『個人情報保護コンプライアンス監査管理弁法』の解読―規制動線のリズムと律動を感じる
2025 03/19
2025年2月14日、国家インターネット情報弁公室は『個人情報保護コンプライアンス監査管理弁法』(『監査弁法』)を正式に発表し、『監査弁法』は個人情報保護コンプライアンス監査の仕事をどのように組織し、展開すべきかについて具体的な規定を作り出し、2025年5月1日から施行する。
個人情報コンプライアンス監査については、「個人情報保護法」第54条及び第64条において個人情報処理者が個人情報保護コンプライアンス監査義務を負うことを確立し、個人情報保護コンプライアンス監査の2つのトリガー状況をそれぞれ規定した。すなわち、個人情報処理者が個人情報を処理して法律、行政法規を遵守すべき状況に対して定期的にコンプライアンス監査を行う(「定期監査」)、及び個人情報保護職責を履行する部門が職責を履行する中で、個人情報処理活動に大きなリスクが存在することを発見した、又は個人情報セキュリティ事件が発生した場合、個人情報処理者が専門機関にその個人情報処理活動にコンプライアンス監査を委託する(「監督管理監査」)ことを要求することができる。「ネットワークデータセキュリティ管理条例」第27条は、個人情報処理者が自主監査を行う義務を再確認し、個人情報処理者が自らまたは専門機関に委託してコンプライアンス監査活動を行うことができることを明らかにした。2023年8月、国家インターネット情報弁公室は『個人情報保護コンプライアンス監査管理弁法(意見聴取稿)』を発表し、2024年7月12日、全国情報セキュリティ標準化技術委員会は国家基準「データセキュリティ技術個人情報保護コンプライアンス監査要求(意見聴取稿)」を発表した。本文の趣旨は『監査方法』の正式な原稿に対して全面的な整理と解読を行った。
一、『個人情報保護コンプライアンス監査管理方法』の登場背景
二、『監査方法』の正式原稿と意見募集原稿の比較の重点変動
(一)監査主体範囲を区分し、監査頻度を調整する
『監査方法』の本稿は監査主体の範囲を明確に区別した。個人情報処理者の定期監査義務に対して、本稿では個人情報処理規模を基準にトリガー条件を見直した。具体的には、1000万人を超える個人情報のみを扱う個人情報処理者は、2年に1回以上、個人情報保護コンプライアンス監査を行う必要があります。
特定の規模に達していない他の個人情報処理者は、強制的な監査頻度の要求を受けなくなり、自分の実際の状況に応じて柔軟に監査頻度を決定することができ、自主的に監査を行うことができる。同一事項またはリスクに対して、本稿では個人情報処理者に重複監査を要求してはならないと規定しており、この調整により監査における行政権が制約され、企業の監査責任が軽減された。
意見稿:
100万人を超える個人情報を処理する個人情報処理者は、毎年少なくとも1回、個人情報保護コンプライアンス監査を実施しなければならない。他の個人情報処理者は、2年ごとに少なくとも1回、個人情報保護コンプライアンス監査を実施しなければならない。
本稿:
1000万人を超える個人情報を処理する個人情報処理者は、2年ごとに少なくとも1回、個人情報保護コンプライアンス監査を実施しなければならない。
【新規】同一個人情報セキュリティイベントまたはリスクに対して、個人情報処理者が専門機関に個人情報保護コンプライアンス監査を依頼することを繰り返し要求してはならない。
(二)監査トリガ条件の更なる細分化
『監査方法』の本稿は監査トリガー条件について詳細な列挙を行い、意見稿の中の「大きなリスクがある」または「個人情報セキュリティ事件が発生した」に比べて、『監査方法』は保護部門と企業に比較的明確な参考を提供し、監督管理部門のより合理的な職責履行に役立つ。
意見稿:
個人情報保護の職責を履行する部門が職責を履行する中で、個人情報処理活動に大きなリスクが存在したり、個人情報セキュリティ事件が発生したりすることを発見した場合、個人情報処理者は専門機関にその個人情報処理活動のコンプライアンス監査を依頼することができる。
本稿:
個人情報処理者が次のいずれかの状況にある場合、国家ネット情報処理部門とその他の個人情報保護職責を履行する部門(以下、総称して保護部門という)は、個人情報処理者が専門機関に個人情報処理活動のコンプライアンス監査を依頼することを要求することができる:
(一)個人情報処理活動が個人の権益に深刻な影響を与えたり、安全措置が深刻に不足したりするなどの大きなリスクがあることを発見した場合、
(二)個人情報処理活動が多くの個人の権益を侵害する可能性がある場合、
(三)個人情報セキュリティ事件が発生し、100万人以上の個人情報又は10万人以上の敏感な個人情報の漏洩、改ざん、紛失、毀損を招いた場合。
(三)専門機関の選択と管理
1.推薦目録を削除し、専門機関に必要な条件を規定する
意見稿では、個人情報保護コンプライアンス監査専門機関推薦目録を作成し、個人情報処理者が推薦目録の専門機関を優先的に選択して個人情報保護コンプライアンス監査活動を展開することを奨励することを規定している。『監査方法』は推薦目録に関する条項を削除し、専門機関が必要とする職業素養について規定した。
意見稿:
国家網信部門は公安機関などの国務院関係部門と共同で、統一的な計画、合理的な配置、優れた推薦の原則に基づいて個人情報保護コンプライアンス監査専門機関の推薦目録を構築し、毎年個人情報保護コンプライアンス監査専門機関の評価評価を組織し、評価状況に基づいて個人情報保護コンプライアンス監査専門機関の推薦目録を動的に調整する。
個人情報処理者が推奨ディレクトリ内の専門機関を優先的に選択して個人情報保護コンプライアンス監査活動を行うことを奨励する。
本稿:
専門機関は、サービスに適した監査人、場所、施設、資金などを有する個人情報保護コンプライアンス監査を展開する能力を備えなければならない。
関連する専門機関が認証に合格することを奨励する。専門機関の認証は『中華人民共和国認証認可条例』の関連規定に従って実行される。
2.機構の独立義務を追加し、機構に客観性を備える必要があることを規定する
『監査方法』の本稿は専門機関の独立性制約メカニズムをさらに強化し、義務主体の範囲を専門機関自身からその関連機関及び同一監査プロジェクト責任者に拡大した。『データセキュリティ技術個人情報保護コンプライアンス監査要求(意見聴取稿)』が明確にした「監査人は監査される側から独立し、利益の関連は存在しない」原則と結びつけて、現行規則の監査活動に対する独立性の監督管理強度が著しく向上していることがわかる。監査サービスの連続性問題に対して、本稿では「3回以上」の表現を用いて元の条項に代え、関連立法解釈規則【「立法技術規範(試行)(一)」】に「以上」が含まれる本数の定義基準に基づいて、同一監査機関及びその関連先、プロジェクト責任者が同一対象に対して連続的に監査を行う回数の上限を2回と導き出すことができ、この技術的調整は制度面から長期バインディングによる独立性リスクを回避した。
意見稿:
個人情報保護コンプライアンス監査を実行する専門機関は、独立性と客観性を維持し、連続して同じ監査対象の個人情報保護コンプライアンス監査を3回以上実施してはならない。
本稿:
同一専門機関及びその関連機関、同一コンプライアンス監査責任者は、同一監査対象に対して3回以上連続して個人情報保護コンプライアンス監査を行ってはならない。
3.機構のその他の関連義務の増加
『監査方法』の正式な原稿は専門機関の秘密保持責任を正確に定義し、専門機関が個人情報、商業機密などの情報を保護する必要があることを規定し、正式な原稿に基づいて、専門機関は独立してすべての監査プロセスを完成しなければならず、転授権方式を通じて第三者に操作されることを禁止する。このような規範は監査段階の秘密保持基準を強化するだけでなく、個人情報処理者が監査側にデータを提供する行為は委託関係に属することを法律面から明確にした。これにより、監査機関はコンプライアンス監査を開始する前に、「個人情報保護法」第55条の強制規定に厳格に基づいて、個人情報保護影響評価プログラムを完成する必要がある。
意見稿:
