記者王俊 馮戀閣 鐘雨欣 鄭雪 北京����、廣州報(bào)道
8月3日��,中央網(wǎng)信辦就《個(gè)人信息保護(hù)合規(guī)審計(jì)管理辦法》(簡(jiǎn)稱《辦法》)及配套的《個(gè)人信息保護(hù)合規(guī)審計(jì)參考要點(diǎn)》(簡(jiǎn)稱《要點(diǎn)》)公開(kāi)征求意見(jiàn)。
(相關(guān)資料圖)
不少受訪專家認(rèn)為���,這是監(jiān)管機(jī)構(gòu)常態(tài)化監(jiān)管和個(gè)人信息處理者自我規(guī)制的關(guān)鍵一環(huán)���。并且,能夠有效彌補(bǔ)監(jiān)管資源的緊張��,發(fā)揮全面的社會(huì)監(jiān)督的作用���,是監(jiān)管的有效補(bǔ)充��。
根據(jù)《辦法》要求��,處理超過(guò)100萬(wàn)人個(gè)人信息的個(gè)人信息處理者���,應(yīng)當(dāng)每年至少開(kāi)展一次個(gè)人信息保護(hù)合規(guī)審計(jì);其他個(gè)人信息處理者應(yīng)當(dāng)每二年至少開(kāi)展一次個(gè)人信息保護(hù)合規(guī)審計(jì)�。
也就是說(shuō)企業(yè)均需定期做個(gè)人信息保護(hù)“體檢”。
值得注意的是����,配發(fā)的《要點(diǎn)》對(duì)個(gè)人信息處理的各個(gè)環(huán)節(jié)都一一劃出了審計(jì)重點(diǎn),比如對(duì)個(gè)人信息處理規(guī)則應(yīng)重點(diǎn)審計(jì):存儲(chǔ)期限的確定方法�、到期后的處理方式以及注銷(xiāo)賬號(hào)、撤回同意的途徑和方法�����;告知是否以顯著方式����、清晰易懂的語(yǔ)言真實(shí)、準(zhǔn)確�����、完整地向個(gè)人告知個(gè)人信息處理規(guī)則����。
利用自動(dòng)化決策處理個(gè)人信息的��,要重點(diǎn)審計(jì)是否事前對(duì)算法模型進(jìn)行安全評(píng)估��,是否事前對(duì)算法模型進(jìn)行科技倫理審查��;處理已公開(kāi)信息的�����,要審計(jì)是否利用已公開(kāi)的個(gè)人信息從事網(wǎng)絡(luò)暴力活動(dòng)等����。
《辦法》和《要點(diǎn)》征求意見(jiàn)稿發(fā)布�,意味著《個(gè)人信息保護(hù)法》中規(guī)定的個(gè)人信息處理者的審計(jì)義務(wù)將進(jìn)一步走向落實(shí),將成為法律落實(shí)的又一重要抓手��。
個(gè)保合規(guī)審計(jì)全覆蓋
個(gè)人信息保護(hù)合規(guī)審計(jì)已經(jīng)成為國(guó)際通行做法�。
北京師范大學(xué)法學(xué)院博士生導(dǎo)師、中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)研究中心副主任吳沈括深度參與了《辦法》的制定工作��,他表示�����,個(gè)保合規(guī)審計(jì)辦法本身是貫徹個(gè)保法的具體舉措,個(gè)保法中有關(guān)于個(gè)保合規(guī)審計(jì)的專門(mén)規(guī)定�����,所以這是法定的制度要求�。
“在實(shí)務(wù)層面����,個(gè)保合規(guī)審計(jì)能夠有效彌補(bǔ)監(jiān)管資源的緊張,發(fā)揮全面的社會(huì)監(jiān)督的作用���,是監(jiān)管的有效補(bǔ)充��?��!兑c(diǎn)》本身是個(gè)保合規(guī)審計(jì)開(kāi)展的業(yè)務(wù)指引和核心要求,作為一個(gè)參考性的文件�,具有很強(qiáng)的實(shí)務(wù)指引意義?���!眳巧蚶ㄕf(shuō)。
北京大成律師事務(wù)所高級(jí)合伙人鄧志松認(rèn)為����,采取定期審計(jì)�����,能夠?qū)€(gè)人信息處理者起到實(shí)時(shí)監(jiān)督的作用�,以避免一次性審查所導(dǎo)致的后續(xù)監(jiān)督缺位的情況��,是常態(tài)化監(jiān)管的重要組成部分��。
