广悦专业研究丨五大要点解读《个人信息保护合规审计管理办法》

2月14日，国家网信办正式发布《个人信息保护合规审计管理办法》（以下称“《个保审计办法》”），对2021年《个人信息保护法》（以下称“《个保法》”）提出的个人信息保护合规审计（以下称“个保审计”）工作作出系统性规定，明确了除国家机关或公共职能单位外其他个人信息处理者实施个保审计的概念、范围、实施方法及核查重点。

个保审计作为《个保法》中一项重要的制度安排，《个保审计办法》在2023年8月首次公开征求意见时便引起了各界激烈讨论。从本次公布的《个保审计办法》正式文本来看，其要求审计范围基本覆盖了《个保法》及今年刚刚生效的《网络数据安全管理条例》（以下称“《网数条例》”）中个人信息保护部分的核心条款，其审计范围之广、程序之严格，不啻一场针对企业的个人保护能力综合性“考试”。本文将针对《个保审计办法》及个保审计相关工作内容进行梳理和解读，以期为各企业解读好这场重要考试的“考纲”。

《个保审计办法》延续《个保法》第五十四条及第六十四条的个保审计触发框架，分别设置了“自主审计”和“强制审计”两个场景。

《个保审计办法》第四条从个人信息处理规模以及审计工作开展频率两个维度，明确了不同情况下个人信息处理者开展个保审计工作的主体和节点，其中：

1.处理超过1000万人个人信息的处理者，应每两年至少开展一次个人信息保护合规审计；

2.而未达到上述处理规模的处理者，无明确的频次要求，处理者可以结合实际情况自行确定个保审计的频次。

相对于2023年征求意见稿提出的“100万以上个人信息每年一次，其他每两年一次”，正式文本有对个保审计工作频次明显地放宽，适当地减轻了个人信息处理者，尤其是信息处理规模较小的处理者的合规工作压力。

需要留意的是，部分特殊场景或特定领域对于个保审计工作频率有特殊规定，相关企业应当予以遵守，例如《未成年人网络保护条例》要求个人信息处理者应当每年对其处理未成年人信息情况进行审计，对于业务或工作范围明显涉及未成年人的企业而言，无论其处理个人信息规模如何，均需每年针对未成年人个人信息保护做好专项审计工作。

如监管部门发现企业存在个人信息保护方面较大风险或已经出现安全事件时，则可强制要求企业开展个保审计，即“强制审计”。

根据《个保审计办法》第五条规定，可能触发强制审计的情形包括：

1. 企业个人信息处理活动存在严重影响个人权益或者严重缺乏安全措施等较大风险的；

2.企业个人信息处理活动可能侵害众多个人的权益的；

3.企业发生个人信息安全事件，导致100万人以上个人信息或者10万人以上敏感个人信息泄露、篡改、丢失、毁损的。

随着我国对个人信息保护的监管力度不断增强，越来越多企业因个保问题被通报乃至处罚。以互联网行业为例，目前网信部门、工信部门都会针对App开展个人信息保护检查工作，并不定期通报存在个人信息保护违规的App情况，在《个保审计办法》正式生效后，不排除网信部门或工信部门会要求被通报的App的运营者进行强制审计。这将对违规的App运营者形成更大的监管压力，更有效促使App运营者做好事前合规工作，也能更好地监督App运营者做好合规整改，增强事后监管的效能。

个保审计评估由谁来主持与开展，同样是企业十分关注的问题。根据实施审计工作的主体分类，个保审计可大致分为“内部审计”与“专业机构审计”两种模式。

内部审计是指由企业内部机构自行开展合规个保审计工作。针对处理个人信息的规模达到100万人的企业，《个保审计办法》明确要求企业需要指定个人信息保护负责人，以负责个保审计工作。该要求实际上是对《个保法》第五十二条有关个人信息保护负责人设置的细化，也首次以部门规章的形式明确了企业必须设立个人信息保护负责人的判断标准。

如企业处理个人信息规模未达到前述数量要求，《个保审计办法》并未要求企业设置特定部门或机构开展个保审计工作，企业可以根据自身实际组织架构由信息安全、法务、合规、审计或其他部门主持开展审计工作，并由商务、业务等其他部门配合落实。

与内部审计相对应的，则是以来自于企业外部的专业机构主持开展个保审计的专业机构审计模式。

在“自主审计”情况下，企业可以自由选择由内部个保负责人主持进行“内部审计”还是聘雇第三方独立专业机构开展“专业机构审计”。然而，如企业因故被监管部门要求开展“强制审计”，则必须根据监管部门要求选定专业机构并开展个保审计，在审计完成后将审计报告报送到监管部门。

对于专业机构的选择，《个保审计办法》删除了原征求意见稿中关于相关部门建立专业机构推荐目录的条款，对专业机构提出的认证要求也仅是鼓励，而非强制要求，只要机构具备开展个保合规审计的能力，有与服务相适应的审计人员、场所、设施和资金，则可以提供专业机构审计服务，赋予企业更多的选择权。

为保证专业机构的独立性和客观性，《个保审计办法》部分借鉴了上市公司等特殊领域的财务审计轮换机制，要求同一专业机构及其关联机构、同一合规审计负责人不得连续三次以上对同一企业开展个人信息保护合规审计。《个保审计办法》鼓励专业机构通过相关认证，可以预见，未来市场监管部门将会联合网信部门等建立个保审计专业机构认证标准体系，逐步形成“个人信息处理者-个保审计专业机构-监管部门”多层级个人信息保护工作落实机制。

