記者王俊 馮戀閣 鐘雨欣 鄭雪 北京、廣州報道
(資料圖)
8月3日�����,中央網信辦就《個人信息保護合規審計管理辦法》(簡稱《辦法》)及配套的《個人信息保護合規審計參考要點》(簡稱《要點》)公開征求意見。
不少受訪專家認為����,這是監管機構常態化監管和個人信息處理者自我規制的關鍵一環��。并且,能夠有效彌補監管資源的緊張,發揮全面的社會監督的作用����,是監管的有效補充。
根據《辦法》要求���,處理超過100萬人個人信息的個人信息處理者,應當每年至少開展一次個人信息保護合規審計�����;其他個人信息處理者應當每二年至少開展一次個人信息保護合規審計����。
也就是說企業均需定期做個人信息保護“體檢”。
值得注意的是��,配發的《要點》對個人信息處理的各個環節都一一劃出了審計重點,比如對個人信息處理規則應重點審計:存儲期限的確定方法�����、到期后的處理方式以及注銷賬號��、撤回同意的途徑和方法��;告知是否以顯著方式�、清晰易懂的語言真實�����、準確�、完整地向個人告知個人信息處理規則。
利用自動化決策處理個人信息的,要重點審計是否事前對算法模型進行安全評估�����,是否事前對算法模型進行科技倫理審查;處理已公開信息的�����,要審計是否利用已公開的個人信息從事網絡暴力活動等�。
《辦法》和《要點》征求意見稿發布����,意味著《個人信息保護法》中規定的個人信息處理者的審計義務將進一步走向落實��,將成為法律落實的又一重要抓手。
個保合規審計全覆蓋
個人信息保護合規審計已經成為國際通行做法�����。
北京師范大學法學院博士生導師、中國互聯網協會研究中心副主任吳沈括深度參與了《辦法》的制定工作�����,他表示�����,個保合規審計辦法本身是貫徹個保法的具體舉措���,個保法中有關于個保合規審計的專門規定�,所以這是法定的制度要求。
“在實務層面,個保合規審計能夠有效彌補監管資源的緊張����,發揮全面的社會監督的作用�����,是監管的有效補充����?��!兑c》本身是個保合規審計開展的業務指引和核心要求,作為一個參考性的文件����,具有很強的實務指引意義��?��!眳巧蚶ㄕf�����。
北京大成律師事務所高級合伙人鄧志松認為,采取定期審計��,能夠對個人信息處理者起到實時監督的作用,以避免一次性審查所導致的后續監督缺位的情況�����,是常態化監管的重要組成部分�。
《辦法》細化了《個人信息保護法》中的自我合規評估以及強制合規評估的要求。在《個人信息保護法》中���,合規審計包括兩種類型��,一種是第54條規定的由個人信息處理者發起的自我合規評估���,另一種是第64條規定的強制合規評估。
對于自我合規評估��,《辦法》第四條規定��,處理超過100萬人個人信息的個人信息處理者����,應當每年至少開展一次個人信息保護合規審計;其他個人信息處理者應當每二年至少開展一次個人信息保護合規審計。
吳沈括表示,這兩種不同的審計要求將會實現個保合規審計的全面覆蓋?���!霸谶@個過程當中��,擁有100萬人以上個人信息的被審計主體需要承擔更高的主體責任�。未來隨著企業主動審計和監管審計職責的開展�,個保合規審計將會發揮越來越大的作用�����,使個人信息保護各項要求內嵌到主體的業務流程當中,成為合規和治理體系的重要組成部分�����?���!?/p>
360集團資深法律顧問甘青鋒告訴記者�,從企業角度出發���,會更關注定性內容��,如對于“處理超過100萬人個人信息的個人信息處理者”的理解��。對于“處理”“100萬人”的認定�,之前《網絡安全審查辦法》��、《數據出境安全評估辦法》中都有相關規定�,當時就存在一些爭議。數據處理是一個動態過程,認定“處理”以及“100萬人”等定義,較為模糊�?���!皩嵺`中,可以參考平臺用戶數進行判斷�,但并不意味著所有行業和場景都是以用戶數為判斷基準��?�!彼硎尽?/p>
在資深數據法律師袁立志看來��,實踐中�����,觸碰到100萬門檻的企業不在少數��。這條規則如果投入實踐�,意味著很多企業——包括大型平臺�、中小型科技企業以及許多大型傳統企業等都可能面臨一年一次的合規審計��,即使數據量達不到100萬人的個人信息���,兩年一度的審計也基本無法避免��。
合規審計全面覆蓋各項個人信息保護義務�����,有著督促其他各項制度落實的效果��,個人信息保護力度提升的另一面,合規成本的全面拉升也幾乎是必然結果�����。“如果按照這一標準嚴格執行,成本提升極有可能對中小企業的經營帶來一定壓力�����?!痹⒅局毖?��。