専門機関は、個人情報保護コンプライアンス監査活動に従事する際には、コンプライアンス監査の職業判断を誠実かつ正直に、公正かつ客観的に行うべきである。
専門機関は第三者に個人情報保護コンプライアンス監査を委託してはならない。
専門機関が個人情報保護コンプライアンス監査の職責を履行する中で得た情報は、個人情報保護コンプライアンス監査のニーズにのみ使用でき、その他の用途には使用できない、専門機関は得られた情報に対して秘密保持責任を負わなければならない。専門機関は相応の技術措置とその他の必要な措置を講じて、データの安全を保障しなければならない。
専門機関は、個人情報保護コンプライアンス監査の職責を履行する際に、個人情報処理者の正常な経営活動を悪意を持って妨害してはならない。
専門機関に虚偽、虚偽報告などの違反行為があった場合、個人情報処理者及び関係者は個人情報保護職責を履行する部門に苦情を申し立てることができ、個人情報保護職責を履行する部門が確認した場合、個人情報保護コンプライアンス審査専門機関推薦目録に登録することを永久に禁止する。
本稿:
専門機関は、個人情報保護コンプライアンス監査活動に従事する際に、法律・法規を遵守し、誠実で正直で、公正かつ客観的にコンプライアンス監査の職業判断を行い、個人情報保護コンプライアンス監査の職責を履行する中で得られた個人情報、ビジネス秘密、機密ビジネス情報などを法に基づいて秘密にし、他人に漏洩したり不法に提供したりしてはならず、コンプライアンス監査作業が終了した後に速やかに関連情報を削除しなければならない。
専門機関は、他の機関に個人情報保護コンプライアンス監査を委託してはならない。
(四)監督管理監査要求の明確化
「個人情報保護法」第52条の処理量級に専門職保護者を設置する必要があるという規定に基づき、「監査方法」の本稿では、100万人以上の個人情報を処理する個人情報処理者は専門職を設置し、個人情報保護コンプライアンス監査の仕事を担当し、外部監査を委託する際に協力義務と改善監督の職責を履行しなければならないことを明確に規定している。関連する『個人情報保護コンプライアンス監査ガイドライン』(『監査ガイドライン』)は同時に、当該部署の人員の資質参入基準(例えば専門的背景、職責履行年限)と核心職能範疇(リスク評価権限、改善提案権などを含む)に対して細分化規定を行った。
本稿:
【新規】100万人以上の個人情報を処理する個人情報処理者は、個人情報保護責任者を指定し、個人情報処理者の個人情報保護コンプライアンス監査を担当しなければならない。
重要なインターネットプラットフォームサービスを提供し、ユーザー数が多く、業務タイプが複雑な個人情報処理者は、主に外部メンバーからなる独立機構を設立して個人情報保護コンプライアンス監査状況を監督しなければならない。
(五)定期監査の機関及び監査監督
『監査方法』の正式稿は、監督管理部門の常態化した検査システムと社会監督フィードバックルートの二重制約メカニズムの導入を通じて、コンプライアンス監査活動の全チェーン監督管理を強化する。特に注意しなければならないのは、『ネット情報部門の行政法執行手続規定』の法定職責に基づき、ネット情報機関は自然人、法人及びその他の組織の苦情、訴え又は通報の事項に対して、適時に調査する義務を負っている、一方、最高人民法院の関連司法解釈「行政訴訟法」司法解釈第12条」によると、利害関係を持つ苦情の主体は法に基づいて行政再議や行政訴訟を通じて権利を主張することができる。この制度設計は実質的に企業監査コンプライアンス論争を行政救済プログラムの枠組みに組み入れ、潜在的な高額プログラム的支出と世論リスクが逆効果を形成し、個人情報処理者が監査義務を慎重に履行して派生的な法律紛争を回避するよう促す。
本稿:
【新規】保護部門は、個人情報処理者による個人情報保護コンプライアンス監査の実施状況を監督検査する。
任意の組織、個人は、個人情報保護コンプライアンス監査における違法活動について保護部門に苦情、通報する権利を有する。苦情、通報を受けた部門は法に基づいて適時に処理し、処理結果を苦情、通報者に通知しなければならない。
(六)『監査ガイドライン』の主な変化
1.『データクロスボーダー流動規定の促進と規範化』の公布をつなぎ、個人情報出国コンプライアンス監査の重点審査事項を更新した。
2.個人情報処理者が処理を依頼し、移転し、他の個人情報処理者に個人情報を提供する場合、個人情報処理者が受信者に監査を実施する現実的な困難を考慮し、『監査ガイドライン』は今回、受信者に対する審査事項を全面的に削除した。
監査ガイドラインは、個人情報の処理に関するすべての重点コンプライアンスに関する考慮事項を基本的にカバーしており、個人情報保護コンプライアンス監査にサービスを提供するほか、日常的な業務運営コンプライアンスの参考にすることもできます。しかし、企業に提示する必要があるのは、『監査ガイドライン』は専門機関がコンプライアンス事項に重点的に関心を持つガイドラインにすぎず、企業は依然として『個人情報保護法』の全面的な規定に従って自身の個人情報保護コンプライアンス義務を履行しなければならないということだ。
また、2024年7月12日、全国サイバーセキュリティ標準化技術委員会は国家基準「データセキュリティ技術個人情報保護コンプライアンス監査要求」の意見募集稿を発表し、個人情報保護コンプライアンス監査の流れ、実施要求などの事項に対してより詳細な要求があり、付録部分に監査報告の下書きテンプレートと報告テンプレートを提供し、個人情報処理者と専門機関は監査作業を展開する際に参考にすることができる。
三、『監査方法』の正式原稿の主な内容
(一)監査を行う2つの状況
『監査方法』の規定によると、審査を行う必要がある企業は主に2種類に分けられ、1つは条件に合致して自ら審査を行う必要がある企業(自主監査)であり、もう1つは国家ネット情報部門とその他の個人情報保護職責を履行する部門の要求に基づいて審査を行う企業(監督管理監査)である。
1.自主監査/定期監査
自主監査/定期監査とは、個人情報処理者が法律の規定に従って個人情報処理者の内部機関に入るか、専門機関に委託して定期的に個人情報を処理して法律、行政法規を遵守する状況に対してコンプライアンス監査を行うことを指す。
2.監督管理監査
監督管理監査とは、個人情報処理者が個人の権益に深刻な影響を与え、複数の権益を侵害したり、重大な安全事故が発生したりする可能性がある場合、国家網信部門とその他の個人情報保護の職責を履行する部門(以下、総称して保護部門という)は、個人情報処理者に個人情報処理活動のコンプライアンス監査を専門機関に依頼することができる。
(二)監査頻度
『監査方法』は情報処理の規模を基準として、個人情報処理者を2種類に分け、監査頻度にも差がある。
1000万人を超える個人情報を処理する個人情報処理者は、2年ごとに少なくとも1回、個人情報保護コンプライアンス監査を実施しなければならない。
1000万人を超えていない個人情報を処理する個人情報処理者は、実際に基づいてコンプライアンス監査を行うかどうか、およびコンプライアンス監査を行う頻度を自ら決定することができる。
(三)監査内容
『監査ガイドライン』では、重点的な審査が必要な事項について詳細に列挙し、監査の合法性の基礎、14歳未満の未成年者の個人情報の処理、敏感な個人情報の処理などの内容を含め、27項目がある。本文は『監査ガイドライン』の内容に基づいて、そのリストされた審査の重点についてまとめ、以下のようにまとめた:
1.合法性の基礎について
(1)合法性基礎:個人が十分な事情を知っている前提の下で自発的、明確な同意を取得したかどうか、処理目的、方式または種類の変更時に再び同意を取得したかどうか、法に基づいて単独同意または書面同意を取得したかどうか、および同意を取得していない時に法律規定の例外状況に合致しているかどうかを重点的に審査し、処理活動が合法的な基礎を備え、個人の意思を十分に尊重することを確保する。
