关于《个人信息保护合规审计管理办法 (征求意见稿)》的解读

8月3日，国家互联网信息办公室就《个人信息保护合规审计管理办法》（以下简称“《办法》”）公开征求意见，明确了个人信息保护合规审计的定义、适用对象、时限要求，以及专业机构的权限与义务要求等，并在附件提出个人信息保护合规审计参考要点，以充分指导、规范个人信息保护合规审计活动。

一、合规审计的法定要求

(资料图)

我国《个人信息保护法》提出了个人信息处理者的自主审计和强制外部审计要求，其中第五十四条规定，“个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计”；第六十四条规定，履行个人信息保护职责的部门发现个人信息处理活动存在较大风险或者发生个人信息安全事件的，可以要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。此外，《网络数据安全管理条例（征求意见稿）》也对个人信息保护合规审计做出了相应规定。这一制度设计不仅有助于监管者对组织个人信息处理活动的合法性进行持续关注，更有利于个人信息处理者积极应对监管、有效提高个人信息保护能力。

此次《办法》的发布，对我国个人信息保护合规审计制度进行了细化与完善，为相关工作提供了明晰的实施路径：

1明确审计对象和频次要求

《办法》指出，处理超过100万人个人信息的个人信息处理者，应当每年至少开展一次个人信息保护合规审计；其他个人信息处理者应当每二年至少开展一次个人信息保护合规审计。

2明确审计机构与时限要求

《办法》指出，个人信息处理者自行开展个人信息保护合规审计，可根据实际情况，由本组织内部机构或者委托专业机构按照本办法要求开展审计工作；个人信息处理者按照履行个人信息保护职责的部门要求开展个人信息保护合规审计的，应当在收到通知后尽快按照要求选定专业机构进行个人信息保护合规审计，且强制外部审计应当在90个工作日内完成，情况复杂的，报经履行个人信息保护职责的部门批准后可适当延长。

3明确专业机构的权限与义务

《办法》不仅明确了强制外部审计情形下专业机构可行使的权限，同时也明确了专业机构的独立性和客观性要求、专业机构推荐目录制度，以及针对同一对象审计不得超过三次、不得转包委托等要求。

4明确审计参考要点

《办法》依据《个人信息保护法》《数据出境安全评估办法》《个人信息安全规范》（GB/T-35273）等相关规定，围绕个人信息处理活动的合法性基础、个人信息处理规则、告知义务、共同处理、自动化决策、个人信息出境、个人信息权益行使保障等合规义务，列举了各项义务的重点审查事项，为开展个人信息保护合规审计提供了审计事项参考。

二、合规审计的国际实践

随着2018年《通用数据保护条例》（GDPR）的出台，以及欧洲多国对本国数据保护相关法案的修订，为加强对各组织落实GDPR及相关数据保护法律情况的合规监管，英、法、德等多国相继开展数据保护审计工作，对我国开展个人信息保护合规审计具有一定参考意义。

1英国构建三方数据保护审计制度

英国以2018年《数据保护法》第129条和第146条为依据，建立了以自愿审计为主、强制审计为辅的数据保护审计制度，将审计分为第一方审计（内部审计）、第二方审计（供应方、外包方等利益相关方审计）、第三方审计（信息专员办公室审计与第三方机构审计）三类。针对信息专员办公室审计（即ICO审计），英国于2021年11月发布《英国ICO审计指南》，明确了ICO审计的流程要求和审计事项，具体包括被审计主体的数据保护组织和制度问题、员工数据保护培训和意识、个人数据的安全、个人权利请求、数据分享、记录管理，以及数据保护影响评估和信息风险管理等事项。

2法国构建无需事前通知的CNIL审计制度

除GDRP数据保护审计相关要求外，法国数据保护局（CNIL）于2020年9月发布《CNIL审计程序指南》，概述了CNIL对组织就GDPR及法国数据保护法合规情况进行审计的权力与职责，提出现场检查、邀请面试、在线检查及问卷调查四类审计形式，重点关注被审计主体处理个人数据的目的和法律依据、所收集数据的性质、告知数据主体的方式（特别是权利告知方式）、数据保留期和准确性、个人数据的接收者、数据安全控制和数据传输等事项。根据该指南，CNIL无需事先通知便可直接进行现场检查，并可对被审计主体的对抗检查行为进行罚款，也可根据审计结果对被审计主体实施法律制裁。

三、合规审计的实施建议

1积极落实合规审计，及时发现风险隐患

“权，然后知轻重；度，然后知长短”。合规审计作为个人信息保护自我监督、社会监督与执法监管的重要制度，更是个人信息处理者衡量自身个人信息保护合规能力、发现自身个人信息保护风险的重要手段。个人信息处理者在持续开展个人信息保护合规工作的同时，也应积极开展个人信息保护合规审计工作，及时发现合规问题、快速解决合规隐患。

2合理设计审计方案，便捷高效实施审计

在具体合规审计活动中，个人信息处理者应依据《办法》准确判断自身所属对象类型，识别相应的合规审计义务与审计要点，并结合实际需要确定审计目标、专业机构、审计流程、审计方式等，在不影响业务正常运转的情况下，便捷高效开展合规审计工作。

3整改完善合规问题，实现安全闭环管理

值得注意的是，对于个人信息处理者而言，个人信息保护合规审计并不是终点，进一步整改完善审计所发现的合规问题，才是开展个人信息保护合规审计的终极目标和关键所在。对此，《办法》明确要求，在强制外部审计情形下，个人信息处理者应当按照专业机构给出的整改建议进行整改，经专业机构复核后将整改情况报送履行个人信息保护职责的部门。因此，个人信息处理者在个人信息保护合规审计执行中，应对已发现的合规问题给予重视、及时整改，以此不断提高自身个人信息保护合规能力。

小结

目前，个人信息保护合规审计已成为国际通行做法，《办法》的发布对于落实我国个人信息保护法律法规制度、提升组织个人信息保护能力具有重要的指引作用，个人信息处理者需密切关注个人信息保护相关法律法律政策的出台与落地，及时调整完善个人信息保护相关策略，依法依规开展个人信息处理活动。

（国家工业信息安全发展研究中心 李文婷 杨晓伟 张誉馨）

标签：