到实时监督的作用,以避免一次性审查所导致的后续监督缺位的情况,是常态化监管的重要组成部分。
《办法》细化了《个人信息保护法》中的自我合规评估以及强制合规评估的要求。在《个人信息保护法》中,合规审计包括两种类型,一种是第54条规定的由个人信息处理者发起的自我合规评估,另一种是第64条规定的强制合规评估。
对于自我合规评估,《办法》第四条规定,处理超过100万人个人信息的个人信息处理者,应当每年至少开展一次个人信息保护合规审计;其他个人信息处理者应当每二年至少开展一次个人信息保护合规审计。
吴沈括表示,这两种不同的审计要求将会实现个保合规审计的全面覆盖。“在这个过程当中,拥有100万人以上个人信息的被审计主体需要承担更高的主体责任。未来随着企业主动审计和监管审计职责的开展,个保合规审计将会发挥越来越大的作用,使个人信息保护各项要求内嵌到主体的业务流程当中,成为合规和治理体系的重要组成部分。”
360集团资深法律顾问甘青锋告诉21世纪经济报道记者,从企业角度出发,会更关注定性内容,如对于“处理超过100万人个人信息的个人信息处理者”的理解。对于“处理”“100万人”的认定,之前《网络安全审查办法》、《数据出境安全评估办法》中都有相关规定,当时就存在一些争议。数据处理是一个动态过程,认定“处理”以及“100万人”等定义,较为模糊。“实践中,可以参考平台用户数进行判断,但并不意味着所有行业和场景都是以用户数为判断基准。”她表示。
在资深数据法律师袁立志看来,实践中,触碰到100万门槛的企业不在少数。这条规则如果投入实践,意味着很多企业——包括大型平台、中小型科技企业以及许多大型传统企业等都可能面临一年一次的合规审计,即使数据量达不到100万人的个人信息,两年一度的审计也基本无法避免。
合规审计全面覆盖各项个人信息保护义务,有着督促其他各项制度落实的效果,个人信息保护力度提升的另一面,合规成本的全面拉升也几乎是必然结果。“如果按照这一标准严格执行,成本提升极有可能对中小企业的经营带来一定压力。”袁立志直言。
“我呼吁应为中小企业提供相应豁免制度或简易程序。”袁立志表示,以“100万”为基准划定不同的合规义务很可能不适用于商业实践。这样简单的“一刀切”极有可能将过重的合规义务划到中小企业的头上,并不利于市场营商环境。在他看来,未来监管侧可以尝试针对中小企业降低标准、增加豁免的例外情况,比如将业务不依赖大规模数据处理的传统企业排除,或者将处理个人信息量较多但数据类型较少且不敏感的企业排除,或者为符合条件的企业提供简易审计程序,比如鼓励中小企业自行审计,只审计重点合规事项,或者对连续多年无违规的企业降低审计频次。“在规则、标准正式落地前,这些问题应该得到重视和讨论。”
邓志松补充道,根据《办法》,不仅大规模数据的个人信息处理者进行定期合规审计,其他个人信息处理者也同样负有合规审计义务。对于大型企业来说,由于其业务复杂、涉及处理个人信息的场景众多,审计工作又需要各部门之间的协调和配合,如何落实一年一度的合规审计工作还需要进一步摸索;而对于中小企业来说,他们很少有专门人员能够从事此类工作,通常需要依靠委托第三方机构来完成此项要求,从而客观上也会增加运营成本。
从合规与成本的平衡点来看,邓志松建议对个人信息处理者及其审计频率做进一步的细分。他认为,目前草案仅划分“处理超过100万人个人信息的个人信息处理者”和“其他个人信息处理者”有些宽疏,可以结合商业实践做进一步细化,以减轻企业合规负担。
对于强制合规评估,其触发条件就是《办法》规定的:履行个人信息保护职责的部门在履行职责中,发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,可以要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。
算法模型事前审查是重点
值得注意的是,与《办法》一同配发的《要点》,共计31条,涵盖了个人信息处理的各个环节,并划出了审计重点,此前个人信息处理中备受关注的单独同意、自动化决策、守门人条款等进行了细化。
“《要点》是个人信息保护合规审计落地的重要参考文件,起到指导实践操作的作用。”邓志松表示,虽然并非规章的正文,但在个人信息保护合规审计过程中,《要点》所列内容需要予以逐一落实,进行审查与说明。
