記者王俊 馮戀閣 鐘雨欣 鄭雪 北京���、廣州報(bào)道
(資料圖)
8月3日,中央網(wǎng)信辦就《個(gè)人信息保護(hù)合規(guī)審計(jì)管理辦法》(簡(jiǎn)稱《辦法》)及配套的《個(gè)人信息保護(hù)合規(guī)審計(jì)參考要點(diǎn)》(簡(jiǎn)稱《要點(diǎn)》)公開征求意見����。
不少受訪專家認(rèn)為,這是監(jiān)管機(jī)構(gòu)常態(tài)化監(jiān)管和個(gè)人信息處理者自我規(guī)制的關(guān)鍵一環(huán)���。并且�,能夠有效彌補(bǔ)監(jiān)管資源的緊張��,發(fā)揮全面的社會(huì)監(jiān)督的作用�����,是監(jiān)管的有效補(bǔ)充。
根據(jù)《辦法》要求�����,處理超過100萬人個(gè)人信息的個(gè)人信息處理者�,應(yīng)當(dāng)每年至少開展一次個(gè)人信息保護(hù)合規(guī)審計(jì);其他個(gè)人信息處理者應(yīng)當(dāng)每二年至少開展一次個(gè)人信息保護(hù)合規(guī)審計(jì)�。
也就是說企業(yè)均需定期做個(gè)人信息保護(hù)“體檢”。
值得注意的是����,配發(fā)的《要點(diǎn)》對(duì)個(gè)人信息處理的各個(gè)環(huán)節(jié)都一一劃出了審計(jì)重點(diǎn),比如對(duì)個(gè)人信息處理規(guī)則應(yīng)重點(diǎn)審計(jì):存儲(chǔ)期限的確定方法�����、到期后的處理方式以及注銷賬號(hào)���、撤回同意的途徑和方法���;告知是否以顯著方式、清晰易懂的語言真實(shí)�、準(zhǔn)確、完整地向個(gè)人告知個(gè)人信息處理規(guī)則�����。
利用自動(dòng)化決策處理個(gè)人信息的,要重點(diǎn)審計(jì)是否事前對(duì)算法模型進(jìn)行安全評(píng)估�����,是否事前對(duì)算法模型進(jìn)行科技倫理審查����;處理已公開信息的���,要審計(jì)是否利用已公開的個(gè)人信息從事網(wǎng)絡(luò)暴力活動(dòng)等��。
《辦法》和《要點(diǎn)》征求意見稿發(fā)布�,意味著《個(gè)人信息保護(hù)法》中規(guī)定的個(gè)人信息處理者的審計(jì)義務(wù)將進(jìn)一步走向落實(shí)�,將成為法律落實(shí)的又一重要抓手。
個(gè)保合規(guī)審計(jì)全覆蓋
個(gè)人信息保護(hù)合規(guī)審計(jì)已經(jīng)成為國(guó)際通行做法��。
北京師范大學(xué)法學(xué)院博士生導(dǎo)師�����、中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)研究中心副主任吳沈括深度參與了《辦法》的制定工作����,他表示���,個(gè)保合規(guī)審計(jì)辦法本身是貫徹個(gè)保法的具體舉措,個(gè)保法中有關(guān)于個(gè)保合規(guī)審計(jì)的專門規(guī)定�����,所以這是法定的制度要求�。
“在實(shí)務(wù)層面,個(gè)保合規(guī)審計(jì)能夠有效彌補(bǔ)監(jiān)管資源的緊張�,發(fā)揮全面的社會(huì)監(jiān)督的作用,是監(jiān)管的有效補(bǔ)充��?��!兑c(diǎn)》本身是個(gè)保合規(guī)審計(jì)開展的業(yè)務(wù)指引和核心要求�,作為一個(gè)參考性的文件�����,具有很強(qiáng)的實(shí)務(wù)指引意義����?��!眳巧蚶ㄕf。
北京大成律師事務(wù)所高級(jí)合伙人鄧志松認(rèn)為���,采取定期審計(jì)����,能夠?qū)€(gè)人信息處理者起到實(shí)時(shí)監(jiān)督的作用�����,以避免一次性審查所導(dǎo)致的后續(xù)監(jiān)督缺位的情況���,是常態(tài)化監(jiān)管的重要組成部分。
