【条文主旨】
本条是关于履行个人信息保护职责的部门发现信息处理活动存在较大风险或者发生个人信息安全事件时可依法履行行政约谈和要求个人信息处理者进行合规审计的职责的规定。
【条文理解】
《个人信息保护法》第五章规定了个人处理者对个人信息负有安全保护义务。《个人信息保护法》第51条规定:“个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取下列措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失:(一)制定内部管理制度和操作规程;(二)对个人信息实行分类管理;(三)采取相应的加密、去标识化等安全技术措施;(四)合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;(五)制定并组织实施个人信息安全事件应急预案;(六)法律、行政法规规定的其他措施。”《个人信息保护法》从内部管理制度和操作规程、个人信息分类管理、采取的安全技术措施、内部操作权限配置、个人信息安全事件应急预案等几个方面防范个人信息处理过程中较大安全风险或者个人信息安全事件。如果履行个人信息保护职责的部门发现个人信息处理者未按照法律规定要求履行个人信息安全风险防范措施可能造成较大安全风险或安全事件的,根据本条规定,可以按照规定的权限和程序对该个人信息处理者进行行政约谈或者要求其进行合规审计。履行个人信息保护职责的部门在与个人信息处理者进行行政约谈后,要求个人信息处理者采取措施或者整改的,个人信息处理者应当严格按照行政约谈的要求采取措施或者进行整改,消除隐患。同时,本条第2款还规定,履行个人信息保护职责的部门在履行职责中,发现违法处理个人信息涉嫌犯罪的,应当及时移送公安机关依法处理。
【条文适用】
一、关于行政约谈
“约谈”是指监督组织对有关被监督组织或者个人,通过信息交流,进行了解情况、提示违法违纪风险以及批评教育,达到预防和干预违法违纪的监督方式。行政约谈主要应用在政纪检查监督,国家、政府和社会自身管理以及政府对社会的行政管理之中。行政约谈按其内容可分为外部约谈和内部约谈。外部约谈在行政机关和行政相对人之间进行,一般表现为行政机关对企业经济活动的干预,即相关企业进行市场垄断,侵害消费者合法权益时,行政机关对企业负责人进行劝告、指导、建议和要求的行为。它是一种打破行政机关和行政相对人之间对立局面,促进双方加强协商、遵守契约精神的柔性行政执法方式。内部约谈则表现为行政系统内部的层级监督,即上级领导对下级领导、负责人或者监察机关对领导干部的行政问责和纪律处分,不具有外部效力。其中,政府机关基于行政管理权力,对公民、法人或者其他组织进行约谈的行为,就是外部行政约谈。具体到公民个人信息保护行政约谈,是指履行个人信息职责的部门发现个人信息处理活动存在风险或者安全事件时,与个人信息处理者的法定代表人或者主要负责人进行了解情况、核对事实、提示风险或批评教育等信息沟通的行为。与个人信息处理者的法定代表人或者主要负责人进行行政约谈应当掌握以下原则:第一,行政约谈的主体是具有行政监管权的行政主体,主要是国家行政机关,也包括
法律法规授权的组织,主要指履行个人信息保护职责的部门。即《个人信息保护法》第60条第1款、第2款规定:“国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。国务院有关部门依照本法和有关法律、行政法规的规定,在各自职责范围内负责个人信息保护和监督管理工作。县级以上地方人民政府有关部门的个人信息保护和监督管理职责,按照国家有关规定确定。”第二,行政约谈的对象是公民、法人或者其他组织。个人信息保护约谈的对象为个人信息处理者的法定代表人或者主要负责人。第三,行政约谈的方式是信息交流。一般而言,个人信息保护行政约谈目的:一是向被约谈人核实和了解有关情况;二是对个人信息处理者在信息处理活动中存在的违法风险予以提示;三是对已出现的个人信息处理者违反法律、行政法规的规定违法处理个人信息活动进行批评教育等。第四,行政约谈的法律效果,仅仅是引起当事人的警示,并不直接影响当事人的权利和义务。
二、关于合规审计
《个人信息保护法》关于审计的内容出现了两处:第一处是《个人信息保护法》第54条。该条规定:“个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。”该条是《个人信息保护法》要求个人信息处理者定期合规审计的规定。第二处是《个人信息保护法》第64条,该条规定:“履行个人信息保护职责的部门在履行职责中,发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,可以按照规定的权限和程序对该个人信息处理者的法定代表人或者主要负责人进行约谈,或者要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。”该条是从监管机构的角度明确履行个人信息保护职责的部门在特定情形下可以要求个人信息处理者强制第三方进行合规审计。《个人信息保护法(草案)》中并没有将第54条和第64条进行区分,而是一起规定在第53条,“个人信息处理者应当定期对其个人信息处理活动、采取的保护措施等是否符合法律、行政法规的规定进行审计。履行个人信息保护职责的部门有权要求个人信息处理者委托专业机构进行审计”。《个人信息保护法(草案二次审议稿)》将第53条拆分为两条,特别增加了“要求个人信息处理者委托专业机构进行合规审计”的执法监督措施,体现了在行政执法中引入企业和第三方专业机构进行“多主体合作治理”的理念,提高行政监管的效率和灵活性。
审计通常可分为财务报表审计、经营审计和合规性审计三个类别。合规性审计一般指审计机构和审计人员依据国家法律、法规和财经制度对被审计单位的生产经营管理活动及其有关资料是否合规所进行的一种监督活动。就个人信息保护立法中的审计类别而言,还有一种是安全审计。根据国家推荐标准《信息安全技术个人信息安全规范》(GB/T 35273—2020)第11.7条规定了个人信息的“安全审计”,该条规定:“a)应对个人信息保护政策、相关规程和安全措施的有效性进行审计;b)应建立自动化审计系统,监测记录个人信息处理活动;c)审计过程形成的记录应能对安全事件的处置、应急响应和事后调查提供支撑;d)应防止非授权访问、篡改或删除审计记录;e)应及时处理审计过程中发现的个人信息违规使用、滥用等情况;f)审计记录和留存时间应符合法律法规的要求。”从时间上来看,国家推荐标准中所列的“安全审计”和本法所说的“合规审计”在内容上有部分重合。
关于合规审计的内容,《个人信息保护法》第64条并没有规定进行哪些方面的“合规审计”。但在表述上,与《个人信息保护法》第54条的表述一致,都是“合规审计”。我们理解,应当都是对“处理个人信息遵守法律、行政法规的情况”进行合规审计。这里的法律、行政法规,主要包括法律,如《
民法典》《
网络安全法》《全国人民代表大会常务委员会关于加强网络信息保护的决定》《个人信息保护法》《数据安全保护法》等;部门规章如《网络安全审查办法》《儿童个人信息网络保护规定》等;还有
司法解释,如《信息网络侵害人身权益规定》《使用人脸识别技术处理个人信息民事案件规定》等;当然,个人信息保护领域还有一些国家标准,也是可以作为合规审计的参考,如《信息安全技术个人信息安全规范》《信息安全技术个人信息安全影响评估指南》等。
三、移送公安机关的情形
本条第2款规定,履行个人信息保护职责的部门在履行职责中,发现违法处理个人信息涉嫌犯罪的,应当及时移送公安机关依法处理。该款主要规定的是行政监管机关在履职过程中有发现涉嫌犯罪情形的移送公安机关侦查的内容。该条说的“涉嫌犯罪”,主要就是指《
刑法》第253条规定的“侵犯公民个人信息犯罪”。《刑法修正案(七)》增设了《刑法》第253条之一,规定了出售、非法提供公民个人信息罪和非法获取公民个人信息罪。《刑法修正案(九)》又对《刑法修正案(七)》进行了修改,将“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”被整合为“侵犯公民个人信息罪”。另外,关于侵犯公民个人信息犯罪,《最高人民法院、最高人民检察院关于办理公民个人信息刑事案件适用法律若干问题的解释》对侵犯公民个人信息罪的定罪量刑标准等内容进行了规定,也是行政监管机关移送公安机关重要法律依据。
