《個人信息保護合規審計管理辦法》(“《個保審計辦法》”)落實了個人信息保護合規審計(下文亦簡稱為“審計”)制度的具體要求。部分企業必須定期進行審計�;主管機關在一定情況下�����,可要求部分企業進行審計。這一系列制度的落實��,對投融資項目和上市項目的部分合規要求將產生重要影響�,企業及參與項目的專業機構需要關注。
● 處理超過1000萬人個人信息的處理者應當進行審計《個保審計辦法》規定��,處理超過1000萬人個人信息的個人信息處理者���,應當每兩年至少開展一次審計��。這成為此類處理者應當定期完成的義務。實踐中����,大中型互聯網企業�����、大部分金融機構、大量消費類企業的主營業務本身面向個人用戶�����,容易收集大量個人的個人信息�。企業如果處理的個人信息對應的人數超過1000萬人��,需要在《個保審計辦法》于2025年5月1日施行后���,至少每兩年進行一次審計��。實踐中,有的企業處理個人信息的數量接近1000萬人,或者由于業務特性��,個人信息處理所涉及的人數在短期內可能發生較大變化��。此外����,需要注意的是��,有的企業對于不繼續提供服務的用戶����,或者對于很長一段時間以前收集到�����、希望作為客戶轉化的銷售線索��,沒有定期刪除,持續存儲���,甚至持續進行日常使用等處理,前述用戶數據及銷售線索所涉及的個人信息均計入該企業的個人信息處理人數中��,這容易使得企業處理個人信息涉及的人數合計達到較大數值�。如前述企業個人信息處理活動所涉及的個人信息人數超過1000萬人,則該等企業進行審計將成為一項法定的定期義務�。相應的政府部門有權在如下三種情況下����,要求企業進行審計:(一)發現個人信息處理活動存在嚴重影響個人權益或者嚴重缺乏安全措施等較大風險的�;(三)發生個人信息安全事件,導致100萬人以上個人信息或者10萬人以上敏感個人信息泄露���、篡改、丟失、毀損的��。實踐中�����,這三種情況往往伴生于其他網絡安全����、數據安全或個人信息安全事件�����。例如��,企業發生安全事件,達到監管規則要求的情況或者級別���,需要向主管機關進行匯報,如主管機關認為這種事件構成上述三種情況之一,主管機關有權要求企業進行審計�。三種情況當中��,“導致100萬人以上個人信息或者10萬人以上敏感個人信息泄露、篡改、丟失���、毀損”相對明確,但是上述(一)和(二)兩種情況的邊界相對不太明晰。這兩種情況有可能隨其他的執法事件或爭議而相應產生�。比如�����,在其他執法事件(甚至不一定是直接與個人信息保護有關的執法事件)當中,執法機關發現可能存在嚴重影響個人權益或者嚴重缺乏安全措施等情況,執法機關將展開調查。調查過程中,由于具體辦案的執法機關本身的執法精力和資源可能有限,執法機關可能有更強動力要求處理者進行審計,有助于節省執法資源,并有助于引入專業機構���,從而更精準����、完整地發現問題,督促和幫助處理者盡快完成整改�。此外值得注意的是�,上述(一)和(二)可能與現有慣常進行的其他一些網絡安全�、數據安全執法構成實際的銜接或協同。例如����,網安部門和網信部門時常在一些企業頁面被惡意篡改或者一些企業發生安全事件的情況下��,關注這些企業本身的網絡安全和數據安全措施;這一執法關注緣由可能引發成因為嚴重缺乏安全措施,導致進一步促使執法機關考慮是否要求相應企業開展審計。《個人信息保護法》僅籠統規定,處理個人信息達到國家網信部門規定數量的個人信息處理者應當指定個人信息保護負責人���,負責對個人信息處理活動以及采取的保護措施等進行監督?��!秱€保審計辦法》首次在審計這一事項上,為設立個人信息保護負責人設定了明確的門檻�,要求處理100萬人以上個人信息的個人信息處理者應當指定個人信息保護負責人�����,負責個人信息處理者的審計工作。這是一項便捷及比較明確的規定��,據此�,處理100萬人以上個人信息的企業應設立個人信息保護負責人。此外�,有的數據合規水位較高的企業�����,在《個保審計辦法》頒布之前,已經設立了個人信息保護負責人�,但是負責人權責職位中��,可能沒有明確規定負責人在審計方面的職責��、權限�、流程等����。企業如果處理100萬人以上個人信息,則需要注意在其個人信息保護負責人的內部制度中��,明確關于審計的職責、權限�、流程���。