(2)処理規則:収集した情報とその処理方式と種類をリスト形式で明記するかどうか、個人権益への影響が最小の方式を採用するかどうか、処理目的と直接関連しているかどうか、保存期限と期限切れの処理方式を明確にして期限を実現目的とする最短時間を確保するかどうか、および便利な個人情報の閲覧、複製、訂正、削除などの権利行使ルートを提供するかどうかを重点的に審査し、処理規則の透明性、合法性を確保し、個人権益を十分に保障する。
(3)告知義務:重点的に処理前に顕著、明確、わかりやすい方法で真実、正確、完全に処理規則を告知するかどうかを審査し、告知テキストが読みやすいかどうか、オフラインとオンライン告知方式が有効かどうか、規則変更時に適時に個人に通知するかどうか、及び状況が法律規定の秘密保持或いは例外要求に合致するかどうかを告知せず、告知義務の履行を確保し、個人の知る権利を十分に保障することを確保する。
2.特殊処理シーンについて
(1)共同処理と委託処理:契約がそれぞれの権利義務及び監督メカニズムを約束しているかどうかを明確にし、個人情報処理者が個人情報の処理を委託する前に、個人情報保護影響評価を展開しているかどうか、権益保護メカニズムと安全報告メカニズムを備えているかどうかを明確にする必要がある。
(2)データ転送シーン:個人情報処理者が合併、再編、分立、解散、破産宣告などの原因で個人情報を転送する必要がある場合、個人情報処理者が個人に受信者の名前または名前と連絡先を通知するかどうかを重点的に審査しなければならない。
(3)自動化意思決定:自動化意思決定の透明性及び公平性を審査し、ユーザーの知る権利を確保し、アルゴリズム差別を防止し、ユーザー制御権(拒否、選択)及び事前リスク評価を強化し、そしてポケット条項を設置した。
(4)個人情報の公開:濫用行為(例えば、無関係な商業情報を送信したり、ネット暴力に従事したりする)が存在するかどうか、個人の拒否権を尊重するかどうか、個人の権益に重大な影響がある場合に同意を得たかどうか、及び処理規模が合理的な範囲を超えているかどうかを重点的に審査する。個人の同意に基づいて公開された情報について、監査は、実際に有効な単独同意を得たかどうか、および個人情報保護の影響評価を事前に完了したかどうかに重点を置いて、公開行為の合法的なコンプライアンスを確保し、個人の意思を尊重する必要がある。
(5)敏感情報処理:個人単独同意(または未成年者保護者の同意)を取得したかどうか、処理目的、方式と範囲が合法で、正当で必要であるかどうか、事前に個人情報保護影響評価を行ったかどうか、個人に処理の必要性と影響(法律で規定された秘密保持状況を除く)を告知したかどうか、書面同意(例えば法律の要求)を取得したかどうか、および関連法律法規の敏感情報処理に対する制限規定を遵守したかどうか、敏感情報処理活動の合法的なコンプライアンスを確保し、個人の人権利益を十分に保護する。
(6)公共場所の情報収集:設備の設置及び情報用途の合法性を重点的に審査し、公共安全を維持するために必要な(商業目的ではない)かどうか、顕著な提示標識を設置するかどうか、及び収集した個人画像又は身分識別情報を公共安全以外の用途に使用する場合、個人の単独同意を取得するかどうか、設備の使用合法的なコンプライアンスを確保し、個人の権益を十分に尊重することを含む。
(7)満14歳未満:専門的な処理規則を制定するかどうか、未成年者及び保護者に処理目的、方式、必要性及び保護措置(法律の規定で告知する必要がない場合を除く)を告知するかどうか、及び不要な情報の処理に同意するよう強要する行為が存在するかどうか、未成年者の個人情報処理の合法的なコンプライアンスを確保し、その権益を十分に保護する。
(8)国境を越えた伝送:重要な情報インフラ運営者が国家網信部門の安全評価を通過したか、非重要情報インフラ運営者は累計100万人以上の非機密情報を国外に提供しているか、または1万人以上の機密情報が安全評価を通過しているか、累計10万人以上を提供しているが、100万人未満の非敏感情報または1万人未満の敏感情報が個人情報保護認証または標準契約を締結し、記録されているかどうか、外国の司法または法執行機関に国内の記憶情報を提供することは主管機関の承認を得ているかどうか、および制限または禁止リストに登録されている組織または個人に情報を提供するかどうか、国境を越えたデータ転送の合法的なコンプライアンスを確保する。
3.権利メカニズムについて
(1)削除権:便利な申請受理と処理メカニズムを構築し、適時に対応し、完全で、正確に処理意見や結果を通知するかどうか、及び個人権利請求を拒否する時に理由を説明するかどうかを重点的に審査し、データ処理活動における個人の権利が十分に尊重され、有効に保障されることを確保する。
(2)適時応答:個人が権利を行使する出願受付メカニズムと処理メカニズムを確立するか、個人が権利を行使する出願に適時に応答するか、適時、完全、正確に処理意見または実行結果を通知するか、および個人が権利を行使する請求を拒否するか、個人に理由を説明するか。
(3)規則解釈:簡単な方法を提供して解釈要求を受け入れ、処理するかどうか、及び合理的な時間内に分かりやすい言語で説明するかどうか、個人がその個人情報処理規則を明確に理解し、有効に権利を行使できることを確保する。
4.組織管理と内部制度について
(1)内部管理:保護方針が法規に合致しているか、組織構造が合理的であるか、管理情報を分類しているか、応急応答と評価制度を確立しているか、苦情の流れと操作権限を設立しているか、訓練計画を制定しているか、職責履行評価と違法責任制度を確立しているかなどを重点的に審査し、制度の健全性を確保し、個人情報処理のコンプライアンスと安全を効果的に保障しなければならない。
(2)技術と安全対策:暗号化、非識別化などの手段によって情報の機密性、完全性と可用性を保障するかどうか、個人情報の識別可能性を下げるかどうか、及び人員の操作権限を合理的に設置して許可されていないアクセスと濫用リスクを減少させるかどうかを重点的に審査し、技術措置が情報の規模とタイプと一致し、有効に個人情報の安全を保護することを確保する必要がある。
5.教育訓練と職場の職責について
(1)教育訓練:計画通りに管理者、技術者、操作者及び全員に対して安全教育と訓練を展開するかどうかを重点的に評価し、そして関係者の個人情報保護意識と技能に対して審査を行う必要がある、同時に訓練内容、方式、対象と頻度が個人情報保護の実際の需要を満たすかどうかを審査し、訓練計画が全員のコンプライアンス意識と能力を効果的に向上させることを確保する。
(2)個人情報保護責任者:責任者が関連経験と専門知識を持っていて法律法規を熟知しているかどうかを重点的に審査し、職責が明確で十分な権限を与えられて内部の仕事を調整しているかどうか、重大な決定の前に提案して規則に合わない操作を制止して是正する権利があるかどうか、および個人情報処理者が責任者の連絡先を公開して監督管理部門に報告するかどうか、責任者が個人情報保護職責を効果的に履行し、企業のコンプライアンス管理を推進する
6.影響評価と緊急対応策について
(1)影響評価:個人の権益に重大な影響を与える活動を処理する前に法に基づいて評価するかどうか、処理目的、方式の合法性、正当性と必要性を評価するかどうか、個人の権益に対する影響と安全リスクを分析するかどうか、および保護措置の合法性、有効性とリスク適応度を評価するかどうかを重点的に審査し、評価が全面的かつ有効にコンプライアンス決定を支持することを確保する必要がある。
(2)緊急時対応策:事前案が業務の実際に基づいてリスクを評価するかどうか、全体戦略、組織機構、技術保障と処置手順がリスクに対応するのに十分であるかどうか、関係者を訓練し、定期的に訓練するかどうか、応急対応処置状況を監査する際には、事件の影響を適時に究明し、原因を分析し、通報ルートを構築し、関連部門と個人に通知するかどうかを重点的に審査し、損失と危害を最小限に抑え、応急対策が全面的に有効かつ実行されるようにしなければならない。
7.インターネットプラットフォームについて
(1)プラットフォーム規則:プラットフォーム規則が法律法規と一致しているかどうか、個人情報保護条項がプラットフォーム及びプラットフォーム内のサービス提供者の権利と責任を効果的に定義しているかどうか、及びサンプリングなどの方式を通じて規則が有効に実行されているかどうかを検証し、プラットフォーム規則の合法的なコンプライアンスを確保し、ユーザーの個人情報権益を確実に保護する必要がある。
