《個(gè)人信息保護(hù)合規(guī)審計(jì)管理辦法》(“《個(gè)保審計(jì)辦法》”)落實(shí)了個(gè)人信息保護(hù)合規(guī)審計(jì)(下文亦簡稱為“審計(jì)”)制度的具體要求。部分企業(yè)必須定期進(jìn)行審計(jì);主管機(jī)關(guān)在一定情況下,可要求部分企業(yè)進(jìn)行審計(jì)。這一系列制度的落實(shí),對(duì)投融資項(xiàng)目和上市項(xiàng)目的部分合規(guī)要求將產(chǎn)生重要影響,企業(yè)及參與項(xiàng)目的專業(yè)機(jī)構(gòu)需要關(guān)注。
1、與個(gè)人信息保護(hù)合規(guī)審計(jì)有關(guān)的新義務(wù)
● 處理超過1000萬人個(gè)人信息的處理者應(yīng)當(dāng)進(jìn)行審計(jì)《個(gè)保審計(jì)辦法》規(guī)定,處理超過1000萬人個(gè)人信息的個(gè)人信息處理者,應(yīng)當(dāng)每兩年至少開展一次審計(jì)。這成為此類處理者應(yīng)當(dāng)定期完成的義務(wù)。實(shí)踐中,大中型互聯(lián)網(wǎng)企業(yè)、大部分金融機(jī)構(gòu)、大量消費(fèi)類企業(yè)的主營業(yè)務(wù)本身面向個(gè)人用戶,容易收集大量個(gè)人的個(gè)人信息。企業(yè)如果處理的個(gè)人信息對(duì)應(yīng)的人數(shù)超過1000萬人,需要在《個(gè)保審計(jì)辦法》于2025年5月1日施行后,至少每兩年進(jìn)行一次審計(jì)。實(shí)踐中,有的企業(yè)處理個(gè)人信息的數(shù)量接近1000萬人,或者由于業(yè)務(wù)特性,個(gè)人信息處理所涉及的人數(shù)在短期內(nèi)可能發(fā)生較大變化。此外,需要注意的是,有的企業(yè)對(duì)于不繼續(xù)提供服務(wù)的用戶,或者對(duì)于很長一段時(shí)間以前收集到、希望作為客戶轉(zhuǎn)化的銷售線索,沒有定期刪除,持續(xù)存儲(chǔ),甚至持續(xù)進(jìn)行日常使用等處理,前述用戶數(shù)據(jù)及銷售線索所涉及的個(gè)人信息均計(jì)入該企業(yè)的個(gè)人信息處理人數(shù)中,這容易使得企業(yè)處理個(gè)人信息涉及的人數(shù)合計(jì)達(dá)到較大數(shù)值。如前述企業(yè)個(gè)人信息處理活動(dòng)所涉及的個(gè)人信息人數(shù)超過1000萬人,則該等企業(yè)進(jìn)行審計(jì)將成為一項(xiàng)法定的定期義務(wù)。● 被相應(yīng)政府部門要求進(jìn)行審計(jì)的情況相應(yīng)的政府部門有權(quán)在如下三種情況下,要求企業(yè)進(jìn)行審計(jì):(一)發(fā)現(xiàn)個(gè)人信息處理活動(dòng)存在嚴(yán)重影響個(gè)人權(quán)益或者嚴(yán)重缺乏安全措施等較大風(fēng)險(xiǎn)的;(二)個(gè)人信息處理活動(dòng)可能侵害眾多個(gè)人的權(quán)益的;(三)發(fā)生個(gè)人信息安全事件,導(dǎo)致100萬人以上個(gè)人信息或者10萬人以上敏感個(gè)人信息泄露、篡改、丟失、毀損的。實(shí)踐中,這三種情況往往伴生于其他網(wǎng)絡(luò)安全、數(shù)據(jù)安全或個(gè)人信息安全事件。例如,企業(yè)發(fā)生安全事件,達(dá)到監(jiān)管規(guī)則要求的情況或者級(jí)別,需要向主管機(jī)關(guān)進(jìn)行匯報(bào),如主管機(jī)關(guān)認(rèn)為這種事件構(gòu)成上述三種情況之一,主管機(jī)關(guān)有權(quán)要求企業(yè)進(jìn)行審計(jì)。三種情況當(dāng)中,“導(dǎo)致100萬人以上個(gè)人信息或者10萬人以上敏感個(gè)人信息泄露、篡改、丟失、毀損”相對(duì)明確,但是上述(一)和(二)兩種情況的邊界相對(duì)不太明晰。