投融資項目中�����,融資方(即融資項目中的目標公司)一般很重視自身對投資人呈現的企業質量,其中包括合規程度����,以盡量在企業風險程度方面向投資人呈現較佳的觀感�����。投資人則關注融資方各方面是否存在不合規情況,由此產生的潛在風險(例如罰款�,停業����,整改等)���,以及對潛在風險的整改或者解決方案���。對于科技型企業����,汽車�����、金融����、醫療等行業企業或者處理個人信息量較大的其他類型的融資方��,投資人可能會聘請顧問進行專項的數據合規盡職調查��。此前的數據合規盡職調查中,由于審計的具體細節沒有落地�����,所以關注程度較低�,實際要求整改的依據相對有限,潛在風險相對可控。目前�����,隨著《個保審計辦法》的頒布���,審計的細節要求(包括義務主體����、觸發場景、審查范圍等)以及沒有依法進行審計的風險更為明晰。因此���,投資人宜加強數據合規盡職調查中對于目標公司審計情況的關注����。例如:(1)如果目標公司處理超過1000萬人的個人信息,則應關注是否在《個保審計辦法》生效日后的兩年內至少進行過一次審計。(2)數據合規盡職調查往往會關注目標公司過往被通報、調查�、處罰或者發生數據相關爭議等的負面情況���。對這些情況進行調查的過程中���,需要與是否可能觸發《個保審計辦法》所規定的監管機構主動要求審計的情形結合考慮�。例如�����,目標公司過往是否已經被主管機關關注甚至已經啟動調查���,是否已經發生過比較嚴重的個人信息泄露事件����,是否發生過與個人信息保護有關的投訴、爭議、訴訟或者輿情事件��。這些事件可能引發監管機構對目標公司是否進行過��、是否應當進行審計的關注�����。(3)目標公司是否應當指定個人信息保護負責人,是否已經頒布制定了審計方面的內部管理制度和操作規程,或者已經指定的個人信息保護負責人的相應職權或職責范圍中��,是否有關于審計的內容����。● 交易文件應關注與個人信息保護審計有關的條款設計交易文件往往通過陳述與保證(representations and warranties)條款讓目標公司明確目前的一些合規現狀或事實情況��,通過交割先決條件(condition precedent)條款來要求目標公司對真正重要的數據合規整改項在交割之前進行整改并達到一定狀態��,通過交割后承諾(post-closing covenant)條款來促使目標公司對其他不太緊迫但需要整改的數據合規內容進行約定、要求完成整改�����,并通過違約(breach of contract)條款或者專門的賠償(indemnity)條款來要求目標公司或者創始股東對某些數據合規瑕疵造成的損失進行賠償��。在個人信息保護合規審計制度已經落地的情況下��,各方將關注是否以及在何種程度上,通過陳述保證條款����,要求目標公司對現狀進行確認����。例如���,目標公司如果確認處理的個人信息涉及的人數不及1000萬人并因此確定不屬于根據《個保審計辦法》需要進行定期審計的個人信息處理者����,目標公司實際處理的個人信息所涉及人數這一客觀狀態在一個投資項目中可能難以得到確定性核實的,各方可以考慮協商���,請目標公司對處理個人信息的人數不到法定數量從而不需要進行定期審計做出陳述與保證。例如�����,目標公司處理的個人信息涉及的人數遠遠不及100萬人���,從而不希望明確指定個人信息保護負責人并規定與審計的權責和流程���。