《个人信息保护法》构建以“告知-同意”为核心的个人信息处理规则。但告知的有效性一直是实践中比较棘手的问题,隐私政策的用户友好度普遍不高。此次《要点》要求,重点审查:个人信息处理者在处理个人信息前,是否以显著方式、清晰易懂的语言真实、准确、完整地向个人告知个人信息处理规则;告知文本的大小、字体和颜色是否便于个人完整阅读告知事项等。
《办法》还对共同处理、委托处理、个人信息转移等情形的审查重点做出明确。
自动化决策相关条款设计是《个人信息保护法》的重点。此次《办法》明确,要重点审查:是否事前对算法模型进行安全评估;是否事前对算法模型进行科技伦理审查;是否采取必要措施对算法和参数模型进行保护等。
吴沈括指出,《要点》细化了关于自动化决策的相关合规要求,而在落地过程中,如何实现敏捷、有效、精准审计是一个非常重大的挑战,需要有相应的工具、人力和审计方法相匹配。
邓志松也表示,《要点》第九条的内容实际上是对此前散落于各规定中有关自动化决策规范要求的细化与总结。对于企业来说,要实现这些要求,需要在技术和规范两方面都予以完善。
“企业需要对每个涉及自动化决策的算法和模型予以评估,同时还要确保这些自动化决策过程的合规性和安全性。而无论是制度的建设还是各个环节的技术设计,都会为企业增加更多时间、人力、物力和金钱成本。但同时,数据合规是一个长期而必要的过程,尽管合规制度的建立过程可能是艰难的,一旦合规制度有效运作起来,其后续的合规成本可能会逐步降低。”邓志松说。
人工智能是近期备受关注的热点话题,这些规定是否会对大模型的研究和商用产生影响?
袁立志认为,自动化决策算法审计和大模型应用在这个问题上没有太多重叠部分。自动化决策算法早在“百模大战”前就广泛应用于互联网平台的产品与服务中,此次单列一条要求审计,只是个人信息保护工作推进的正常动作。而针对生成式人工智能技术及大模型商用,袁立志不认为《立法》与《要点》会带来很大影响。“如果产品运行中涉及到对用户个人信息的收集,企业依据规则正常进行合规审计即可。”
是否利用已公开的个人信息从事网暴或被重点审查
《个人信息保护法》五十八条创设性提出了“守门人”条款,对大型互联网平台委以特别义务。2022年11月,南财合规科技研究院发布“守门人”个人信息保护社会责任测评报告,测评发现被测评的18家平台合规水准普遍比较高,但仍存独立监督机构有待落地、多数大型平台没出出具独立的个人信息保护企业社会责任报告等问题。
彼时,针对“守门人”条款尚未有具体实施细则,此次《办法》中划出了不少重点,可以作为落实的方向。
《个人信息保护法》要求大型平台应“成立主要由外部成员组成的独立机构对个人信息保护情况进行监督”。但上述测评发现,独立机构在实践中鲜有落地。此次,《要点》对独立机构设置了相关的审查要点:外部成员与个人信息处理者及其主要股东是否存在可能妨碍其进行独立客观判断的关系;评价外部成员的履职能力等。
袁立志则认为,这一条款走向落实,需要解决的问题之一是“大型互联网平台”的定义明确。
2021年年底,市场监督总局《互联网平台分类分级指南(征求意见稿)》(以下简称《分类分级指南》),其中给出了基于用户规模、主营业务、经济体量、限制能力等指标的平台分级标准。不过由于仅为征求意见稿,其效力并不能保证,故也不能确定未来实践中是否基于这份文件提供的标准划分。
上述测评发现,多数平台缺乏独立个人信息保护企业社会责任报告。《要点》中指出,重点审查社会责任报告下列内容的披露情况:个人信息保护组织架构和内部管理情况;个人行使权利的申请受理情况等。
近年来,网暴治理受到社会各界关注。《要点》第十二条也指出,个人信息处理者处理已公开个人信息的,应重点审查的违规行为包括“利用已公开的个人信息从事网络暴力活动”。
吴沈括分析,结合个保法的要求和网暴治理的相关规定,在实际操作层面,已公开个人信息的目录梳理、已公开个人信息的流转路径以及已公开个人信息的投诉举报机制将是非常重要的一些卡点。此外,如何敏捷监测、快速发现相关违规行为,如何实现对已公开个人信息数据链路的管控值得重点关注。
邓志松指出,对于这类审查,一方面,可以从程序上,对个人信息处理的整个环节进行审查,审核其个人信息处理的全流程是否合法合规,是否有环节超出了法律允许的范围处理个人信息。另一方面,需要进行内容识别,审查其个人信息处理者是否有发布或者向他人披露类似内容。此外,还可能需要通过技术手段构建网暴识别模型,并查看该个人信息处理者是否有相关内容的投诉信息。
此外,邓志松认为,由于网络暴力审查更多的是内容层面的审核,相较于程序上的审查,确实更难察觉,未来可能还需通过技术手段的辅助来实现更完整的筛查。