(2)社会的責任:報告書が以下の内容を全面的に開示しているかどうかを重点的に審査する必要がある:個人情報保護の組織構造と内部管理、能力建設、保護措置と効果、個人権利申請の受理状況、独立監督機構の職責履行状況、重大安全事件の処理状況、社会共同治療の科学普及宣伝と公益活動の促進、その他の法律要求の事項、報告内容の真実、完全性を確保し、プラットフォームの個人情報保護における責任と効果を体現する。
(四)方法
国家網信弁公室は『監査方法』に対する記者の質問に対して、どのような方法で監査を行うべきか、および専門機関を選択するか、どのように専門機関を選択するかについて強制的な要求はないと指摘した。したがって、個人情報コンプライアンス監査は、主に内部監査と外部監査の2つの方法に分けることができます。
内部監査とは、個人情報処理者が内部機関に監査を任せることができることを意味します。
外部監査とは、個人情報処理者が監査作業を外部の専門機関に委託して行うものです。『監査方法』の本稿では、「推薦目録」に関する規定は削除されたが、専門機関の職業素養、監査回数及び責任と義務については依然として要求されている。
(五)第三者監査
『監査方法』の規定に基づき、個人情報処理者は専門機関にコンプライアンス監査を依頼することができ、国家ネット情報部門とその他の個人情報保護職責を履行する部門は個人情報処理者に個人情報処理活動にコンプライアンス監査を依頼することを要求することもできる。『方法』は専門機関に対して以下の要求を提出した:
1、職業操守
専門機関は、サービスに適した監査人、場所、施設、資金などを有する個人情報保護コンプライアンス監査を展開する能力を備えなければならない。関連する専門機関が認証に合格することを奨励する。専門機関の認証は『中華人民共和国認証認可条例』の関連規定に従って実行される。
専門機関は、個人情報保護コンプライアンス監査活動に従事する際に、法律・法規を遵守し、誠実で正直で、公正かつ客観的にコンプライアンス監査の職業判断を行い、個人情報保護コンプライアンス監査の職責を履行する中で得られた個人情報、ビジネス秘密、機密ビジネス情報などを法に基づいて秘密にし、他人に漏洩したり不法に提供したりしてはならず、コンプライアンス監査作業が終了した後に速やかに関連情報を削除しなければならない。
2、独立審査
専門機関は、他の機関に個人情報保護コンプライアンス監査を委託してはならない。同一専門機関及びその関連機関、同一コンプライアンス監査責任者は、同一監査対象に対して3回以上連続して個人情報保護コンプライアンス監査を行ってはならない。
(六)国外個人情報処理者
『監査方法』の適用範囲は中国国内での個保監査のためであり、国外の個人情報処理者への適用を排除しているように見える。しかし、「個人情報保護法」は域外適用の効力があるため、理論的に条件に合致する域外個人情報処理者は個人保護監査の義務を履行しなければならない。国家網信弁公室が2025年1月3日に発表した「個人情報出国個人情報保護認証方法(意見聴取稿)」の関連規定を参考にして、将来的に「個人情報保護法」の域外適用条件に合致する域外個人情報処理者は、その国内に設立された専門機関または指定代表を通じて個人保護監査を協力し、または「国際相互承認」の方式を通じて相応のコンプライアンス義務を履行することができる。
(七)コンプライアンス監査が必要な企業は何ですか。
『監査方法』は、中華人民共和国国内で個人情報保護コンプライアンス監査を展開し、本方法を適用することを規定している。
そのため、すべての「個人情報処理者」はコンプライアンス監査を行う必要があるが、個人情報を処理する規模が異なることや、多くの個人の権益を侵害する可能性があることなどを考慮する必要があるため、個人情報処理者によって監査を行う必要がある頻度が異なり、規制監査を開始する必要があるかどうかも実際の状況によって異なる。
四、PIAとコンプライアンス監査の関連と区別
個人情報保護システムにおけるコアツールとして、PIAとコンプライアンス監査は機能的相補性があるとともに、実施ロジックと作用範囲に顕著な違いがあり、企業データ管理の二重防御線を共同で構成している。
(一)主な関連
1、目標の一致性:コンプライアンス保障とリスク制御
PIAとコンプライアンス監査はいずれも企業の個人情報処理活動の合法的コンプライアンスの推進を核心目標とし、リスクの識別と管理制御を通じて、個人の権益を侵害する可能性を減少させるとともに、企業がコンプライアンス行為による法的紛争や名誉損失を低減する。両者はリスクの予審から監督の実行までの完全なチェーンを形成し、データの全ライフサイクルの安全制御を確保する。
2、プロセスの相互補完性:事前予防制御と事後検証の連動
PIAは主にデータ処理活動の開始前に行われ、潜在的なリスクを識別し、リスクの発生を回避するために適切な予防策を提案することを目的としている。コンプライアンス監査は、アクティビティの実装を処理した後に行い、企業が関連法規やPIAが推奨する制御措置に従っているかどうかを審査し、予防策の実際の実行効果を確保します。
3、リスク管理制御の動的循環メカニズム
PIAはコンプライアンス監査と共同で、継続的なリスク管理プロセスを構成しています。PIAは、リスクを事前に識別し評価し、対応する防止策を策定します。コンプライアンス監査は、後で実行状況のチェックを行い、次のリスク管理の開始に向けて新たなリスクポイントを発見する可能性があります。このプロセスは、個人情報処理アクティビティのコンプライアンスとセキュリティを継続的に最適化するために循環的に進められています。
4、コンプライアンス証拠:相互補完の審査根拠
PIAレポートは、企業がコンプライアンス義務を遂行するための重要な証拠であり、リスク評価のプロセスと結果を詳細に記録し、コンプライアンスを支援しています。コンプライアンス監査報告書は、企業の実際の操作がコンプライアンス要件に合致しているかどうかを審査することにより、PIAに提案された措置が効果的に実施されているかどうかをさらに検証する。両者は共同で外部規制当局に十分なコンプライアンス審査根拠を提供し、コンプライアンスシステム全体の透明性と有効性を確保する。
(二)コアの区別
1、適用範囲:PIAは特定のシーンに焦点を当て、コンプライアンス監査は全プロセスをカバーする
PIAは主に特定のタイプの個人情報処理活動、特に個人の権益に重大な影響を与える可能性のある活動、例えば敏感なデータの処理、国境を越えたデータ転送、自動意思決定などに適用される。コンプライアンス監査では、すべての個人情報処理アクティビティを包括的に検査し、コンプライアンスを検証します。そのため、PIAは対象が集中しており、コンプライアンス監査はより広い適用範囲を持っている。
2、目標指向:展望的リスク認識と事後コンプライアンスチェック
PIAの目的は、プロアクティブ評価を通じて、個人情報処理過程における潜在的なリスクを識別し、問題を事前に回避するための効果的な予防措置を制定することである。コンプライアンス監査は事後審査に重点を置いて、個人情報処理活動が現行の法律法規に合致しているかどうかを検査し、企業が実際の操作でコンプライアンス要件に違反していないことを確保し、発見されたコンプライアンス問題に対して改善提案を提出する。