這兩種情況有可能隨其他的執(zhí)法事件或爭議而相應(yīng)產(chǎn)生。比如,在其他執(zhí)法事件(甚至不一定是直接與個(gè)人信息保護(hù)有關(guān)的執(zhí)法事件)當(dāng)中,執(zhí)法機(jī)關(guān)發(fā)現(xiàn)可能存在嚴(yán)重影響個(gè)人權(quán)益或者嚴(yán)重缺乏安全措施等情況,執(zhí)法機(jī)關(guān)將展開調(diào)查。調(diào)查過程中,由于具體辦案的執(zhí)法機(jī)關(guān)本身的執(zhí)法精力和資源可能有限,執(zhí)法機(jī)關(guān)可能有更強(qiáng)動(dòng)力要求處理者進(jìn)行審計(jì),有助于節(jié)省執(zhí)法資源,并有助于引入專業(yè)機(jī)構(gòu),從而更精準(zhǔn)、完整地發(fā)現(xiàn)問題,督促和幫助處理者盡快完成整改。此外值得注意的是,上述(一)和(二)可能與現(xiàn)有慣常進(jìn)行的其他一些網(wǎng)絡(luò)安全、數(shù)據(jù)安全執(zhí)法構(gòu)成實(shí)際的銜接或協(xié)同。例如,網(wǎng)安部門和網(wǎng)信部門時(shí)常在一些企業(yè)頁面被惡意篡改或者一些企業(yè)發(fā)生安全事件的情況下,關(guān)注這些企業(yè)本身的網(wǎng)絡(luò)安全和數(shù)據(jù)安全措施;這一執(zhí)法關(guān)注緣由可能引發(fā)成因?yàn)閲?yán)重缺乏安全措施,導(dǎo)致進(jìn)一步促使執(zhí)法機(jī)關(guān)考慮是否要求相應(yīng)企業(yè)開展審計(jì)。● 部分企業(yè)需要設(shè)立個(gè)人信息保護(hù)負(fù)責(zé)人來負(fù)責(zé)審計(jì)《個(gè)人信息保護(hù)法》僅籠統(tǒng)規(guī)定,處理個(gè)人信息達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的個(gè)人信息處理者應(yīng)當(dāng)指定個(gè)人信息保護(hù)負(fù)責(zé)人,負(fù)責(zé)對(duì)個(gè)人信息處理活動(dòng)以及采取的保護(hù)措施等進(jìn)行監(jiān)督。《個(gè)保審計(jì)辦法》首次在審計(jì)這一事項(xiàng)上,為設(shè)立個(gè)人信息保護(hù)負(fù)責(zé)人設(shè)定了明確的門檻,要求處理100萬人以上個(gè)人信息的個(gè)人信息處理者應(yīng)當(dāng)指定個(gè)人信息保護(hù)負(fù)責(zé)人,負(fù)責(zé)個(gè)人信息處理者的審計(jì)工作。這是一項(xiàng)便捷及比較明確的規(guī)定,據(jù)此,處理100萬人以上個(gè)人信息的企業(yè)應(yīng)設(shè)立個(gè)人信息保護(hù)負(fù)責(zé)人。此外,有的數(shù)據(jù)合規(guī)水位較高的企業(yè),在《個(gè)保審計(jì)辦法》頒布之前,已經(jīng)設(shè)立了個(gè)人信息保護(hù)負(fù)責(zé)人,但是負(fù)責(zé)人權(quán)責(zé)職位中,可能沒有明確規(guī)定負(fù)責(zé)人在審計(jì)方面的職責(zé)、權(quán)限、流程等。企業(yè)如果處理100萬人以上個(gè)人信息,則需要注意在其個(gè)人信息保護(hù)負(fù)責(zé)人的內(nèi)部制度中,明確關(guān)于審計(jì)的職責(zé)、權(quán)限、流程。
2、個(gè)人信息保護(hù)合規(guī)審計(jì)對(duì)投融資項(xiàng)目的影響
投融資項(xiàng)目中,融資方(即融資項(xiàng)目中的目標(biāo)公司)一般很重視自身對(duì)投資人呈現(xiàn)的企業(yè)質(zhì)量,其中包括合規(guī)程度,以盡量在企業(yè)風(fēng)險(xiǎn)程度方面向投資人呈現(xiàn)較佳的觀感。投資人則關(guān)注融資方各方面是否存在不合規(guī)情況,由此產(chǎn)生的潛在風(fēng)險(xiǎn)(例如罰款,停業(yè),整改等),以及對(duì)潛在風(fēng)險(xiǎn)的整改或者解決方案。● 數(shù)據(jù)合規(guī)盡職調(diào)查中關(guān)注個(gè)人信息保護(hù)合規(guī)審計(jì)對(duì)于科技型企業(yè),汽車、金融、醫(yī)療等行業(yè)企業(yè)或者處理個(gè)人信息量較大的其他類型的融資方,投資人可能會(huì)聘請(qǐng)顧問進(jìn)行專項(xiàng)的數(shù)據(jù)合規(guī)盡職調(diào)查。此前的數(shù)據(jù)合規(guī)盡職調(diào)查中,由于審計(jì)的具體細(xì)節(jié)沒有落地,所以關(guān)注程度較低,實(shí)際要求整改的依據(jù)相對(duì)有限,潛在風(fēng)險(xiǎn)相對(duì)可控。目前,隨著《個(gè)保審計(jì)辦法》的頒布,審計(jì)的細(xì)節(jié)要求(包括義務(wù)主體、觸發(fā)場景、審查范圍等)以及沒有依法進(jìn)行審計(jì)的風(fēng)險(xiǎn)更為明晰。因此,投資人宜加強(qiáng)數(shù)據(jù)合規(guī)盡職調(diào)查中對(duì)于目標(biāo)公司審計(jì)情況的關(guān)注。例如:(1)如果目標(biāo)公司處理超過1000萬人的個(gè)人信息,則應(yīng)關(guān)注是否在《個(gè)保審計(jì)辦法》生效日后的兩年內(nèi)至少進(jìn)行過一次審計(jì)。(2)數(shù)據(jù)合規(guī)盡職調(diào)查往往會(huì)關(guān)注目標(biāo)公司過往被通報(bào)、調(diào)查、處罰或者發(fā)生數(shù)據(jù)相關(guān)爭議等的負(fù)面情況。對(duì)這些情況進(jìn)行調(diào)查的過程中,需要與是否可能觸發(fā)《個(gè)保審計(jì)辦法》所規(guī)定的監(jiān)管機(jī)構(gòu)主動(dòng)要求審計(jì)的情形結(jié)合考慮。例如,目標(biāo)公司過往是否已經(jīng)被主管機(jī)關(guān)關(guān)注甚至已經(jīng)啟動(dòng)調(diào)查,是否已經(jīng)發(fā)生過比較嚴(yán)重的個(gè)人信息泄露事件,是否發(fā)生過與個(gè)人信息保護(hù)有關(guān)的投訴、爭議、訴訟或者輿情事件。這些事件可能引發(fā)監(jiān)管機(jī)構(gòu)對(duì)目標(biāo)公司是否進(jìn)行過、是否應(yīng)當(dāng)進(jìn)行審計(jì)的關(guān)注。(3)目標(biāo)公司是否應(yīng)當(dāng)指定個(gè)人信息保護(hù)負(fù)責(zé)人,是否已經(jīng)頒布制定了審計(jì)方面的內(nèi)部管理制度和操作規(guī)程,或者已經(jīng)指定的個(gè)人信息保護(hù)負(fù)責(zé)人的相應(yīng)職權(quán)或職責(zé)范圍中,是否有關(guān)于審計(jì)的內(nèi)容。● 交易文件應(yīng)關(guān)注與個(gè)人信息保護(hù)審計(jì)有關(guān)的條款設(shè)計(jì)交易文件往往通過陳述與保證(representations and warranties)條款讓目標(biāo)公司明確目前的一些合規(guī)現(xiàn)狀或事實(shí)情況,通過交割先決條件(condition precedent)條款來要求目標(biāo)公司對(duì)真正重要的數(shù)據(jù)合規(guī)整改項(xiàng)在交割之前進(jìn)行整改并達(dá)到一定狀態(tài),通過交割后承諾(post-closing covenant)條款來促使目標(biāo)公司對(duì)其他不太緊迫但需要整改的數(shù)據(jù)合規(guī)內(nèi)容進(jìn)行約定、要求完成整改,并通過違約(breach of contract)條款或者專門的賠償(indemnity)條款來要求目標(biāo)公司或者創(chuàng)始股東對(duì)某些數(shù)據(jù)合規(guī)瑕疵造成的損失進(jìn)行賠償。在個(gè)人信息保護(hù)合規(guī)審計(jì)制度已經(jīng)落地的情況下,各方將關(guān)注是否以及在何種程度上,通過陳述保證條款,要求目標(biāo)公司對(duì)現(xiàn)狀進(jìn)行確認(rèn)。例如,目標(biāo)公司如果確認(rèn)處理的個(gè)人信息涉及的人數(shù)不及1000萬人并因此確定不屬于根據(jù)《個(gè)保審計(jì)辦法》需要進(jìn)行定期審計(jì)的個(gè)人信息處理者,目標(biāo)公司實(shí)際處理的個(gè)人信息所涉及人數(shù)這一客觀狀態(tài)在一個(gè)投資項(xiàng)目中可能難以得到確定性核實(shí)的,各方可以考慮協(xié)商,請(qǐng)目標(biāo)公司對(duì)處理個(gè)人信息的人數(shù)不到法定數(shù)量從而不需要進(jìn)行定期審計(jì)做出陳述與保證。例如,目標(biāo)公司處理的個(gè)人信息涉及的人數(shù)遠(yuǎn)遠(yuǎn)不及100萬人,從而不希望明確指定個(gè)人信息保護(hù)負(fù)責(zé)人并規(guī)定與審計(jì)的權(quán)責(zé)和流程。目標(biāo)公司處理個(gè)人信息涉及的實(shí)際人數(shù)總數(shù)這一情況在投資項(xiàng)目中可能無法得到確定性核實(shí),因此各方可能協(xié)商,由目標(biāo)公司在陳述保證條款中,確認(rèn)上述情況。此外,對(duì)于與審計(jì)有關(guān)的重大、核心事項(xiàng),視交易節(jié)奏和各方對(duì)風(fēng)險(xiǎn)的判斷,可能構(gòu)成交割先決條件或者交割后的整改承諾。例如,如果目標(biāo)公司已經(jīng)明確被主管機(jī)關(guān)要求進(jìn)行審計(jì),正在進(jìn)行審計(jì)的過程中,如投資交易的交割沒有特別緊急的時(shí)間表,投資人可能要求目標(biāo)公司及時(shí)完成審計(jì),并根據(jù)《個(gè)保審計(jì)辦法》的要求,及時(shí)將審計(jì)報(bào)告報(bào)送給主管部門,并根據(jù)審計(jì)報(bào)告發(fā)現(xiàn)的問題及時(shí)整改,在整改完成后15個(gè)工作日內(nèi)報(bào)送給主管部門,并進(jìn)一步要求將上述任務(wù)的完成作為交割的先決條件。例如,如果目標(biāo)公司處理個(gè)人信息涉及的人數(shù)超過了1000萬人,但是尚未進(jìn)行審計(jì),各方可能要求目標(biāo)公司在交割后、《個(gè)保審計(jì)辦法》規(guī)定的時(shí)間內(nèi),及時(shí)完成審計(jì)。另外,各方視交易中的具體風(fēng)險(xiǎn)情況,以及視各方商業(yè)角度協(xié)商達(dá)成的風(fēng)險(xiǎn)分擔(dān)安排,可能要求目標(biāo)公司及創(chuàng)始股東對(duì)一些實(shí)質(zhì)的審計(jì)不合規(guī)情況造成的損失進(jìn)行賠償。例如已經(jīng)被主管機(jī)關(guān)要求進(jìn)行審計(jì)或已經(jīng)被主管機(jī)關(guān)要求就審計(jì)發(fā)現(xiàn)問題進(jìn)行整改但沒有在要求的時(shí)間內(nèi)完成審計(jì)、整改或整改后報(bào)告從而引發(fā)了處罰或其他負(fù)面后果,例如處理超過1000萬人個(gè)人信息的目標(biāo)公司沒有按照規(guī)定的時(shí)間進(jìn)行審計(jì)、整改或整改后報(bào)告而引發(fā)處罰或者其他負(fù)面后果。
3、個(gè)人信息保護(hù)合規(guī)審計(jì)要求對(duì)境內(nèi)外上市項(xiàng)目的影響
個(gè)人信息保護(hù)合規(guī)審計(jì)制度作為將要明確落地的法定制度和義務(wù),境內(nèi)外上市中的發(fā)行人、保薦人和參與項(xiàng)目的其他專業(yè)機(jī)構(gòu)需要關(guān)注這一制度對(duì)發(fā)行人合規(guī)性的要求和影響。例如,對(duì)于處理超過1000萬人個(gè)人信息的發(fā)行人,需要關(guān)注是否已經(jīng)完成審計(jì),或者至少將審計(jì)準(zhǔn)備提上日程。從規(guī)則層面而言,《個(gè)保審計(jì)辦法》于2025年5月1日起施行。所以此類發(fā)行人在2025年5月1日起的兩年內(nèi),應(yīng)當(dāng)至少完成一次審計(jì)。當(dāng)然,在未被主管部門要求進(jìn)行審計(jì)的前提下,該等義務(wù)的具體實(shí)施時(shí)間,也可以結(jié)合上市項(xiàng)目的整體時(shí)間表綜合考慮。一般而言,例如,在境外發(fā)行項(xiàng)目過程中的一些重要節(jié)點(diǎn),比如港股上市項(xiàng)目的A1申報(bào)及香港聯(lián)交所、香港證監(jiān)會(huì)、中國證監(jiān)會(huì)的反饋問詢及答復(fù)期間,如果法定要求必須完成定期審計(jì)的截止時(shí)間未到,則對(duì)審計(jì)工作有所關(guān)注、一定程度上有推進(jìn)合規(guī)義務(wù)落實(shí)的積極行為也是可以接受的。但如果根據(jù)項(xiàng)目時(shí)間表,在前述重要節(jié)點(diǎn)(特別是直接面對(duì)監(jiān)管問詢的重要節(jié)點(diǎn))之前,法定必須進(jìn)行定期審計(jì)的截止時(shí)間將要屆滿,則發(fā)行人有必要提前倒排時(shí)間,提早安排進(jìn)行審計(jì)。再如,如果發(fā)行人歷史上發(fā)生過一些負(fù)面事件、爭議或者被政府主管部門采取過監(jiān)管行動(dòng)(特別是例如已經(jīng)發(fā)生過導(dǎo)致100萬人以上個(gè)人信息或者10萬人以上敏感個(gè)人信息泄露的安全事件),可能使得主管機(jī)構(gòu)能夠根據(jù)《個(gè)保審計(jì)辦法》有抓手要求發(fā)行人進(jìn)行審計(jì)的,則參與發(fā)行的各方應(yīng)關(guān)注、論證此時(shí)是否可能需要發(fā)行人主動(dòng)進(jìn)行審計(jì),以降低有關(guān)事件帶來的潛在負(fù)面影響。此外,對(duì)于處理個(gè)人信息涉及的人數(shù)達(dá)到100萬人以上的發(fā)行人,需要設(shè)置個(gè)人信息保護(hù)負(fù)責(zé)人,并且將與審計(jì)有關(guān)的內(nèi)容、流程寫入負(fù)責(zé)人的權(quán)責(zé)范圍。目前,大量境外上市項(xiàng)目中,數(shù)據(jù)合規(guī)顧問協(xié)助發(fā)行人進(jìn)行數(shù)據(jù)合規(guī)整改時(shí),在相當(dāng)多的情況下會(huì)在內(nèi)部制度層面要求或建議發(fā)行人設(shè)置個(gè)人信息保護(hù)負(fù)責(zé)人。后續(xù),如發(fā)行人確屬處理個(gè)人信息涉及的人數(shù)達(dá)到100萬人以上的情況,應(yīng)關(guān)注在個(gè)人信息保護(hù)負(fù)責(zé)人權(quán)責(zé)制度中,加入審計(jì)的有關(guān)內(nèi)容,并考慮進(jìn)一步明確審計(jì)的管理制度和操作規(guī)程。
題21-1_畫板 1 副本FA957310F08241619B67FAAC4823E9AE.png)
題21-1_畫板 114202E035D7D448C854A98012E0CB5BF.png)