目標公司處理個人信息涉及的實際人數總數這一情況在投資項目中可能無法得到確定性核實�,因此各方可能協商��,由目標公司在陳述保證條款中���,確認上述情況�。此外�,對于與審計有關的重大、核心事項��,視交易節奏和各方對風險的判斷��,可能構成交割先決條件或者交割后的整改承諾�����。例如,如果目標公司已經明確被主管機關要求進行審計,正在進行審計的過程中,如投資交易的交割沒有特別緊急的時間表���,投資人可能要求目標公司及時完成審計�,并根據《個保審計辦法》的要求����,及時將審計報告報送給主管部門,并根據審計報告發現的問題及時整改���,在整改完成后15個工作日內報送給主管部門,并進一步要求將上述任務的完成作為交割的先決條件�。例如��,如果目標公司處理個人信息涉及的人數超過了1000萬人,但是尚未進行審計�����,各方可能要求目標公司在交割后���、《個保審計辦法》規定的時間內����,及時完成審計����。另外,各方視交易中的具體風險情況,以及視各方商業角度協商達成的風險分擔安排����,可能要求目標公司及創始股東對一些實質的審計不合規情況造成的損失進行賠償����。例如已經被主管機關要求進行審計或已經被主管機關要求就審計發現問題進行整改但沒有在要求的時間內完成審計�����、整改或整改后報告從而引發了處罰或其他負面后果���,例如處理超過1000萬人個人信息的目標公司沒有按照規定的時間進行審計��、整改或整改后報告而引發處罰或者其他負面后果。
3�、個人信息保護合規審計要求對境內外上市項目的影響
個人信息保護合規審計制度作為將要明確落地的法定制度和義務���,境內外上市中的發行人����、保薦人和參與項目的其他專業機構需要關注這一制度對發行人合規性的要求和影響�。例如,對于處理超過1000萬人個人信息的發行人,需要關注是否已經完成審計���,或者至少將審計準備提上日程�。從規則層面而言,《個保審計辦法》于2025年5月1日起施行�����。所以此類發行人在2025年5月1日起的兩年內��,應當至少完成一次審計�����。當然,在未被主管部門要求進行審計的前提下����,該等義務的具體實施時間����,也可以結合上市項目的整體時間表綜合考慮�����。一般而言�,例如,在境外發行項目過程中的一些重要節點,比如港股上市項目的A1申報及香港聯交所�、香港證監會�、中國證監會的反饋問詢及答復期間�����,如果法定要求必須完成定期審計的截止時間未到���,則對審計工作有所關注、一定程度上有推進合規義務落實的積極行為也是可以接受的��。但如果根據項目時間表�,在前述重要節點(特別是直接面對監管問詢的重要節點)之前,法定必須進行定期審計的截止時間將要屆滿�����,則發行人有必要提前倒排時間����,提早安排進行審計。再如�����,如果發行人歷史上發生過一些負面事件�、爭議或者被政府主管部門采取過監管行動(特別是例如已經發生過導致100萬人以上個人信息或者10萬人以上敏感個人信息泄露的安全事件),可能使得主管機構能夠根據《個保審計辦法》有抓手要求發行人進行審計的�����,則參與發行的各方應關注�����、論證此時是否可能需要發行人主動進行審計���,以降低有關事件帶來的潛在負面影響�。此外�,對于處理個人信息涉及的人數達到100萬人以上的發行人,需要設置個人信息保護負責人�,并且將與審計有關的內容�、流程寫入負責人的權責范圍�����。目前,大量境外上市項目中���,數據合規顧問協助發行人進行數據合規整改時,在相當多的情況下會在內部制度層面要求或建議發行人設置個人信息保護負責人�����。后續�,如發行人確屬處理個人信息涉及的人數達到100萬人以上的情況,應關注在個人信息保護負責人權責制度中,加入審計的有關內容��,并考慮進一步明確審計的管理制度和操作規程�����。