個人情報コンプライアンス監査については、「個人情報保護法」第54条及び第64条において個人情報処理者が個人情報保護コンプライアンス監査義務を負うことを確立し、個人情報保護コンプライアンス監査の2つのトリガー状況をそれぞれ規定した。すなわち、個人情報処理者が個人情報を処理して法律、行政法規を遵守すべき状況に対して定期的にコンプライアンス監査を行う(「定期監査」)、及び個人情報保護職責を履行する部門が職責を履行する中で、個人情報処理活動に大きなリスクが存在することを発見した、又は個人情報セキュリティ事件が発生した場合、個人情報処理者が専門機関にその個人情報処理活動にコンプライアンス監査を委託する(「監督管理監査」)ことを要求することができる。「ネットワークデータセキュリティ管理条例」第27条は、個人情報処理者が自主監査を行う義務を再確認し、個人情報処理者が自らまたは専門機関に委託してコンプライアンス監査活動を行うことができることを明らかにした。2023年8月、国家インターネット情報弁公室は『個人情報保護コンプライアンス監査管理弁法(意見聴取稿)』を発表し、2024年7月12日、全国情報セキュリティ標準化技術委員会は国家基準「データセキュリティ技術個人情報保護コンプライアンス監査要求(意見聴取稿)」を発表した。本文の趣旨は『監査方法』の正式な原稿に対して全面的な整理と解読を行った。
一、『個人情報保護コンプライアンス監査管理方法』の登場背景
二、『監査方法』の正式原稿と意見募集原稿の比較の重点変動
(一)監査主体範囲を区分し、監査頻度を調整する
『監査方法』の本稿は監査主体の範囲を明確に区別した。個人情報処理者の定期監査義務に対して、本稿では個人情報処理規模を基準にトリガー条件を見直した。具体的には、1000万人を超える個人情報のみを扱う個人情報処理者は、2年に1回以上、個人情報保護コンプライアンス監査を行う必要があります。
特定の規模に達していない他の個人情報処理者は、強制的な監査頻度の要求を受けなくなり、自分の実際の状況に応じて柔軟に監査頻度を決定することができ、自主的に監査を行うことができる。同一事項またはリスクに対して、本稿では個人情報処理者に重複監査を要求してはならないと規定しており、この調整により監査における行政権が制約され、企業の監査責任が軽減された。
意見稿:
100万人を超える個人情報を処理する個人情報処理者は、毎年少なくとも1回、個人情報保護コンプライアンス監査を実施しなければならない。他の個人情報処理者は、2年ごとに少なくとも1回、個人情報保護コンプライアンス監査を実施しなければならない。
本稿:
1000万人を超える個人情報を処理する個人情報処理者は、2年ごとに少なくとも1回、個人情報保護コンプライアンス監査を実施しなければならない。
【新規】同一個人情報セキュリティイベントまたはリスクに対して、個人情報処理者が専門機関に個人情報保護コンプライアンス監査を依頼することを繰り返し要求してはならない。
(二)監査トリガ条件の更なる細分化
『監査方法』の本稿は監査トリガー条件について詳細な列挙を行い、意見稿の中の「大きなリスクがある」または「個人情報セキュリティ事件が発生した」に比べて、『監査方法』は保護部門と企業に比較的明確な参考を提供し、監督管理部門のより合理的な職責履行に役立つ。
意見稿:
個人情報保護の職責を履行する部門が職責を履行する中で、個人情報処理活動に大きなリスクが存在したり、個人情報セキュリティ事件が発生したりすることを発見した場合、個人情報処理者は専門機関にその個人情報処理活動のコンプライアンス監査を依頼することができる。
本稿:
個人情報処理者が次のいずれかの状況にある場合、国家ネット情報処理部門とその他の個人情報保護職責を履行する部門(以下、総称して保護部門という)は、個人情報処理者が専門機関に個人情報処理活動のコンプライアンス監査を依頼することを要求することができる:
(一)個人情報処理活動が個人の権益に深刻な影響を与えたり、安全措置が深刻に不足したりするなどの大きなリスクがあることを発見した場合、
(二)個人情報処理活動が多くの個人の権益を侵害する可能性がある場合、
(三)個人情報セキュリティ事件が発生し、100万人以上の個人情報又は10万人以上の敏感な個人情報の漏洩、改ざん、紛失、毀損を招いた場合。
(三)専門機関の選択と管理
1.推薦目録を削除し、専門機関に必要な条件を規定する
意見稿では、個人情報保護コンプライアンス監査専門機関推薦目録を作成し、個人情報処理者が推薦目録の専門機関を優先的に選択して個人情報保護コンプライアンス監査活動を展開することを奨励することを規定している。『監査方法』は推薦目録に関する条項を削除し、専門機関が必要とする職業素養について規定した。
意見稿:
国家網信部門は公安機関などの国務院関係部門と共同で、統一的な計画、合理的な配置、優れた推薦の原則に基づいて個人情報保護コンプライアンス監査専門機関の推薦目録を構築し、毎年個人情報保護コンプライアンス監査専門機関の評価評価を組織し、評価状況に基づいて個人情報保護コンプライアンス監査専門機関の推薦目録を動的に調整する。
個人情報処理者が推奨ディレクトリ内の専門機関を優先的に選択して個人情報保護コンプライアンス監査活動を行うことを奨励する。
本稿:
専門機関は、サービスに適した監査人、場所、施設、資金などを有する個人情報保護コンプライアンス監査を展開する能力を備えなければならない。
関連する専門機関が認証に合格することを奨励する。専門機関の認証は『中華人民共和国認証認可条例』の関連規定に従って実行される。
2.機構の独立義務を追加し、機構に客観性を備える必要があることを規定する
『監査方法』の本稿は専門機関の独立性制約メカニズムをさらに強化し、義務主体の範囲を専門機関自身からその関連機関及び同一監査プロジェクト責任者に拡大した。『データセキュリティ技術個人情報保護コンプライアンス監査要求(意見聴取稿)』が明確にした「監査人は監査される側から独立し、利益の関連は存在しない」原則と結びつけて、現行規則の監査活動に対する独立性の監督管理強度が著しく向上していることがわかる。監査サービスの連続性問題に対して、本稿では「3回以上」の表現を用いて元の条項に代え、関連立法解釈規則【「立法技術規範(試行)(一)」】に「以上」が含まれる本数の定義基準に基づいて、同一監査機関及びその関連先、プロジェクト責任者が同一対象に対して連続的に監査を行う回数の上限を2回と導き出すことができ、この技術的調整は制度面から長期バインディングによる独立性リスクを回避した。
意見稿:
個人情報保護コンプライアンス監査を実行する専門機関は、独立性と客観性を維持し、連続して同じ監査対象の個人情報保護コンプライアンス監査を3回以上実施してはならない。
本稿:
同一専門機関及びその関連機関、同一コンプライアンス監査責任者は、同一監査対象に対して3回以上連続して個人情報保護コンプライアンス監査を行ってはならない。
3.機構のその他の関連義務の増加
『監査方法』の正式な原稿は専門機関の秘密保持責任を正確に定義し、専門機関が個人情報、商業機密などの情報を保護する必要があることを規定し、正式な原稿に基づいて、専門機関は独立してすべての監査プロセスを完成しなければならず、転授権方式を通じて第三者に操作されることを禁止する。このような規範は監査段階の秘密保持基準を強化するだけでなく、個人情報処理者が監査側にデータを提供する行為は委託関係に属することを法律面から明確にした。これにより、監査機関はコンプライアンス監査を開始する前に、「個人情報保護法」第55条の強制規定に厳格に基づいて、個人情報保護影響評価プログラムを完成する必要がある。
意見稿:
専門機関は、個人情報保護コンプライアンス監査活動に従事する際には、コンプライアンス監査の職業判断を誠実かつ正直に、公正かつ客観的に行うべきである。
専門機関は第三者に個人情報保護コンプライアンス監査を委託してはならない。
専門機関が個人情報保護コンプライアンス監査の職責を履行する中で得た情報は、個人情報保護コンプライアンス監査のニーズにのみ使用でき、その他の用途には使用できない、専門機関は得られた情報に対して秘密保持責任を負わなければならない。専門機関は相応の技術措置とその他の必要な措置を講じて、データの安全を保障しなければならない。
専門機関は、個人情報保護コンプライアンス監査の職責を履行する際に、個人情報処理者の正常な経営活動を悪意を持って妨害してはならない。
専門機関に虚偽、虚偽報告などの違反行為があった場合、個人情報処理者及び関係者は個人情報保護職責を履行する部門に苦情を申し立てることができ、個人情報保護職責を履行する部門が確認した場合、個人情報保護コンプライアンス審査専門機関推薦目録に登録することを永久に禁止する。