“我呼吁應為中小企業提供相應豁免制度或簡易程序�����。”袁立志表示�����,以“100萬”為基準劃定不同的合規義務很可能不適用于商業實踐�。這樣簡單的“一刀切”極有可能將過重的合規義務劃到中小企業的頭上,并不利于市場營商環境��。在他看來���,未來監管側可以嘗試針對中小企業降低標準、增加豁免的例外情況����,比如將業務不依賴大規模數據處理的傳統企業排除����,或者將處理個人信息量較多但數據類型較少且不敏感的企業排除��,或者為符合條件的企業提供簡易審計程序,比如鼓勵中小企業自行審計���,只審計重點合規事項,或者對連續多年無違規的企業降低審計頻次��。“在規則���、標準正式落地前,這些問題應該得到重視和討論��。”
鄧志松補充道��,根據《辦法》�,不僅大規模數據的個人信息處理者進行定期合規審計,其他個人信息處理者也同樣負有合規審計義務����。對于大型企業來說����,由于其業務復雜����、涉及處理個人信息的場景眾多,審計工作又需要各部門之間的協調和配合�,如何落實一年一度的合規審計工作還需要進一步摸索�;而對于中小企業來說,他們很少有專門人員能夠從事此類工作���,通常需要依靠委托第三方機構來完成此項要求�����,從而客觀上也會增加運營成本。
從合規與成本的平衡點來看�����,鄧志松建議對個人信息處理者及其審計頻率做進一步的細分����。他認為�,目前草案僅劃分“處理超過100萬人個人信息的個人信息處理者”和“其他個人信息處理者”有些寬疏���,可以結合商業實踐做進一步細化���,以減輕企業合規負擔��。
對于強制合規評估���,其觸發條件就是《辦法》規定的:履行個人信息保護職責的部門在履行職責中�,發現個人信息處理活動存在較大風險或者發生個人信息安全事件的,可以要求個人信息處理者委托專業機構對其個人信息處理活動進行合規審計。
算法模型事前審查是重點
值得注意的是�����,與《辦法》一同配發的《要點》����,共計31條�,涵蓋了個人信息處理的各個環節��,并劃出了審計重點��,此前個人信息處理中備受關注的單獨同意��、自動化決策���、守門人條款等進行了細化����。
“《要點》是個人信息保護合規審計落地的重要參考文件�����,起到指導實踐操作的作用��。”鄧志松表示,雖然并非規章的正文��,但在個人信息保護合規審計過程中,《要點》所列內容需要予以逐一落實,進行審查與說明�����。
《個人信息保護法》構建以“告知-同意”為核心的個人信息處理規則����。但告知的有效性一直是實踐中比較棘手的問題, 隱私政策的用戶友好度普遍不高����。此次《要點》要求���,重點審查:個人信息處理者在處理個人信息前�,是否以顯著方式����、清晰易懂的語言真實���、準確���、完整地向個人告知個人信息處理規則���;告知文本的大小、字體和顏色是否便于個人完整閱讀告知事項等�����。
《辦法》還對共同處理����、委托處理����、個人信息轉移等情形的審查重點做出明確��。
自動化決策相關條款設計是《個人信息保護法》的重點。此次《辦法》明確�,要重點審查:是否事前對算法模型進行安全評估��;是否事前對算法模型進行科技倫理審查�����;是否采取必要措施對算法和參數模型進行保護等。
吳沈括指出��,《要點》細化了關于自動化決策的相關合規要求,而在落地過程中,如何實現敏捷�、有效����、精準審計是一個非常重大的挑戰,需要有相應的工具���、人力和審計方法相匹配���。
鄧志松也表示�����,《要點》第九條的內容實際上是對此前散落于各規定中有關自動化決策規范要求的細化與總結。對于企業來說��,要實現這些要求��,需要在技術和規范兩方面都予以完善��。
“企業需要對每個涉及自動化決策的算法和模型予以評估�����,同時還要確保這些自動化決策過程的合規性和安全性。而無論是制度的建設還是各個環節的技術設計,都會為企業增加更多時間����、人力�����、物力和金錢成本��。但同時,數據合規是一個長期而必要的過程,盡管合規制度的建立過程可能是艱難的,一旦合規制度有效運作起來���,其后續的合規成本可能會逐步降低�?��!编囍舅烧f�����。
人工智能是近期備受關注的熱點話題���,這些規定是否會對大模型的研究和商用產生影響��?
袁立志認為,自動化決策算法審計和大模型應用在這個問題上沒有太多重疊部分�。自動化決策算法早在“百模大戰”前就廣泛應用于互聯網平臺的產品與服務中���,此次單列一條要求審計�,只是個人信息保護工作推進的正常動作。而針對生成式人工智能技術及大模型商用�����,袁立志不認為《立法》與《要點》會帶來很大影響��?���!叭绻a品運行中涉及到對用戶個人信息的收集,企業依據規則正常進行合規審計即可?�!?/p>
《個人信息保護法》五十八條創設性提出了“守門人”條款�,對大型互聯網平臺委以特別義務��。2022年11月,南財合規科技研究院發布“守門人”個人信息保護社會責任測評報告��,測評發現被測評的18家平臺合規水準普遍比較高,但仍存獨立監督機構有待落地、多數大型平臺沒出出具獨立的個人信息保護企業社會責任報告等問題。
彼時,針對“守門人”條款尚未有具體實施細則���,此次《辦法》中劃出了不少重點���,可以作為落實的方向�����。
《個人信息保護法》要求大型平臺應“成立主要由外部成員組成的獨立機構對個人信息保護情況進行監督”。但上述測評發現�����,獨立機構在實踐中鮮有落地����。此次��,《要點》對獨立機構設置了相關的審查要點:外部成員與個人信息處理者及其主要股東是否存在可能妨礙其進行獨立客觀判斷的關系;評價外部成員的履職能力等���。
袁立志則認為,這一條款走向落實���,需要解決的問題之一是“大型互聯網平臺”的定義明確�����。
2021年年底,市場監督總局《互聯網平臺分類分級指南(征求意見稿)》(以下簡稱《分類分級指南》)��,其中給出了基于用戶規模、主營業務��、經濟體量��、限制能力等指標的平臺分級標準。不過由于僅為征求意見稿���,其效力并不能保證�����,故也不能確定未來實踐中是否基于這份文件提供的標準劃分。
上述測評發現�,多數平臺缺乏獨立個人信息保護企業社會責任報告����。《要點》中指出,重點審查社會責任報告下列內容的披露情況:個人信息保護組織架構和內部管理情況�;個人行使權利的申請受理情況等���。
近年來�����,網暴治理受到社會各界關注�?���!兑c》第十二條也指出,個人信息處理者處理已公開個人信息的�����,應重點審查的違規行為包括“利用已公開的個人信息從事網絡暴力活動”。
吳沈括分析����,結合個保法的要求和網暴治理的相關規定,在實際操作層面��,已公開個人信息的目錄梳理�����、已公開個人信息的流轉路徑以及已公開個人信息的投訴舉報機制將是非常重要的一些卡點。此外,如何敏捷監測���、快速發現相關違規行為�,如何實現對已公開個人信息數據鏈路的管控值得重點關注�����。
鄧志松指出����,對于這類審查,一方面�����,可以從程序上��,對個人信息處理的整個環節進行審查����,審核其個人信息處理的全流程是否合法合規,是否有環節超出了法律允許的范圍處理個人信息。另一方面���,需要進行內容識別,審查其個人信息處理者是否有發布或者向他人披露類似內容。此外��,還可能需要通過技術手段構建網暴識別模型�����,并查看該個人信息處理者是否有相關內容的投訴信息�����。
此外,鄧志松認為,由于網絡暴力審查更多的是內容層面的審核�,相較于程序上的審查�,確實更難察覺,未來可能還需通過技術手段的輔助來實現更完整的篩查。
標簽:
