《個人信息保護合規(guī)審計管理辦法》(“《個保審計辦法》”)落實了個人信息保護合規(guī)審計(下文亦簡稱為“審計”)制度的具體要求。部分企業(yè)必須定期進行審計;主管機關(guān)在一定情況下,可要求部分企業(yè)進行審計。這一系列制度的落實,對投融資項目和上市項目的部分合規(guī)要求將產(chǎn)生重要影響,企業(yè)及參與項目的專業(yè)機構(gòu)需要關(guān)注。
1、與個人信息保護合規(guī)審計有關(guān)的新義務(wù)
● 處理超過1000萬人個人信息的處理者應當進行審計《個保審計辦法》規(guī)定,處理超過1000萬人個人信息的個人信息處理者,應當每兩年至少開展一次審計。這成為此類處理者應當定期完成的義務(wù)。實踐中,大中型互聯(lián)網(wǎng)企業(yè)、大部分金融機構(gòu)、大量消費類企業(yè)的主營業(yè)務(wù)本身面向個人用戶,容易收集大量個人的個人信息。企業(yè)如果處理的個人信息對應的人數(shù)超過1000萬人,需要在《個保審計辦法》于2025年5月1日施行后,至少每兩年進行一次審計。實踐中,有的企業(yè)處理個人信息的數(shù)量接近1000萬人,或者由于業(yè)務(wù)特性,個人信息處理所涉及的人數(shù)在短期內(nèi)可能發(fā)生較大變化。此外,需要注意的是,有的企業(yè)對于不繼續(xù)提供服務(wù)的用戶,或者對于很長一段時間以前收集到、希望作為客戶轉(zhuǎn)化的銷售線索,沒有定期刪除,持續(xù)存儲,甚至持續(xù)進行日常使用等處理,前述用戶數(shù)據(jù)及銷售線索所涉及的個人信息均計入該企業(yè)的個人信息處理人數(shù)中,這容易使得企業(yè)處理個人信息涉及的人數(shù)合計達到較大數(shù)值。如前述企業(yè)個人信息處理活動所涉及的個人信息人數(shù)超過1000萬人,則該等企業(yè)進行審計將成為一項法定的定期義務(wù)。相應的政府部門有權(quán)在如下三種情況下,要求企業(yè)進行審計:(一)發(fā)現(xiàn)個人信息處理活動存在嚴重影響個人權(quán)益或者嚴重缺乏安全措施等較大風險的;(二)個人信息處理活動可能侵害眾多個人的權(quán)益的;(三)發(fā)生個人信息安全事件,導致100萬人以上個人信息或者10萬人以上敏感個人信息泄露、篡改、丟失、毀損的。實踐中,這三種情況往往伴生于其他網(wǎng)絡(luò)安全、數(shù)據(jù)安全或個人信息安全事件。例如,企業(yè)發(fā)生安全事件,達到監(jiān)管規(guī)則要求的情況或者級別,需要向主管機關(guān)進行匯報,如主管機關(guān)認為這種事件構(gòu)成上述三種情況之一,主管機關(guān)有權(quán)要求企業(yè)進行審計。三種情況當中,“導致100萬人以上個人信息或者10萬人以上敏感個人信息泄露、篡改、丟失、毀損”相對明確,但是上述(一)和(二)兩種情況的邊界相對不太明晰。這兩種情況有可能隨其他的執(zhí)法事件或爭議而相應產(chǎn)生。比如,在其他執(zhí)法事件(甚至不一定是直接與個人信息保護有關(guān)的執(zhí)法事件)當中,執(zhí)法機關(guān)發(fā)現(xiàn)可能存在嚴重影響個人權(quán)益或者嚴重缺乏安全措施等情況,執(zhí)法機關(guān)將展開調(diào)查。調(diào)查過程中,由于具體辦案的執(zhí)法機關(guān)本身的執(zhí)法精力和資源可能有限,執(zhí)法機關(guān)可能有更強動力要求處理者進行審計,有助于節(jié)省執(zhí)法資源,并有助于引入專業(yè)機構(gòu),從而更精準、完整地發(fā)現(xiàn)問題,督促和幫助處理者盡快完成整改。此外值得注意的是,上述(一)和(二)可能與現(xiàn)有慣常進行的其他一些網(wǎng)絡(luò)安全、數(shù)據(jù)安全執(zhí)法構(gòu)成實際的銜接或協(xié)同。例如,網(wǎng)安部門和網(wǎng)信部門時常在一些企業(yè)頁面被惡意篡改或者一些企業(yè)發(fā)生安全事件的情況下,關(guān)注這些企業(yè)本身的網(wǎng)絡(luò)安全和數(shù)據(jù)安全措施;這一執(zhí)法關(guān)注緣由可能引發(fā)成因為嚴重缺乏安全措施,導致進一步促使執(zhí)法機關(guān)考慮是否要求相應企業(yè)開展審計。● 部分企業(yè)需要設(shè)立個人信息保護負責人來負責審計《個人信息保護法》僅籠統(tǒng)規(guī)定,處理個人信息達到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者應當指定個人信息保護負責人,負責對個人信息處理活動以及采取的保護措施等進行監(jiān)督。《個保審計辦法》首次在審計這一事項上,為設(shè)立個人信息保護負責人設(shè)定了明確的門檻,要求處理100萬人以上個人信息的個人信息處理者應當指定個人信息保護負責人,負責個人信息處理者的審計工作。這是一項便捷及比較明確的規(guī)定,據(jù)此,處理100萬人以上個人信息的企業(yè)應設(shè)立個人信息保護負責人。此外,有的數(shù)據(jù)合規(guī)水位較高的企業(yè),在《個保審計辦法》頒布之前,已經(jīng)設(shè)立了個人信息保護負責人,但是負責人權(quán)責職位中,可能沒有明確規(guī)定負責人在審計方面的職責、權(quán)限、流程等。企業(yè)如果處理100萬人以上個人信息,則需要注意在其個人信息保護負責人的內(nèi)部制度中,明確關(guān)于審計的職責、權(quán)限、流程。
2、個人信息保護合規(guī)審計對投融資項目的影響
投融資項目中,融資方(即融資項目中的目標公司)一般很重視自身對投資人呈現(xiàn)的企業(yè)質(zhì)量,其中包括合規(guī)程度,以盡量在企業(yè)風險程度方面向投資人呈現(xiàn)較佳的觀感。投資人則關(guān)注融資方各方面是否存在不合規(guī)情況,由此產(chǎn)生的潛在風險(例如罰款,停業(yè),整改等),以及對潛在風險的整改或者解決方案。● 數(shù)據(jù)合規(guī)盡職調(diào)查中關(guān)注個人信息保護合規(guī)審計對于科技型企業(yè),汽車、金融、醫(yī)療等行業(yè)企業(yè)或者處理個人信息量較大的其他類型的融資方,投資人可能會聘請顧問進行專項的數(shù)據(jù)合規(guī)盡職調(diào)查。此前的數(shù)據(jù)合規(guī)盡職調(diào)查中,由于審計的具體細節(jié)沒有落地,所以關(guān)注程度較低,實際要求整改的依據(jù)相對有限,潛在風險相對可控。目前,隨著《個保審計辦法》的頒布,審計的細節(jié)要求(包括義務(wù)主體、觸發(fā)場景、審查范圍等)以及沒有依法進行審計的風險更為明晰。因此,投資人宜加強數(shù)據(jù)合規(guī)盡職調(diào)查中對于目標公司審計情況的關(guān)注。例如:(1)如果目標公司處理超過1000萬人的個人信息,則應關(guān)注是否在《個保審計辦法》生效日后的兩年內(nèi)至少進行過一次審計。(2)數(shù)據(jù)合規(guī)盡職調(diào)查往往會關(guān)注目標公司過往被通報、調(diào)查、處罰或者發(fā)生數(shù)據(jù)相關(guān)爭議等的負面情況。對這些情況進行調(diào)查的過程中,需要與是否可能觸發(fā)《個保審計辦法》所規(guī)定的監(jiān)管機構(gòu)主動要求審計的情形結(jié)合考慮。例如,目標公司過往是否已經(jīng)被主管機關(guān)關(guān)注甚至已經(jīng)啟動調(diào)查,是否已經(jīng)發(fā)生過比較嚴重的個人信息泄露事件,是否發(fā)生過與個人信息保護有關(guān)的投訴、爭議、訴訟或者輿情事件。這些事件可能引發(fā)監(jiān)管機構(gòu)對目標公司是否進行過、是否應當進行審計的關(guān)注。(3)目標公司是否應當指定個人信息保護負責人,是否已經(jīng)頒布制定了審計方面的內(nèi)部管理制度和操作規(guī)程,或者已經(jīng)指定的個人信息保護負責人的相應職權(quán)或職責范圍中,是否有關(guān)于審計的內(nèi)容。● 交易文件應關(guān)注與個人信息保護審計有關(guān)的條款設(shè)計交易文件往往通過陳述與保證(representations and warranties)條款讓目標公司明確目前的一些合規(guī)現(xiàn)狀或事實情況,通過交割先決條件(condition precedent)條款來要求目標公司對真正重要的數(shù)據(jù)合規(guī)整改項在交割之前進行整改并達到一定狀態(tài),通過交割后承諾(post-closing covenant)條款來促使目標公司對其他不太緊迫但需要整改的數(shù)據(jù)合規(guī)內(nèi)容進行約定、要求完成整改,并通過違約(breach of contract)條款或者專門的賠償(indemnity)條款來要求目標公司或者創(chuàng)始股東對某些數(shù)據(jù)合規(guī)瑕疵造成的損失進行賠償。在個人信息保護合規(guī)審計制度已經(jīng)落地的情況下,各方將關(guān)注是否以及在何種程度上,通過陳述保證條款,要求目標公司對現(xiàn)狀進行確認。例如,目標公司如果確認處理的個人信息涉及的人數(shù)不及1000萬人并因此確定不屬于根據(jù)《個保審計辦法》需要進行定期審計的個人信息處理者,目標公司實際處理的個人信息所涉及人數(shù)這一客觀狀態(tài)在一個投資項目中可能難以得到確定性核實的,各方可以考慮協(xié)商,請目標公司對處理個人信息的人數(shù)不到法定數(shù)量從而不需要進行定期審計做出陳述與保證。例如,目標公司處理的個人信息涉及的人數(shù)遠遠不及100萬人,從而不希望明確指定個人信息保護負責人并規(guī)定與審計的權(quán)責和流程。目標公司處理個人信息涉及的實際人數(shù)總數(shù)這一情況在投資項目中可能無法得到確定性核實,因此各方可能協(xié)商,由目標公司在陳述保證條款中,確認上述情況。此外,對于與審計有關(guān)的重大、核心事項,視交易節(jié)奏和各方對風險的判斷,可能構(gòu)成交割先決條件或者交割后的整改承諾。例如,如果目標公司已經(jīng)明確被主管機關(guān)要求進行審計,正在進行審計的過程中,如投資交易的交割沒有特別緊急的時間表,投資人可能要求目標公司及時完成審計,并根據(jù)《個保審計辦法》的要求,及時將審計報告報送給主管部門,并根據(jù)審計報告發(fā)現(xiàn)的問題及時整改,在整改完成后15個工作日內(nèi)報送給主管部門,并進一步要求將上述任務(wù)的完成作為交割的先決條件。例如,如果目標公司處理個人信息涉及的人數(shù)超過了1000萬人,但是尚未進行審計,各方可能要求目標公司在交割后、《個保審計辦法》規(guī)定的時間內(nèi),及時完成審計。另外,各方視交易中的具體風險情況,以及視各方商業(yè)角度協(xié)商達成的風險分擔安排,可能要求目標公司及創(chuàng)始股東對一些實質(zhì)的審計不合規(guī)情況造成的損失進行賠償。例如已經(jīng)被主管機關(guān)要求進行審計或已經(jīng)被主管機關(guān)要求就審計發(fā)現(xiàn)問題進行整改但沒有在要求的時間內(nèi)完成審計、整改或整改后報告從而引發(fā)了處罰或其他負面后果,例如處理超過1000萬人個人信息的目標公司沒有按照規(guī)定的時間進行審計、整改或整改后報告而引發(fā)處罰或者其他負面后果。
3、個人信息保護合規(guī)審計要求對境內(nèi)外上市項目的影響
個人信息保護合規(guī)審計制度作為將要明確落地的法定制度和義務(wù),境內(nèi)外上市中的發(fā)行人、保薦人和參與項目的其他專業(yè)機構(gòu)需要關(guān)注這一制度對發(fā)行人合規(guī)性的要求和影響。例如,對于處理超過1000萬人個人信息的發(fā)行人,需要關(guān)注是否已經(jīng)完成審計,或者至少將審計準備提上日程。從規(guī)則層面而言,《個保審計辦法》于2025年5月1日起施行。所以此類發(fā)行人在2025年5月1日起的兩年內(nèi),應當至少完成一次審計。當然,在未被主管部門要求進行審計的前提下,該等義務(wù)的具體實施時間,也可以結(jié)合上市項目的整體時間表綜合考慮。一般而言,例如,在境外發(fā)行項目過程中的一些重要節(jié)點,比如港股上市項目的A1申報及香港聯(lián)交所、香港證監(jiān)會、中國證監(jiān)會的反饋問詢及答復期間,如果法定要求必須完成定期審計的截止時間未到,則對審計工作有所關(guān)注、一定程度上有推進合規(guī)義務(wù)落實的積極行為也是可以接受的。但如果根據(jù)項目時間表,在前述重要節(jié)點(特別是直接面對監(jiān)管問詢的重要節(jié)點)之前,法定必須進行定期審計的截止時間將要屆滿,則發(fā)行人有必要提前倒排時間,提早安排進行審計。再如,如果發(fā)行人歷史上發(fā)生過一些負面事件、爭議或者被政府主管部門采取過監(jiān)管行動(特別是例如已經(jīng)發(fā)生過導致100萬人以上個人信息或者10萬人以上敏感個人信息泄露的安全事件),可能使得主管機構(gòu)能夠根據(jù)《個保審計辦法》有抓手要求發(fā)行人進行審計的,則參與發(fā)行的各方應關(guān)注、論證此時是否可能需要發(fā)行人主動進行審計,以降低有關(guān)事件帶來的潛在負面影響。此外,對于處理個人信息涉及的人數(shù)達到100萬人以上的發(fā)行人,需要設(shè)置個人信息保護負責人,并且將與審計有關(guān)的內(nèi)容、流程寫入負責人的權(quán)責范圍。目前,大量境外上市項目中,數(shù)據(jù)合規(guī)顧問協(xié)助發(fā)行人進行數(shù)據(jù)合規(guī)整改時,在相當多的情況下會在內(nèi)部制度層面要求或建議發(fā)行人設(shè)置個人信息保護負責人。后續(xù),如發(fā)行人確屬處理個人信息涉及的人數(shù)達到100萬人以上的情況,應關(guān)注在個人信息保護負責人權(quán)責制度中,加入審計的有關(guān)內(nèi)容,并考慮進一步明確審計的管理制度和操作規(guī)程。