本稿:
専門機関は、個人情報保護コンプライアンス監査活動に従事する際に、法律・法規を遵守し、誠実で正直で、公正かつ客観的にコンプライアンス監査の職業判断を行い、個人情報保護コンプライアンス監査の職責を履行する中で得られた個人情報、ビジネス秘密、機密ビジネス情報などを法に基づいて秘密にし、他人に漏洩したり不法に提供したりしてはならず、コンプライアンス監査作業が終了した後に速やかに関連情報を削除しなければならない。
専門機関は、他の機関に個人情報保護コンプライアンス監査を委託してはならない。
(四)監督管理監査要求の明確化
「個人情報保護法」第52条の処理量級に専門職保護者を設置する必要があるという規定に基づき、「監査方法」の本稿では、100万人以上の個人情報を処理する個人情報処理者は専門職を設置し、個人情報保護コンプライアンス監査の仕事を担当し、外部監査を委託する際に協力義務と改善監督の職責を履行しなければならないことを明確に規定している。関連する『個人情報保護コンプライアンス監査ガイドライン』(『監査ガイドライン』)は同時に、当該部署の人員の資質参入基準(例えば専門的背景、職責履行年限)と核心職能範疇(リスク評価権限、改善提案権などを含む)に対して細分化規定を行った。
本稿:
【新規】100万人以上の個人情報を処理する個人情報処理者は、個人情報保護責任者を指定し、個人情報処理者の個人情報保護コンプライアンス監査を担当しなければならない。
重要なインターネットプラットフォームサービスを提供し、ユーザー数が多く、業務タイプが複雑な個人情報処理者は、主に外部メンバーからなる独立機構を設立して個人情報保護コンプライアンス監査状況を監督しなければならない。
(五)定期監査の機関及び監査監督
『監査方法』の正式稿は、監督管理部門の常態化した検査システムと社会監督フィードバックルートの二重制約メカニズムの導入を通じて、コンプライアンス監査活動の全チェーン監督管理を強化する。特に注意しなければならないのは、『ネット情報部門の行政法執行手続規定』の法定職責に基づき、ネット情報機関は自然人、法人及びその他の組織の苦情、訴え又は通報の事項に対して、適時に調査する義務を負っている、一方、最高人民法院の関連司法解釈「行政訴訟法」司法解釈第12条」によると、利害関係を持つ苦情の主体は法に基づいて行政再議や行政訴訟を通じて権利を主張することができる。この制度設計は実質的に企業監査コンプライアンス論争を行政救済プログラムの枠組みに組み入れ、潜在的な高額プログラム的支出と世論リスクが逆効果を形成し、個人情報処理者が監査義務を慎重に履行して派生的な法律紛争を回避するよう促す。
本稿:
【新規】保護部門は、個人情報処理者による個人情報保護コンプライアンス監査の実施状況を監督検査する。
任意の組織、個人は、個人情報保護コンプライアンス監査における違法活動について保護部門に苦情、通報する権利を有する。苦情、通報を受けた部門は法に基づいて適時に処理し、処理結果を苦情、通報者に通知しなければならない。
(六)『監査ガイドライン』の主な変化
1.『データクロスボーダー流動規定の促進と規範化』の公布をつなぎ、個人情報出国コンプライアンス監査の重点審査事項を更新した。
2.個人情報処理者が処理を依頼し、移転し、他の個人情報処理者に個人情報を提供する場合、個人情報処理者が受信者に監査を実施する現実的な困難を考慮し、『監査ガイドライン』は今回、受信者に対する審査事項を全面的に削除した。
監査ガイドラインは、個人情報の処理に関するすべての重点コンプライアンスに関する考慮事項を基本的にカバーしており、個人情報保護コンプライアンス監査にサービスを提供するほか、日常的な業務運営コンプライアンスの参考にすることもできます。しかし、企業に提示する必要があるのは、『監査ガイドライン』は専門機関がコンプライアンス事項に重点的に関心を持つガイドラインにすぎず、企業は依然として『個人情報保護法』の全面的な規定に従って自身の個人情報保護コンプライアンス義務を履行しなければならないということだ。
また、2024年7月12日、全国サイバーセキュリティ標準化技術委員会は国家基準「データセキュリティ技術個人情報保護コンプライアンス監査要求」の意見募集稿を発表し、個人情報保護コンプライアンス監査の流れ、実施要求などの事項に対してより詳細な要求があり、付録部分に監査報告の下書きテンプレートと報告テンプレートを提供し、個人情報処理者と専門機関は監査作業を展開する際に参考にすることができる。
三、『監査方法』の正式原稿の主な内容
(一)監査を行う2つの状況
『監査方法』の規定によると、審査を行う必要がある企業は主に2種類に分けられ、1つは条件に合致して自ら審査を行う必要がある企業(自主監査)であり、もう1つは国家ネット情報部門とその他の個人情報保護職責を履行する部門の要求に基づいて審査を行う企業(監督管理監査)である。
1.自主監査/定期監査
自主監査/定期監査とは、個人情報処理者が法律の規定に従って個人情報処理者の内部機関に入るか、専門機関に委託して定期的に個人情報を処理して法律、行政法規を遵守する状況に対してコンプライアンス監査を行うことを指す。
2.監督管理監査
監督管理監査とは、個人情報処理者が個人の権益に深刻な影響を与え、複数の権益を侵害したり、重大な安全事故が発生したりする可能性がある場合、国家網信部門とその他の個人情報保護の職責を履行する部門(以下、総称して保護部門という)は、個人情報処理者に個人情報処理活動のコンプライアンス監査を専門機関に依頼することができる。
(二)監査頻度
『監査方法』は情報処理の規模を基準として、個人情報処理者を2種類に分け、監査頻度にも差がある。
1000万人を超える個人情報を処理する個人情報処理者は、2年ごとに少なくとも1回、個人情報保護コンプライアンス監査を実施しなければならない。
1000万人を超えていない個人情報を処理する個人情報処理者は、実際に基づいてコンプライアンス監査を行うかどうか、およびコンプライアンス監査を行う頻度を自ら決定することができる。
(三)監査内容
『監査ガイドライン』では、重点的な審査が必要な事項について詳細に列挙し、監査の合法性の基礎、14歳未満の未成年者の個人情報の処理、敏感な個人情報の処理などの内容を含め、27項目がある。本文は『監査ガイドライン』の内容に基づいて、そのリストされた審査の重点についてまとめ、以下のようにまとめた:
1.合法性の基礎について
(1)合法性基礎:個人が十分な事情を知っている前提の下で自発的、明確な同意を取得したかどうか、処理目的、方式または種類の変更時に再び同意を取得したかどうか、法に基づいて単独同意または書面同意を取得したかどうか、および同意を取得していない時に法律規定の例外状況に合致しているかどうかを重点的に審査し、処理活動が合法的な基礎を備え、個人の意思を十分に尊重することを確保する。
(2)処理規則:収集した情報とその処理方式と種類をリスト形式で明記するかどうか、個人権益への影響が最小の方式を採用するかどうか、処理目的と直接関連しているかどうか、保存期限と期限切れの処理方式を明確にして期限を実現目的とする最短時間を確保するかどうか、および便利な個人情報の閲覧、複製、訂正、削除などの権利行使ルートを提供するかどうかを重点的に審査し、処理規則の透明性、合法性を確保し、個人権益を十分に保障する。
(3)告知義務:重点的に処理前に顕著、明確、わかりやすい方法で真実、正確、完全に処理規則を告知するかどうかを審査し、告知テキストが読みやすいかどうか、オフラインとオンライン告知方式が有効かどうか、規則変更時に適時に個人に通知するかどうか、及び状況が法律規定の秘密保持或いは例外要求に合致するかどうかを告知せず、告知義務の履行を確保し、個人の知る権利を十分に保障することを確保する。
2.特殊処理シーンについて
(1)共同処理と委託処理:契約がそれぞれの権利義務及び監督メカニズムを約束しているかどうかを明確にし、個人情報処理者が個人情報の処理を委託する前に、個人情報保護影響評価を展開しているかどうか、権益保護メカニズムと安全報告メカニズムを備えているかどうかを明確にする必要がある。
(2)データ転送シーン:個人情報処理者が合併、再編、分立、解散、破産宣告などの原因で個人情報を転送する必要がある場合、個人情報処理者が個人に受信者の名前または名前と連絡先を通知するかどうかを重点的に審査しなければならない。
(3)自動化意思決定:自動化意思決定の透明性及び公平性を審査し、ユーザーの知る権利を確保し、アルゴリズム差別を防止し、ユーザー制御権(拒否、選択)及び事前リスク評価を強化し、そしてポケット条項を設置した。
(4)個人情報の公開:濫用行為(例えば、無関係な商業情報を送信したり、ネット暴力に従事したりする)が存在するかどうか、個人の拒否権を尊重するかどうか、個人の権益に重大な影響がある場合に同意を得たかどうか、及び処理規模が合理的な範囲を超えているかどうかを重点的に審査する。個人の同意に基づいて公開された情報について、監査は、実際に有効な単独同意を得たかどうか、および個人情報保護の影響評価を事前に完了したかどうかに重点を置いて、公開行為の合法的なコンプライアンスを確保し、個人の意思を尊重する必要がある。
(5)敏感情報処理:個人単独同意(または未成年者保護者の同意)を取得したかどうか、処理目的、方式と範囲が合法で、正当で必要であるかどうか、事前に個人情報保護影響評価を行ったかどうか、個人に処理の必要性と影響(法律で規定された秘密保持状況を除く)を告知したかどうか、書面同意(例えば法律の要求)を取得したかどうか、および関連法律法規の敏感情報処理に対する制限規定を遵守したかどうか、敏感情報処理活動の合法的なコンプライアンスを確保し、個人の人権利益を十分に保護する。
(6)公共場所の情報収集:設備の設置及び情報用途の合法性を重点的に審査し、公共安全を維持するために必要な(商業目的ではない)かどうか、顕著な提示標識を設置するかどうか、及び収集した個人画像又は身分識別情報を公共安全以外の用途に使用する場合、個人の単独同意を取得するかどうか、設備の使用合法的なコンプライアンスを確保し、個人の権益を十分に尊重することを含む。
(7)満14歳未満:専門的な処理規則を制定するかどうか、未成年者及び保護者に処理目的、方式、必要性及び保護措置(法律の規定で告知する必要がない場合を除く)を告知するかどうか、及び不要な情報の処理に同意するよう強要する行為が存在するかどうか、未成年者の個人情報処理の合法的なコンプライアンスを確保し、その権益を十分に保護する。
(8)国境を越えた伝送:重要な情報インフラ運営者が国家網信部門の安全評価を通過したか、非重要情報インフラ運営者は累計100万人以上の非機密情報を国外に提供しているか、または1万人以上の機密情報が安全評価を通過しているか、累計10万人以上を提供しているが、100万人未満の非敏感情報または1万人未満の敏感情報が個人情報保護認証または標準契約を締結し、記録されているかどうか、外国の司法または法執行機関に国内の記憶情報を提供することは主管機関の承認を得ているかどうか、および制限または禁止リストに登録されている組織または個人に情報を提供するかどうか、国境を越えたデータ転送の合法的なコンプライアンスを確保する。
3.権利メカニズムについて
(1)削除権:便利な申請受理と処理メカニズムを構築し、適時に対応し、完全で、正確に処理意見や結果を通知するかどうか、及び個人権利請求を拒否する時に理由を説明するかどうかを重点的に審査し、データ処理活動における個人の権利が十分に尊重され、有効に保障されることを確保する。
(2)適時応答:個人が権利を行使する出願受付メカニズムと処理メカニズムを確立するか、個人が権利を行使する出願に適時に応答するか、適時、完全、正確に処理意見または実行結果を通知するか、および個人が権利を行使する請求を拒否するか、個人に理由を説明するか。
(3)規則解釈:簡単な方法を提供して解釈要求を受け入れ、処理するかどうか、及び合理的な時間内に分かりやすい言語で説明するかどうか、個人がその個人情報処理規則を明確に理解し、有効に権利を行使できることを確保する。
4.組織管理と内部制度について
(1)内部管理:保護方針が法規に合致しているか、組織構造が合理的であるか、管理情報を分類しているか、応急応答と評価制度を確立しているか、苦情の流れと操作権限を設立しているか、訓練計画を制定しているか、職責履行評価と違法責任制度を確立しているかなどを重点的に審査し、制度の健全性を確保し、個人情報処理のコンプライアンスと安全を効果的に保障しなければならない。
(2)技術と安全対策:暗号化、非識別化などの手段によって情報の機密性、完全性と可用性を保障するかどうか、個人情報の識別可能性を下げるかどうか、及び人員の操作権限を合理的に設置して許可されていないアクセスと濫用リスクを減少させるかどうかを重点的に審査し、技術措置が情報の規模とタイプと一致し、有効に個人情報の安全を保護することを確保する必要がある。
5.教育訓練と職場の職責について
(1)教育訓練:計画通りに管理者、技術者、操作者及び全員に対して安全教育と訓練を展開するかどうかを重点的に評価し、そして関係者の個人情報保護意識と技能に対して審査を行う必要がある、同時に訓練内容、方式、対象と頻度が個人情報保護の実際の需要を満たすかどうかを審査し、訓練計画が全員のコンプライアンス意識と能力を効果的に向上させることを確保する。
(2)個人情報保護責任者:責任者が関連経験と専門知識を持っていて法律法規を熟知しているかどうかを重点的に審査し、職責が明確で十分な権限を与えられて内部の仕事を調整しているかどうか、重大な決定の前に提案して規則に合わない操作を制止して是正する権利があるかどうか、および個人情報処理者が責任者の連絡先を公開して監督管理部門に報告するかどうか、責任者が個人情報保護職責を効果的に履行し、企業のコンプライアンス管理を推進する
6.影響評価と緊急対応策について
(1)影響評価:個人の権益に重大な影響を与える活動を処理する前に法に基づいて評価するかどうか、処理目的、方式の合法性、正当性と必要性を評価するかどうか、個人の権益に対する影響と安全リスクを分析するかどうか、および保護措置の合法性、有効性とリスク適応度を評価するかどうかを重点的に審査し、評価が全面的かつ有効にコンプライアンス決定を支持することを確保する必要がある。
(2)緊急時対応策:事前案が業務の実際に基づいてリスクを評価するかどうか、全体戦略、組織機構、技術保障と処置手順がリスクに対応するのに十分であるかどうか、関係者を訓練し、定期的に訓練するかどうか、応急対応処置状況を監査する際には、事件の影響を適時に究明し、原因を分析し、通報ルートを構築し、関連部門と個人に通知するかどうかを重点的に審査し、損失と危害を最小限に抑え、応急対策が全面的に有効かつ実行されるようにしなければならない。
7.インターネットプラットフォームについて
(1)プラットフォーム規則:プラットフォーム規則が法律法規と一致しているかどうか、個人情報保護条項がプラットフォーム及びプラットフォーム内のサービス提供者の権利と責任を効果的に定義しているかどうか、及びサンプリングなどの方式を通じて規則が有効に実行されているかどうかを検証し、プラットフォーム規則の合法的なコンプライアンスを確保し、ユーザーの個人情報権益を確実に保護する必要がある。
(2)社会的責任:報告書が以下の内容を全面的に開示しているかどうかを重点的に審査する必要がある:個人情報保護の組織構造と内部管理、能力建設、保護措置と効果、個人権利申請の受理状況、独立監督機構の職責履行状況、重大安全事件の処理状況、社会共同治療の科学普及宣伝と公益活動の促進、その他の法律要求の事項、報告内容の真実、完全性を確保し、プラットフォームの個人情報保護における責任と効果を体現する。
(四)方法
国家網信弁公室は『監査方法』に対する記者の質問に対して、どのような方法で監査を行うべきか、および専門機関を選択するか、どのように専門機関を選択するかについて強制的な要求はないと指摘した。したがって、個人情報コンプライアンス監査は、主に内部監査と外部監査の2つの方法に分けることができます。
内部監査とは、個人情報処理者が内部機関に監査を任せることができることを意味します。