《辦法》細(xì)化了《個(gè)人信息保護(hù)法》中的自我合規(guī)評(píng)估以及強(qiáng)制合規(guī)評(píng)估的要求��。在《個(gè)人信息保護(hù)法》中�,合規(guī)審計(jì)包括兩種類型,一種是第54條規(guī)定的由個(gè)人信息處理者發(fā)起的自我合規(guī)評(píng)估����,另一種是第64條規(guī)定的強(qiáng)制合規(guī)評(píng)估。
對(duì)于自我合規(guī)評(píng)估�����,《辦法》第四條規(guī)定,處理超過100萬人個(gè)人信息的個(gè)人信息處理者���,應(yīng)當(dāng)每年至少開展一次個(gè)人信息保護(hù)合規(guī)審計(jì)���;其他個(gè)人信息處理者應(yīng)當(dāng)每二年至少開展一次個(gè)人信息保護(hù)合規(guī)審計(jì)。
吳沈括表示����,這兩種不同的審計(jì)要求將會(huì)實(shí)現(xiàn)個(gè)保合規(guī)審計(jì)的全面覆蓋?�!霸谶@個(gè)過程當(dāng)中�����,擁有100萬人以上個(gè)人信息的被審計(jì)主體需要承擔(dān)更高的主體責(zé)任�。未來隨著企業(yè)主動(dòng)審計(jì)和監(jiān)管審計(jì)職責(zé)的開展,個(gè)保合規(guī)審計(jì)將會(huì)發(fā)揮越來越大的作用���,使個(gè)人信息保護(hù)各項(xiàng)要求內(nèi)嵌到主體的業(yè)務(wù)流程當(dāng)中����,成為合規(guī)和治理體系的重要組成部分?����!?/p>
360集團(tuán)資深法律顧問甘青鋒告訴記者����,從企業(yè)角度出發(fā),會(huì)更關(guān)注定性內(nèi)容����,如對(duì)于“處理超過100萬人個(gè)人信息的個(gè)人信息處理者”的理解。對(duì)于“處理”“100萬人”的認(rèn)定���,之前《網(wǎng)絡(luò)安全審查辦法》、《數(shù)據(jù)出境安全評(píng)估辦法》中都有相關(guān)規(guī)定���,當(dāng)時(shí)就存在一些爭(zhēng)議����。數(shù)據(jù)處理是一個(gè)動(dòng)態(tài)過程����,認(rèn)定“處理”以及“100萬人”等定義���,較為模糊?�!皩?shí)踐中���,可以參考平臺(tái)用戶數(shù)進(jìn)行判斷���,但并不意味著所有行業(yè)和場(chǎng)景都是以用戶數(shù)為判斷基準(zhǔn)?!彼硎尽?/p>
在資深數(shù)據(jù)法律師袁立志看來���,實(shí)踐中���,觸碰到100萬門檻的企業(yè)不在少數(shù)。這條規(guī)則如果投入實(shí)踐���,意味著很多企業(yè)——包括大型平臺(tái)�、中小型科技企業(yè)以及許多大型傳統(tǒng)企業(yè)等都可能面臨一年一次的合規(guī)審計(jì)�,即使數(shù)據(jù)量達(dá)不到100萬人的個(gè)人信息��,兩年一度的審計(jì)也基本無法避免�����。
合規(guī)審計(jì)全面覆蓋各項(xiàng)個(gè)人信息保護(hù)義務(wù)����,有著督促其他各項(xiàng)制度落實(shí)的效果��,個(gè)人信息保護(hù)力度提升的另一面��,合規(guī)成本的全面拉升也幾乎是必然結(jié)果�。“如果按照這一標(biāo)準(zhǔn)嚴(yán)格執(zhí)行�,成本提升極有可能對(duì)中小企業(yè)的經(jīng)營(yíng)帶來一定壓力?����!痹⒅局毖?��。