《辦法》細(xì)化了《個(gè)人信息保護(hù)法》中的自我合規(guī)評(píng)估以及強(qiáng)制合規(guī)評(píng)估的要求�。在《個(gè)人信息保護(hù)法》中,合規(guī)審計(jì)包括兩種類(lèi)型�����,一種是第54條規(guī)定的由個(gè)人信息處理者發(fā)起的自我合規(guī)評(píng)估����,另一種是第64條規(guī)定的強(qiáng)制合規(guī)評(píng)估。
對(duì)于自我合規(guī)評(píng)估�,《辦法》第四條規(guī)定,處理超過(guò)100萬(wàn)人個(gè)人信息的個(gè)人信息處理者�,應(yīng)當(dāng)每年至少開(kāi)展一次個(gè)人信息保護(hù)合規(guī)審計(jì);其他個(gè)人信息處理者應(yīng)當(dāng)每二年至少開(kāi)展一次個(gè)人信息保護(hù)合規(guī)審計(jì)�。
吳沈括表示��,這兩種不同的審計(jì)要求將會(huì)實(shí)現(xiàn)個(gè)保合規(guī)審計(jì)的全面覆蓋����?���!霸谶@個(gè)過(guò)程當(dāng)中�����,擁有100萬(wàn)人以上個(gè)人信息的被審計(jì)主體需要承擔(dān)更高的主體責(zé)任�����。未來(lái)隨著企業(yè)主動(dòng)審計(jì)和監(jiān)管審計(jì)職責(zé)的開(kāi)展��,個(gè)保合規(guī)審計(jì)將會(huì)發(fā)揮越來(lái)越大的作用�����,使個(gè)人信息保護(hù)各項(xiàng)要求內(nèi)嵌到主體的業(yè)務(wù)流程當(dāng)中�,成為合規(guī)和治理體系的重要組成部分?�!?/p>
360集團(tuán)資深法律顧問(wèn)甘青鋒告訴記者,從企業(yè)角度出發(fā)����,會(huì)更關(guān)注定性內(nèi)容,如對(duì)于“處理超過(guò)100萬(wàn)人個(gè)人信息的個(gè)人信息處理者”的理解���。對(duì)于“處理”“100萬(wàn)人”的認(rèn)定��,之前《網(wǎng)絡(luò)安全審查辦法》����、《數(shù)據(jù)出境安全評(píng)估辦法》中都有相關(guān)規(guī)定��,當(dāng)時(shí)就存在一些爭(zhēng)議�����。數(shù)據(jù)處理是一個(gè)動(dòng)態(tài)過(guò)程��,認(rèn)定“處理”以及“100萬(wàn)人”等定義���,較為模糊�?����!皩?shí)踐中,可以參考平臺(tái)用戶數(shù)進(jìn)行判斷��,但并不意味著所有行業(yè)和場(chǎng)景都是以用戶數(shù)為判斷基準(zhǔn)��?�!彼硎?�。
在資深數(shù)據(jù)法律師袁立志看來(lái)�����,實(shí)踐中���,觸碰到100萬(wàn)門(mén)檻的企業(yè)不在少數(shù)。這條規(guī)則如果投入實(shí)踐��,意味著很多企業(yè)——包括大型平臺(tái)�、中小型科技企業(yè)以及許多大型傳統(tǒng)企業(yè)等都可能面臨一年一次的合規(guī)審計(jì),即使數(shù)據(jù)量達(dá)不到100萬(wàn)人的個(gè)人信息����,兩年一度的審計(jì)也基本無(wú)法避免�����。
合規(guī)審計(jì)全面覆蓋各項(xiàng)個(gè)人信息保護(hù)義務(wù)���,有著督促其他各項(xiàng)制度落實(shí)的效果,個(gè)人信息保護(hù)力度提升的另一面����,合規(guī)成本的全面拉升也幾乎是必然結(jié)果?��!叭绻凑者@一標(biāo)準(zhǔn)嚴(yán)格執(zhí)行�����,成本提升極有可能對(duì)中小企業(yè)的經(jīng)營(yíng)帶來(lái)一定壓力��?�!痹⒅局毖?����。