根据《个保审计办法》第十六、十七条，网信部门或其他具有个人信息保护监管职责的部门负责对个保审计情况进行监督和检查，接受和处理相关投诉举报。在发现企业存在“强制审计”触发情形时，上述部门均有权要求企业开展强制审计，该职责分配与《个保法》基本保持一致。

除了网信部门这一综合性个人信息保护执法机构外，企业还需根据自身领域和业务发展情况接受相应行业垂直监管部门监督，例如，银行、保险、担保、金融消费等金融服务机构可能受人民银行或金融管理部门的垂直监管，教育培训机构可能受教育部门的垂直监管。

对于提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，《个保审计办法》还强调该等主体（以下称“重要平台企业”）需要成立主要由外部成员组成的独立机构（以下称“个保独立监督机构”）对个保审计情况进行监督。个保独立监督机构属于企业内设组织，但根据《个保法》第五十八条规定，该机构需要主要由外部人士组成，其发挥类似于公司独立董事的作用，需对企业个保审计情况发表独立意见，具有一定外部监管性。本次《个保审计办法》出台，更直接地明确了个保独立监督机构的法定职责，也预示着未来国家可能会增强对个保独立监督机构设立、运作、履职等情况的监管，值得重要平台企业关注。

目前，推荐性国家标准《数据安全技术 大型互联网企业内设个人信息保护监督机构要求》正在批准流程中，从已经公开的2023年8月版征求意见稿来看，该标准将明确独立监督机构的组成人数、企业内部及外部成员比例要求、机构职能部门、机构职责、机构成员任职要求、企业保障机构正常运作的义务等，需要组建独立监督机构的企业可相应参照适用该标准。

为规范个保审计工作，《个保审计办法》的附件《个人信息保护合规审计指引》（以下称“《个保审计指引》”）提出二十六大审计要点，基本涵盖了《个保法》《网数条例》中与个人信息处理者有关的全部内容，包括个人信息处理的合法性基础、个人信息处理规则设置、告知义务落实情况、涉及共同处理等特殊个人信息处理法律关系等方方面面。

从具体实施面来看，过往容易被企业忽略的，或者普遍认为落实难度和成本较大的合规要求，也明确列入《个保审计指引》中，这在实践中给需要开展个保审计的企业形成更强的合规压力，例如：

• 在个人信息委托处理、对外提供、自动化决策等场景中，是否事先进行个人信息保护影响评估均被列为重点审查事项；

• 在个人信息删除权保障这一审计事项中，审计人员需要就法定应予删除的情景进行盘查，并且需通过合适的审计办法确认删除措施的落实情况；

• 在个人信息相关权利响应方面，企业对个人请求的处理意见以及执行结果也需进行严格审计。

需要关注的是，《个保审计指引》作为个保审计这一“考试”的核心“考纲”，其并不足以涵盖所有需审计内容。除了核心法律法规《个保法》《网数条例》外，《网络安全法》《数据保护法》中适用于个人信息保护的内容也不可避免需要考虑。同时，企业还需兼顾特殊业务场景的合规要求，部分行业监管条例也可能有特殊安排，例如：

• 前文提到过的《未成年人网络保护条例》对未成年人个人信息处理有特殊规定，业务涉及未成年人的企业进行个保审计时必然需要考虑该条例提出的要求；

• 管理公共安全监控的企业应留意即将于4月1日生效的《公共安全视频图像信息系统管理条例》，可能需将公共安全监控备案等合规要求纳入审计范围；

• 征信行业需要留意《征信业管理条例》对不良个人信息留存期限的专门性规定；

• 研究机构进行人类遗传物质研究时需注意遵守《人类遗传资源管理条例》中提到需要被采集者书面同意的要求。

对于部门规章或其他效力位阶更低的规范性文件，尽管这些内容不属于《个保审计办法》所明确的审计依据，但在法律、行政法规要求较为模糊或相关文本直接授权下级部门制定详细实施规则的情况下，在实际审计工作中也难以避免出现将较低位阶的规范性文件纳入审计范围，推荐性标准或无强制力的行政指导文件也可在法律法规规定模糊的情况下作为补充审计依据。

目前《个保审计办法》没有明确说明个保审计的实施流程，而相应的推荐性国家标准《数据安全技术 个人信息保护合规审计要求》（以下称“《个保审计要求标准》”）尚在征求意见过程中。如企业现时有开展个保审计的需求，可参照《个保审计要求标准》意见稿进行。

根据《个保审计要求标准》意见稿，个保审计推荐可分为审计准备、审计实施、审计报告、问题整改、归档管理五个阶段。在审计准备阶段，企业需根据规模和业务情况建立合理的审计组，并开展审前调查以了解大致情况，从而确定审计方式和审计方案。在审计实施阶段，审计人员需根据待审计内容，采取适宜的审计方法，例如对访谈、文件查阅、穿行测试、数据库抽检等，形成可采信的审计证据并妥善记录。审计实施完成后，审计人员应撰写审计报告，通过审计异议机制完成沟通，形成最终报告。在最终报告形成后，审计人员及企业均需妥善保存审计报告，并根据审计披露的问题进行跟踪整改。

个保审计是我国《个保法》下的关键配套制度，而《个保审计办法》的落地预示着我国对于个人信息保护工作再次迈出实质性的一步，同时为监管部门提供更确切的个人信息保护监管抓手。这也再次提醒企业需做好个人信息保护工作，增强个人信息处理合规性，尽快比照《个保审计办法》相关规定，落实好个保审计配套工作。

声明