“我呼吁應(yīng)為中小企業(yè)提供相應(yīng)豁免制度或簡(jiǎn)易程序?��!痹⒅颈硎?�,以“100萬”為基準(zhǔn)劃定不同的合規(guī)義務(wù)很可能不適用于商業(yè)實(shí)踐����。這樣簡(jiǎn)單的“一刀切”極有可能將過重的合規(guī)義務(wù)劃到中小企業(yè)的頭上,并不利于市場(chǎng)營(yíng)商環(huán)境�����。在他看來��,未來監(jiān)管側(cè)可以嘗試針對(duì)中小企業(yè)降低標(biāo)準(zhǔn)�����、增加豁免的例外情況�����,比如將業(yè)務(wù)不依賴大規(guī)模數(shù)據(jù)處理的傳統(tǒng)企業(yè)排除���,或者將處理個(gè)人信息量較多但數(shù)據(jù)類型較少且不敏感的企業(yè)排除��,或者為符合條件的企業(yè)提供簡(jiǎn)易審計(jì)程序�,比如鼓勵(lì)中小企業(yè)自行審計(jì),只審計(jì)重點(diǎn)合規(guī)事項(xiàng)�,或者對(duì)連續(xù)多年無違規(guī)的企業(yè)降低審計(jì)頻次?��!霸谝?guī)則�、標(biāo)準(zhǔn)正式落地前���,這些問題應(yīng)該得到重視和討論�����?!?/p>
鄧志松補(bǔ)充道���,根據(jù)《辦法》����,不僅大規(guī)模數(shù)據(jù)的個(gè)人信息處理者進(jìn)行定期合規(guī)審計(jì)����,其他個(gè)人信息處理者也同樣負(fù)有合規(guī)審計(jì)義務(wù)。對(duì)于大型企業(yè)來說�����,由于其業(yè)務(wù)復(fù)雜�、涉及處理個(gè)人信息的場(chǎng)景眾多,審計(jì)工作又需要各部門之間的協(xié)調(diào)和配合�����,如何落實(shí)一年一度的合規(guī)審計(jì)工作還需要進(jìn)一步摸索��;而對(duì)于中小企業(yè)來說��,他們很少有專門人員能夠從事此類工作��,通常需要依靠委托第三方機(jī)構(gòu)來完成此項(xiàng)要求�,從而客觀上也會(huì)增加運(yùn)營(yíng)成本。
從合規(guī)與成本的平衡點(diǎn)來看����,鄧志松建議對(duì)個(gè)人信息處理者及其審計(jì)頻率做進(jìn)一步的細(xì)分。他認(rèn)為��,目前草案僅劃分“處理超過100萬人個(gè)人信息的個(gè)人信息處理者”和“其他個(gè)人信息處理者”有些寬疏�,可以結(jié)合商業(yè)實(shí)踐做進(jìn)一步細(xì)化,以減輕企業(yè)合規(guī)負(fù)擔(dān)�����。
對(duì)于強(qiáng)制合規(guī)評(píng)估,其觸發(fā)條件就是《辦法》規(guī)定的:履行個(gè)人信息保護(hù)職責(zé)的部門在履行職責(zé)中��,發(fā)現(xiàn)個(gè)人信息處理活動(dòng)存在較大風(fēng)險(xiǎn)或者發(fā)生個(gè)人信息安全事件的����,可以要求個(gè)人信息處理者委托專業(yè)機(jī)構(gòu)對(duì)其個(gè)人信息處理活動(dòng)進(jìn)行合規(guī)審計(jì)。
算法模型事前審查是重點(diǎn)
值得注意的是��,與《辦法》一同配發(fā)的《要點(diǎn)》�����,共計(jì)31條�,涵蓋了個(gè)人信息處理的各個(gè)環(huán)節(jié),并劃出了審計(jì)重點(diǎn)���,此前個(gè)人信息處理中備受關(guān)注的單獨(dú)同意��、自動(dòng)化決策���、守門人條款等進(jìn)行了細(xì)化。
“《要點(diǎn)》是個(gè)人信息保護(hù)合規(guī)審計(jì)落地的重要參考文件,起到指導(dǎo)實(shí)踐操作的作用����。”鄧志松表示��,雖然并非規(guī)章的正文����,但在個(gè)人信息保護(hù)合規(guī)審計(jì)過程中�,《要點(diǎn)》所列內(nèi)容需要予以逐一落實(shí),進(jìn)行審查與說明��。
《個(gè)人信息保護(hù)法》構(gòu)建以“告知-同意”為核心的個(gè)人信息處理規(guī)則��。但告知的有效性一直是實(shí)踐中比較棘手的問題�, 隱私政策的用戶友好度普遍不高。此次《要點(diǎn)》要求���,重點(diǎn)審查:個(gè)人信息處理者在處理個(gè)人信息前�,是否以顯著方式�����、清晰易懂的語言真實(shí)、準(zhǔn)確����、完整地向個(gè)人告知個(gè)人信息處理規(guī)則���;告知文本的大小�����、字體和顏色是否便于個(gè)人完整閱讀告知事項(xiàng)等���。
《辦法》還對(duì)共同處理����、委托處理���、個(gè)人信息轉(zhuǎn)移等情形的審查重點(diǎn)做出明確�����。
自動(dòng)化決策相關(guān)條款設(shè)計(jì)是《個(gè)人信息保護(hù)法》的重點(diǎn)����。此次《辦法》明確,要重點(diǎn)審查:是否事前對(duì)算法模型進(jìn)行安全評(píng)估��;是否事前對(duì)算法模型進(jìn)行科技倫理審查���;是否采取必要措施對(duì)算法和參數(shù)模型進(jìn)行保護(hù)等�。
吳沈括指出�,《要點(diǎn)》細(xì)化了關(guān)于自動(dòng)化決策的相關(guān)合規(guī)要求,而在落地過程中���,如何實(shí)現(xiàn)敏捷、有效����、精準(zhǔn)審計(jì)是一個(gè)非常重大的挑戰(zhàn),需要有相應(yīng)的工具��、人力和審計(jì)方法相匹配����。
鄧志松也表示,《要點(diǎn)》第九條的內(nèi)容實(shí)際上是對(duì)此前散落于各規(guī)定中有關(guān)自動(dòng)化決策規(guī)范要求的細(xì)化與總結(jié)�。對(duì)于企業(yè)來說,要實(shí)現(xiàn)這些要求�����,需要在技術(shù)和規(guī)范兩方面都予以完善。
“企業(yè)需要對(duì)每個(gè)涉及自動(dòng)化決策的算法和模型予以評(píng)估��,同時(shí)還要確保這些自動(dòng)化決策過程的合規(guī)性和安全性�。而無論是制度的建設(shè)還是各個(gè)環(huán)節(jié)的技術(shù)設(shè)計(jì),都會(huì)為企業(yè)增加更多時(shí)間�����、人力����、物力和金錢成本。但同時(shí)��,數(shù)據(jù)合規(guī)是一個(gè)長(zhǎng)期而必要的過程��,盡管合規(guī)制度的建立過程可能是艱難的�����,一旦合規(guī)制度有效運(yùn)作起來��,其后續(xù)的合規(guī)成本可能會(huì)逐步降低�����。”鄧志松說���。
人工智能是近期備受關(guān)注的熱點(diǎn)話題��,這些規(guī)定是否會(huì)對(duì)大模型的研究和商用產(chǎn)生影響���?
袁立志認(rèn)為,自動(dòng)化決策算法審計(jì)和大模型應(yīng)用在這個(gè)問題上沒有太多重疊部分���。自動(dòng)化決策算法早在“百模大戰(zhàn)”前就廣泛應(yīng)用于互聯(lián)網(wǎng)平臺(tái)的產(chǎn)品與服務(wù)中,此次單列一條要求審計(jì)�,只是個(gè)人信息保護(hù)工作推進(jìn)的正常動(dòng)作。而針對(duì)生成式人工智能技術(shù)及大模型商用����,袁立志不認(rèn)為《立法》與《要點(diǎn)》會(huì)帶來很大影響?�!叭绻a(chǎn)品運(yùn)行中涉及到對(duì)用戶個(gè)人信息的收集����,企業(yè)依據(jù)規(guī)則正常進(jìn)行合規(guī)審計(jì)即可�?��!?/p>
《個(gè)人信息保護(hù)法》五十八條創(chuàng)設(shè)性提出了“守門人”條款��,對(duì)大型互聯(lián)網(wǎng)平臺(tái)委以特別義務(wù)��。2022年11月����,南財(cái)合規(guī)科技研究院發(fā)布“守門人”個(gè)人信息保護(hù)社會(huì)責(zé)任測(cè)評(píng)報(bào)告�,測(cè)評(píng)發(fā)現(xiàn)被測(cè)評(píng)的18家平臺(tái)合規(guī)水準(zhǔn)普遍比較高,但仍存獨(dú)立監(jiān)督機(jī)構(gòu)有待落地�����、多數(shù)大型平臺(tái)沒出出具獨(dú)立的個(gè)人信息保護(hù)企業(yè)社會(huì)責(zé)任報(bào)告等問題�。