“我呼吁應(yīng)為中小企業(yè)提供相應(yīng)豁免制度或簡(jiǎn)易程序��?��!痹⒅颈硎?��,以“100萬(wàn)”為基準(zhǔn)劃定不同的合規(guī)義務(wù)很可能不適用于商業(yè)實(shí)踐。這樣簡(jiǎn)單的“一刀切”極有可能將過(guò)重的合規(guī)義務(wù)劃到中小企業(yè)的頭上����,并不利于市場(chǎng)營(yíng)商環(huán)境。在他看來(lái)�����,未來(lái)監(jiān)管側(cè)可以嘗試針對(duì)中小企業(yè)降低標(biāo)準(zhǔn)�、增加豁免的例外情況���,比如將業(yè)務(wù)不依賴大規(guī)模數(shù)據(jù)處理的傳統(tǒng)企業(yè)排除�����,或者將處理個(gè)人信息量較多但數(shù)據(jù)類(lèi)型較少且不敏感的企業(yè)排除����,或者為符合條件的企業(yè)提供簡(jiǎn)易審計(jì)程序,比如鼓勵(lì)中小企業(yè)自行審計(jì)�����,只審計(jì)重點(diǎn)合規(guī)事項(xiàng)�����,或者對(duì)連續(xù)多年無(wú)違規(guī)的企業(yè)降低審計(jì)頻次��?!霸谝?guī)則、標(biāo)準(zhǔn)正式落地前�����,這些問(wèn)題應(yīng)該得到重視和討論���?���!?/p>
鄧志松補(bǔ)充道���,根據(jù)《辦法》�����,不僅大規(guī)模數(shù)據(jù)的個(gè)人信息處理者進(jìn)行定期合規(guī)審計(jì)�����,其他個(gè)人信息處理者也同樣負(fù)有合規(guī)審計(jì)義務(wù)����。對(duì)于大型企業(yè)來(lái)說(shuō),由于其業(yè)務(wù)復(fù)雜�����、涉及處理個(gè)人信息的場(chǎng)景眾多�,審計(jì)工作又需要各部門(mén)之間的協(xié)調(diào)和配合,如何落實(shí)一年一度的合規(guī)審計(jì)工作還需要進(jìn)一步摸索��;而對(duì)于中小企業(yè)來(lái)說(shuō)��,他們很少有專門(mén)人員能夠從事此類(lèi)工作����,通常需要依靠委托第三方機(jī)構(gòu)來(lái)完成此項(xiàng)要求,從而客觀上也會(huì)增加運(yùn)營(yíng)成本�。
從合規(guī)與成本的平衡點(diǎn)來(lái)看,鄧志松建議對(duì)個(gè)人信息處理者及其審計(jì)頻率做進(jìn)一步的細(xì)分�。他認(rèn)為,目前草案僅劃分“處理超過(guò)100萬(wàn)人個(gè)人信息的個(gè)人信息處理者”和“其他個(gè)人信息處理者”有些寬疏�����,可以結(jié)合商業(yè)實(shí)踐做進(jìn)一步細(xì)化�,以減輕企業(yè)合規(guī)負(fù)擔(dān)。
對(duì)于強(qiáng)制合規(guī)評(píng)估�����,其觸發(fā)條件就是《辦法》規(guī)定的:履行個(gè)人信息保護(hù)職責(zé)的部門(mén)在履行職責(zé)中����,發(fā)現(xiàn)個(gè)人信息處理活動(dòng)存在較大風(fēng)險(xiǎn)或者發(fā)生個(gè)人信息安全事件的,可以要求個(gè)人信息處理者委托專業(yè)機(jī)構(gòu)對(duì)其個(gè)人信息處理活動(dòng)進(jìn)行合規(guī)審計(jì)���。
算法模型事前審查是重點(diǎn)
值得注意的是�,與《辦法》一同配發(fā)的《要點(diǎn)》���,共計(jì)31條���,涵蓋了個(gè)人信息處理的各個(gè)環(huán)節(jié)�,并劃出了審計(jì)重點(diǎn)��,此前個(gè)人信息處理中備受關(guān)注的單獨(dú)同意�����、自動(dòng)化決策�����、守門(mén)人條款等進(jìn)行了細(xì)化���。
“《要點(diǎn)》是個(gè)人信息保護(hù)合規(guī)審計(jì)落地的重要參考文件��,起到指導(dǎo)實(shí)踐操作的作用�?���!编囍舅杀硎荆m然并非規(guī)章的正文���,但在個(gè)人信息保護(hù)合規(guī)審計(jì)過(guò)程中�����,《要點(diǎn)》所列內(nèi)容需要予以逐一落實(shí)�,進(jìn)行審查與說(shuō)明���。
《個(gè)人信息保護(hù)法》構(gòu)建以“告知-同意”為核心的個(gè)人信息處理規(guī)則����。但告知的有效性一直是實(shí)踐中比較棘手的問(wèn)題�, 隱私政策的用戶友好度普遍不高。此次《要點(diǎn)》要求�,重點(diǎn)審查:個(gè)人信息處理者在處理個(gè)人信息前,是否以顯著方式���、清晰易懂的語(yǔ)言真實(shí)����、準(zhǔn)確���、完整地向個(gè)人告知個(gè)人信息處理規(guī)則����;告知文本的大小、字體和顏色是否便于個(gè)人完整閱讀告知事項(xiàng)等�����。
《辦法》還對(duì)共同處理��、委托處理��、個(gè)人信息轉(zhuǎn)移等情形的審查重點(diǎn)做出明確�����。
自動(dòng)化決策相關(guān)條款設(shè)計(jì)是《個(gè)人信息保護(hù)法》的重點(diǎn)����。此次《辦法》明確,要重點(diǎn)審查:是否事前對(duì)算法模型進(jìn)行安全評(píng)估�����;是否事前對(duì)算法模型進(jìn)行科技倫理審查����;是否采取必要措施對(duì)算法和參數(shù)模型進(jìn)行保護(hù)等��。
吳沈括指出�,《要點(diǎn)》細(xì)化了關(guān)于自動(dòng)化決策的相關(guān)合規(guī)要求���,而在落地過(guò)程中���,如何實(shí)現(xiàn)敏捷����、有效����、精準(zhǔn)審計(jì)是一個(gè)非常重大的挑戰(zhàn),需要有相應(yīng)的工具��、人力和審計(jì)方法相匹配。
鄧志松也表示���,《要點(diǎn)》第九條的內(nèi)容實(shí)際上是對(duì)此前散落于各規(guī)定中有關(guān)自動(dòng)化決策規(guī)范要求的細(xì)化與總結(jié)�����。對(duì)于企業(yè)來(lái)說(shuō)�,要實(shí)現(xiàn)這些要求�,需要在技術(shù)和規(guī)范兩方面都予以完善。
“企業(yè)需要對(duì)每個(gè)涉及自動(dòng)化決策的算法和模型予以評(píng)估�,同時(shí)還要確保這些自動(dòng)化決策過(guò)程的合規(guī)性和安全性����。而無(wú)論是制度的建設(shè)還是各個(gè)環(huán)節(jié)的技術(shù)設(shè)計(jì)���,都會(huì)為企業(yè)增加更多時(shí)間�、人力��、物力和金錢(qián)成本�����。但同時(shí)��,數(shù)據(jù)合規(guī)是一個(gè)長(zhǎng)期而必要的過(guò)程����,盡管合規(guī)制度的建立過(guò)程可能是艱難的����,一旦合規(guī)制度有效運(yùn)作起來(lái)����,其后續(xù)的合規(guī)成本可能會(huì)逐步降低?��!编囍舅烧f(shuō)����。
人工智能是近期備受關(guān)注的熱點(diǎn)話題,這些規(guī)定是否會(huì)對(duì)大模型的研究和商用產(chǎn)生影響���?
袁立志認(rèn)為�����,自動(dòng)化決策算法審計(jì)和大模型應(yīng)用在這個(gè)問(wèn)題上沒(méi)有太多重疊部分�����。自動(dòng)化決策算法早在“百模大戰(zhàn)”前就廣泛應(yīng)用于互聯(lián)網(wǎng)平臺(tái)的產(chǎn)品與服務(wù)中����,此次單列一條要求審計(jì),只是個(gè)人信息保護(hù)工作推進(jìn)的正常動(dòng)作��。而針對(duì)生成式人工智能技術(shù)及大模型商用��,袁立志不認(rèn)為《立法》與《要點(diǎn)》會(huì)帶來(lái)很大影響�����。“如果產(chǎn)品運(yùn)行中涉及到對(duì)用戶個(gè)人信息的收集����,企業(yè)依據(jù)規(guī)則正常進(jìn)行合規(guī)審計(jì)即可�����?�!?/p>
《個(gè)人信息保護(hù)法》五十八條創(chuàng)設(shè)性提出了“守門(mén)人”條款���,對(duì)大型互聯(lián)網(wǎng)平臺(tái)委以特別義務(wù)�����。2022年11月,南財(cái)合規(guī)科技研究院發(fā)布“守門(mén)人”個(gè)人信息保護(hù)社會(huì)責(zé)任測(cè)評(píng)報(bào)告,測(cè)評(píng)發(fā)現(xiàn)被測(cè)評(píng)的18家平臺(tái)合規(guī)水準(zhǔn)普遍比較高����,但仍存獨(dú)立監(jiān)督機(jī)構(gòu)有待落地�、多數(shù)大型平臺(tái)沒(méi)出出具獨(dú)立的個(gè)人信息保護(hù)企業(yè)社會(huì)責(zé)任報(bào)告等問(wèn)題。
彼時(shí)��,針對(duì)“守門(mén)人”條款尚未有具體實(shí)施細(xì)則,此次《辦法》中劃出了不少重點(diǎn),可以作為落實(shí)的方向���。
《個(gè)人信息保護(hù)法》要求大型平臺(tái)應(yīng)“成立主要由外部成員組成的獨(dú)立機(jī)構(gòu)對(duì)個(gè)人信息保護(hù)情況進(jìn)行監(jiān)督”�。但上述測(cè)評(píng)發(fā)現(xiàn),獨(dú)立機(jī)構(gòu)在實(shí)踐中鮮有落地����。此次�����,《要點(diǎn)》對(duì)獨(dú)立機(jī)構(gòu)設(shè)置了相關(guān)的審查要點(diǎn):外部成員與個(gè)人信息處理者及其主要股東是否存在可能妨礙其進(jìn)行獨(dú)立客觀判斷的關(guān)系��;評(píng)價(jià)外部成員的履職能力等�����。
袁立志則認(rèn)為��,這一條款走向落實(shí)����,需要解決的問(wèn)題之一是“大型互聯(lián)網(wǎng)平臺(tái)”的定義明確。
2021年年底�����,市場(chǎng)監(jiān)督總局《互聯(lián)網(wǎng)平臺(tái)分類(lèi)分級(jí)指南(征求意見(jiàn)稿)》(以下簡(jiǎn)稱《分類(lèi)分級(jí)指南》),其中給出了基于用戶規(guī)模����、主營(yíng)業(yè)務(wù)�、經(jīng)濟(jì)體量���、限制能力等指標(biāo)的平臺(tái)分級(jí)標(biāo)準(zhǔn)。不過(guò)由于僅為征求意見(jiàn)稿����,其效力并不能保證,故也不能確定未來(lái)實(shí)踐中是否基于這份文件提供的標(biāo)準(zhǔn)劃分��。
上述測(cè)評(píng)發(fā)現(xiàn)��,多數(shù)平臺(tái)缺乏獨(dú)立個(gè)人信息保護(hù)企業(yè)社會(huì)責(zé)任報(bào)告���?����!兑c(diǎn)》中指出���,重點(diǎn)審查社會(huì)責(zé)任報(bào)告下列內(nèi)容的披露情況:個(gè)人信息保護(hù)組織架構(gòu)和內(nèi)部管理情況�����;個(gè)人行使權(quán)利的申請(qǐng)受理情況等�����。
近年來(lái)�,網(wǎng)暴治理受到社會(huì)各界關(guān)注�����?�!兑c(diǎn)》第十二條也指出���,個(gè)人信息處理者處理已公開(kāi)個(gè)人信息的,應(yīng)重點(diǎn)審查的違規(guī)行為包括“利用已公開(kāi)的個(gè)人信息從事網(wǎng)絡(luò)暴力活動(dòng)”����。
吳沈括分析,結(jié)合個(gè)保法的要求和網(wǎng)暴治理的相關(guān)規(guī)定,在實(shí)際操作層面�,已公開(kāi)個(gè)人信息的目錄梳理�、已公開(kāi)個(gè)人信息的流轉(zhuǎn)路徑以及已公開(kāi)個(gè)人信息的投訴舉報(bào)機(jī)制將是非常重要的一些卡點(diǎn)���。此外,如何敏捷監(jiān)測(cè)���、快速發(fā)現(xiàn)相關(guān)違規(guī)行為��,如何實(shí)現(xiàn)對(duì)已公開(kāi)個(gè)人信息數(shù)據(jù)鏈路的管控值得重點(diǎn)關(guān)注�����。
鄧志松指出�,對(duì)于這類(lèi)審查���,一方面,可以從程序上����,對(duì)個(gè)人信息處理的整個(gè)環(huán)節(jié)進(jìn)行審查,審核其個(gè)人信息處理的全流程是否合法合規(guī)���,是否有環(huán)節(jié)超出了法律允許的范圍處理個(gè)人信息���。另一方面,需要進(jìn)行內(nèi)容識(shí)別����,審查其個(gè)人信息處理者是否有發(fā)布或者向他人披露類(lèi)似內(nèi)容。此外��,還可能需要通過(guò)技術(shù)手段構(gòu)建網(wǎng)暴識(shí)別模型�,并查看該個(gè)人信息處理者是否有相關(guān)內(nèi)容的投訴信息��。
此外�,鄧志松認(rèn)為��,由于網(wǎng)絡(luò)暴力審查更多的是內(nèi)容層面的審核����,相較于程序上的審查����,確實(shí)更難察覺(jué)����,未來(lái)可能還需通過(guò)技術(shù)手段的輔助來(lái)實(shí)現(xiàn)更完整的篩查�。
