中国信通院陈杨：充分发挥审计在构建个人信息保护治理体系中的作用

数字经济时代，审计作为一项具有独立性的监督活动，已成为推动企业建立健全合规治理体系不可或缺的重要举措，也是落实多层次个人信息保护监督体系的重要抓手。在2021年11月1日正式实施的《中华人民共和国个人信息保护法》中，首次在法律层面明确“对个人信息处理活动开展合规审计”的相关要求，意味着个人信息保护合规审计已经成为了个人信息处理者的一项法定义务。根据上述法律规定，国家互联网信息办公室制定《个人信息保护合规审计管理办法（征求意见稿）》（以下简称“《办法》”），细化了个人信息保护合规审计的目的、程序、内容、专业机构等具体规定，为个人信息处理者开展合规审计提供了操作指引。

一、充分借鉴国际经验做法，探索个人信息保护合规审计的中国方案

从全球视角来看，国外多个数据保护监管机构已经开始利用合规审计的手段来督促和协助企业切实履行个人信息保护的义务。《通用数据保护条例》(GDPR) 的第二十八条、第三十九条、第四十七条及第五十八条分别明确了数据保护审计活动相关要求。欧盟委员会也于2023年提出了《针对超大型在线平台和超大型在线搜索引擎进行审计的规则的补充条例（公开征求意见稿）》。英国信息专员办公室（ICO）发布了《信息专员办公室审计指南》，并自2021年6月以来多次开展合规审计活动，涵盖医疗健康、司法、政府、金融、互联网等10多个领域。卢森堡国家数据保护委员会（CNPD）也多次开展合规审计活动，公布审计结果，并采取了强令实施整改措施或行政罚款等处罚决定。

《办法》充分借鉴了国外通行做法，吸纳各国及地区数据监管机构开展合规审计活动的有效经验和成果。同时，结合我国《个人信息保护法》中对于合规审计的具体要求，进行了有益探索。

（一）积极探索自行审计和强制审计的统一监督管理方法。《办法》的适用范围既涵盖个人信息处理者定期开展的个人信息保护合规审计（简称“自行审计”），也涵盖个人信息处理者按照履行个人信息保护职责的部门要求委托专业机构对其个人信息处理活动进行合规审计（简称“强制审计”），既明确了自行审计的频率和形式等，又明确了强制审计的前提条件、审计权限、审计时限和报告报送等具体要求。由此可见，合规审计既是一种企业落实个人信息保护工作的内部监督手段，同时也是履行个人信息保护职责部门落实监管检查的外部监督手段。

（二）提出个人信息保护合规审计专业机构管理模式，个人信息处理者应优先选择推荐目录中的专业机构执行。《办法》创新性地提出将建立个人信息保护合规审计专业机构推荐目录，鼓励个人信息处理者优先选择推荐目录中的专业机构开展合规审计活动。国务院有关部门可在行业专业领域发挥优势，推荐审计专业机构。

国家互联网信息办公室、工业和信息化部等有关部门不断通过完善法律法规、组织企业调研、搭建交流平台、开展审计培训和试点等方式探索个人信息保护合规审计工作的工作思路和落地实施。

二、督促发挥审计监督职能，推动个人信息处理者履行主体责任

（一）督促企业有效利用审计手段，推动形成个人信息保护合规治理闭环。个人信息处理者落实个人信息保护相关工作中，审计人员或机构应以独立的视角，对个人信息处理者的个人信息处理活动是否遵循法律、行政法规的情况进行审查、评价和监督。《办法》充分调动企业内部具备独立性和专业性的人员或部门承担审计的重要监督职责，有效利用《办法》给予的权限，自主自发开展个人信息保护合规审计，评价其个人信息保护措施的适当性和有效性，发现个人信息处理活动的安全问题和违规行为，督促个人信息处理者及时进行整改，真正从内部构建合规治理的闭环。

（二）聚焦企业个人信息保护治理结构和机制建设，切实推动构建个人信息保护基石。《办法》在个人信息保护合规审计要点部分中对个人信息处理者的主体责任、管理制度、应急预案、应急响应、安全技术措施、教育培训、影响评估等方面内容进行细化和明确，指导审计人员通过审计活动有效评价企业个人信息保护治理体系的完善程度，识别治理缺陷，提出优化建议，通过不断完善内部治理体系保障个人信息保护各项举措的切实落地，全面提升个人信息保护水平。

（三）强调个人信息保护合规审计活动的独立性、客观性与专业性，并设置科学的保障规则。个人信息保护合规审计是一项高度复合性的专业活动，执行审计的专业机构应具备相应的专业胜任能力。自行审计可由个人信息处理者内部具备独立性和专业性的人员或部门承担审计职责，如不具备独立性等审计条件的，可委托专业机构开展审计活动。此外，为保证审计的独立性与客观性，《办法》要求执行个人信息保护合规审计的专业机构连续为同一审计对象开展个人信息保护合规审计不得超过三年。

三、规范个人信息保护合规审计管理机制，强化监督指导审计过程

（一）充分考虑影响个人信息处理活动合规水位的多种因素，差异化地设置自行审计频率。《办法》第四条明确了处理超过100万人个人信息的个人信息处理者，应当每年至少开展一次个人信息保护合规审计；其他个人信息处理者应当每两年至少开展一次个人信息保护合规审计。个人信息处理者处理个人信息的性质、规模、复杂程度、风险程度存在差异，其开展个人信息保护合规审计的频率应与其相适应，既确保有效识别合规问题，又能够合理控制合规成本。

（二）借鉴内部审计现行审计准则和信息科技审计既有方式方法，结合个人信息处理活动特点，指导个人信息处理者自行开展个人信息保护合规审计。《办法》明确了个人信息处理者自行开展的合规审计既可由本组织内部机构开展，也可由组织委托专业机构按要求开展。开展个人信息合规审计的个人信息处理者可借鉴内部审计现行审计准则和信息科技审计既有方式方法，结合个人信息处理活动特点，撰写个人信息保护合规审计报告，全面、客观、准确地反映本组织个人信息处理情况，及时整改审计发现的问题。自行合规审计应通过专项审计或综合审计等方式覆盖全部审计要点。

（三）强调对审计过程和审计数据的安全保障。《办法》第十四条规定专业机构在履行个人信息保护合规审计职责中获得的信息，只能用于个人信息保护合规审计的需要，不得用于其他用途；专业机构应当对获得的信息承担保密责任；专业机构应当采取相应技术措施和其他必要措施，保障数据安全。由此可见，专业机构有责任对其开展个人信息保护合规审计的全过程，以及在过程中可能获取或产生的审计数据进行有效的安全管控。

《办法》经过充分调研、多轮意见征集和公开讨论，在落实《个人信息保护法》的基础上又做出了新探索，是发挥审计在个人信息保护治理体系中的监督作用的有益举措。

陈杨，中国信息通信研究院云计算与大数据研究所审计与治理部副主任，主要围绕个人信息保护合规审计、IT审计、科技治理与风控等领域开展研究、咨询和标准制定等工作。

联系方式：chenyang3@caict.ac.cn

校  审 | 谨  言、凌  霄

编  辑 | 珊  珊

推荐阅读