外部監査とは、個人情報処理者が監査作業を外部の専門機関に委託して行うものです。『監査方法』の本稿では、「推薦目録」に関する規定は削除されたが、専門機関の職業素養、監査回数及び責任と義務については依然として要求されている。
(五)第三者監査
『監査方法』の規定に基づき、個人情報処理者は専門機関にコンプライアンス監査を依頼することができ、国家ネット情報部門とその他の個人情報保護職責を履行する部門は個人情報処理者に個人情報処理活動にコンプライアンス監査を依頼することを要求することもできる。『方法』は専門機関に対して以下の要求を提出した:
1、職業操守
専門機関は、サービスに適した監査人、場所、施設、資金などを有する個人情報保護コンプライアンス監査を展開する能力を備えなければならない。関連する専門機関が認証に合格することを奨励する。専門機関の認証は『中華人民共和国認証認可条例』の関連規定に従って実行される。
専門機関は、個人情報保護コンプライアンス監査活動に従事する際に、法律・法規を遵守し、誠実で正直で、公正かつ客観的にコンプライアンス監査の職業判断を行い、個人情報保護コンプライアンス監査の職責を履行する中で得られた個人情報、ビジネス秘密、機密ビジネス情報などを法に基づいて秘密にし、他人に漏洩したり不法に提供したりしてはならず、コンプライアンス監査作業が終了した後に速やかに関連情報を削除しなければならない。
2、独立審査
専門機関は、他の機関に個人情報保護コンプライアンス監査を委託してはならない。同一専門機関及びその関連機関、同一コンプライアンス監査責任者は、同一監査対象に対して3回以上連続して個人情報保護コンプライアンス監査を行ってはならない。
(六)国外個人情報処理者
『監査方法』の適用範囲は中国国内での個保監査のためであり、国外の個人情報処理者への適用を排除しているように見える。しかし、「個人情報保護法」は域外適用の効力があるため、理論的に条件に合致する域外個人情報処理者は個人保護監査の義務を履行しなければならない。国家網信弁公室が2025年1月3日に発表した「個人情報出国個人情報保護認証方法(意見聴取稿)」の関連規定を参考にして、将来的に「個人情報保護法」の域外適用条件に合致する域外個人情報処理者は、その国内に設立された専門機関または指定代表を通じて個人保護監査を協力し、または「国際相互承認」の方式を通じて相応のコンプライアンス義務を履行することができる。
(七)コンプライアンス監査が必要な企業は何ですか。
『監査方法』は、中華人民共和国国内で個人情報保護コンプライアンス監査を展開し、本方法を適用することを規定している。
そのため、すべての「個人情報処理者」はコンプライアンス監査を行う必要があるが、個人情報を処理する規模が異なることや、多くの個人の権益を侵害する可能性があることなどを考慮する必要があるため、個人情報処理者によって監査を行う必要がある頻度が異なり、規制監査を開始する必要があるかどうかも実際の状況によって異なる。
四、PIAとコンプライアンス監査の関連と区別
個人情報保護システムにおけるコアツールとして、PIAとコンプライアンス監査は機能的相補性があるとともに、実施ロジックと作用範囲に顕著な違いがあり、企業データ管理の二重防御線を共同で構成している。
(一)主な関連
1、目標の一致性:コンプライアンス保障とリスク制御
PIAとコンプライアンス監査はいずれも企業の個人情報処理活動の合法的コンプライアンスの推進を核心目標とし、リスクの識別と管理制御を通じて、個人の権益を侵害する可能性を減少させるとともに、企業がコンプライアンス行為による法的紛争や名誉損失を低減する。両者はリスクの予審から監督の実行までの完全なチェーンを形成し、データの全ライフサイクルの安全制御を確保する。
2、プロセスの相互補完性:事前予防制御と事後検証の連動
PIAは主にデータ処理活動の開始前に行われ、潜在的なリスクを識別し、リスクの発生を回避するために適切な予防策を提案することを目的としている。コンプライアンス監査は、アクティビティの実装を処理した後に行い、企業が関連法規やPIAが推奨する制御措置に従っているかどうかを審査し、予防策の実際の実行効果を確保します。
3、リスク管理制御の動的循環メカニズム
PIAはコンプライアンス監査と共同で、継続的なリスク管理プロセスを構成しています。PIAは、リスクを事前に識別し評価し、対応する防止策を策定します。コンプライアンス監査は、後で実行状況のチェックを行い、次のリスク管理の開始に向けて新たなリスクポイントを発見する可能性があります。このプロセスは、個人情報処理アクティビティのコンプライアンスとセキュリティを継続的に最適化するために循環的に進められています。
4、コンプライアンス証拠:相互補完の審査根拠
PIAレポートは、企業がコンプライアンス義務を遂行するための重要な証拠であり、リスク評価のプロセスと結果を詳細に記録し、コンプライアンスを支援しています。コンプライアンス監査報告書は、企業の実際の操作がコンプライアンス要件に合致しているかどうかを審査することにより、PIAに提案された措置が効果的に実施されているかどうかをさらに検証する。両者は共同で外部規制当局に十分なコンプライアンス審査根拠を提供し、コンプライアンスシステム全体の透明性と有効性を確保する。
(二)コアの区別
1、適用範囲:PIAは特定のシーンに焦点を当て、コンプライアンス監査は全プロセスをカバーする
PIAは主に特定のタイプの個人情報処理活動、特に個人の権益に重大な影響を与える可能性のある活動、例えば敏感なデータの処理、国境を越えたデータ転送、自動意思決定などに適用される。コンプライアンス監査では、すべての個人情報処理アクティビティを包括的に検査し、コンプライアンスを検証します。そのため、PIAは対象が集中しており、コンプライアンス監査はより広い適用範囲を持っている。
2、目標指向:展望的リスク認識と事後コンプライアンスチェック
PIAの目的は、プロアクティブ評価を通じて、個人情報処理過程における潜在的なリスクを識別し、問題を事前に回避するための効果的な予防措置を制定することである。コンプライアンス監査は事後審査に重点を置いて、個人情報処理活動が現行の法律法規に合致しているかどうかを検査し、企業が実際の操作でコンプライアンス要件に違反していないことを確保し、発見されたコンプライアンス問題に対して改善提案を提出する。
3、実施段階:事前予防と事後検査
PIAは通常、データ処理活動の開始前に行われ、主に予防的な役割を果たし、企業が実施前にリスクを識別し回避するのを支援する。コンプライアンス監査は、データ処理活動が一定期間実行された後に発生し、主に展開された活動をレビューし、コンプライアンスを確保し、発生する可能性のある違法問題を是正する。
4、内容の重点:コンプライアンス検証とリスク評価の違い
PIAは、データ処理活動のコンプライアンス、特に個人の権益への潜在的な影響、および保護措置が規定に合致しているかどうかを評価することに重点を置いている。コンプライアンス監査では、実際の運用のコンプライアンスをより強調し、データの収集、記憶、使用、削除など、データ処理過程における各段階が法律法規の要求に合致しているかどうかを注目し、企業が有効なコンプライアンス管理システムを構築しているかどうかを検査する。
五、結語
『監査方法』の公布は『個人情報保護法』『データセキュリティ法』などの上位法と有機的な接続を形成し、業界分野内の細分化規則と相互に補足し、事前評価、事中制御、事後監督をカバーする全チェーンコンプライアンスの枠組みを構築した。新しい旧法の間では輪になって互いに対話している。監査範囲の明確化、操作プロセスの細分化、評価基準の統一などの手段を通じてリスク防止・制御メカニズムを強化し、『監査方法』は個人情報保護コンプライアンス監査の制度接続と実技指導上の空白をさらに埋め、企業に原則的な要求から具体的な着地経路までの完全な規範を提供した。このシステムの形成は企業コンプライアンス業務の標準化と操作性を向上させるだけでなく、監督管理部門の透過的な監督にも制度的な手がかりを提供した。