彼時(shí),針對(duì)“守門人”條款尚未有具體實(shí)施細(xì)則���,此次《辦法》中劃出了不少重點(diǎn)�����,可以作為落實(shí)的方向��。
《個(gè)人信息保護(hù)法》要求大型平臺(tái)應(yīng)“成立主要由外部成員組成的獨(dú)立機(jī)構(gòu)對(duì)個(gè)人信息保護(hù)情況進(jìn)行監(jiān)督”�����。但上述測(cè)評(píng)發(fā)現(xiàn)���,獨(dú)立機(jī)構(gòu)在實(shí)踐中鮮有落地。此次�����,《要點(diǎn)》對(duì)獨(dú)立機(jī)構(gòu)設(shè)置了相關(guān)的審查要點(diǎn):外部成員與個(gè)人信息處理者及其主要股東是否存在可能妨礙其進(jìn)行獨(dú)立客觀判斷的關(guān)系��;評(píng)價(jià)外部成員的履職能力等�。
袁立志則認(rèn)為,這一條款走向落實(shí)�,需要解決的問題之一是“大型互聯(lián)網(wǎng)平臺(tái)”的定義明確。
2021年年底��,市場(chǎng)監(jiān)督總局《互聯(lián)網(wǎng)平臺(tái)分類分級(jí)指南(征求意見稿)》(以下簡(jiǎn)稱《分類分級(jí)指南》)�,其中給出了基于用戶規(guī)模����、主營(yíng)業(yè)務(wù)��、經(jīng)濟(jì)體量����、限制能力等指標(biāo)的平臺(tái)分級(jí)標(biāo)準(zhǔn)�。不過由于僅為征求意見稿,其效力并不能保證��,故也不能確定未來實(shí)踐中是否基于這份文件提供的標(biāo)準(zhǔn)劃分���。
上述測(cè)評(píng)發(fā)現(xiàn)��,多數(shù)平臺(tái)缺乏獨(dú)立個(gè)人信息保護(hù)企業(yè)社會(huì)責(zé)任報(bào)告���?����!兑c(diǎn)》中指出����,重點(diǎn)審查社會(huì)責(zé)任報(bào)告下列內(nèi)容的披露情況:個(gè)人信息保護(hù)組織架構(gòu)和內(nèi)部管理情況;個(gè)人行使權(quán)利的申請(qǐng)受理情況等��。
近年來��,網(wǎng)暴治理受到社會(huì)各界關(guān)注�����?�!兑c(diǎn)》第十二條也指出,個(gè)人信息處理者處理已公開個(gè)人信息的��,應(yīng)重點(diǎn)審查的違規(guī)行為包括“利用已公開的個(gè)人信息從事網(wǎng)絡(luò)暴力活動(dòng)”。
吳沈括分析,結(jié)合個(gè)保法的要求和網(wǎng)暴治理的相關(guān)規(guī)定�����,在實(shí)際操作層面�����,已公開個(gè)人信息的目錄梳理�、已公開個(gè)人信息的流轉(zhuǎn)路徑以及已公開個(gè)人信息的投訴舉報(bào)機(jī)制將是非常重要的一些卡點(diǎn)。此外,如何敏捷監(jiān)測(cè)��、快速發(fā)現(xiàn)相關(guān)違規(guī)行為,如何實(shí)現(xiàn)對(duì)已公開個(gè)人信息數(shù)據(jù)鏈路的管控值得重點(diǎn)關(guān)注�。
鄧志松指出,對(duì)于這類審查,一方面�,可以從程序上�����,對(duì)個(gè)人信息處理的整個(gè)環(huán)節(jié)進(jìn)行審查,審核其個(gè)人信息處理的全流程是否合法合規(guī)�,是否有環(huán)節(jié)超出了法律允許的范圍處理個(gè)人信息���。另一方面,需要進(jìn)行內(nèi)容識(shí)別�,審查其個(gè)人信息處理者是否有發(fā)布或者向他人披露類似內(nèi)容。此外���,還可能需要通過技術(shù)手段構(gòu)建網(wǎng)暴識(shí)別模型�����,并查看該個(gè)人信息處理者是否有相關(guān)內(nèi)容的投訴信息。
此外��,鄧志松認(rèn)為�,由于網(wǎng)絡(luò)暴力審查更多的是內(nèi)容層面的審核,相較于程序上的審查�����,確實(shí)更難察覺����,未來可能還需通過技術(shù)手段的輔助來實(shí)現(xiàn)更完整的篩查。
標(biāo)簽:
