《個(gè)人信息保護(hù)合規(guī)審計(jì)管理辦法》于近日公布，將自2025年5月1日起施行。作為落實(shí)個(gè)人信息保護(hù)治理體系的重要抓手之一，個(gè)人信息保護(hù)合規(guī)審計(jì)應(yīng)如何開展，將為相關(guān)行業(yè)和個(gè)人帶來哪些影響？南都大數(shù)據(jù)研究院推出系列解讀報(bào)道，從辦法背景、特色亮點(diǎn)、審計(jì)實(shí)務(wù)、行業(yè)影響等方面進(jìn)行詳細(xì)解讀。

　　第一篇從治理背景出發(fā)，了解個(gè)保合規(guī)審計(jì)的治理目標(biāo)，如何與其他法律法規(guī)、相關(guān)標(biāo)準(zhǔn)共同構(gòu)筑我國個(gè)人信息保護(hù)治理體系。

　　歷經(jīng)多次征求意見，《個(gè)人信息保護(hù)合規(guī)審計(jì)管理辦法》（以下簡稱《辦法》）近日塵埃落定。為什么要開展個(gè)人信息保護(hù)合規(guī)審計(jì)（以下簡稱“合規(guī)審計(jì)”），旨在解決個(gè)人信息保護(hù)治理實(shí)踐中的哪些難題？新規(guī)落地在即，多位專家接受南都大數(shù)據(jù)研究院采訪時(shí)認(rèn)為，在市場主體日益增多的當(dāng)下，合規(guī)審計(jì)能推動個(gè)人信息處理者主動提高合規(guī)水平，筑牢個(gè)保防線，體現(xiàn)政府監(jiān)管和行業(yè)自律二者并重的治理思路。

　　個(gè)人信息保護(hù)合規(guī)審計(jì)，是指對個(gè)人信息處理者的個(gè)人信息處理活動是否遵守法律、行政法規(guī)的情況進(jìn)行審查和評價(jià)的監(jiān)督活動。梳理相關(guān)法律法規(guī)可見，早在2021年11月1日起施行的《中華人民共和國個(gè)人信息保護(hù)法》,已在法律層面明確“個(gè)人信息處理者應(yīng)當(dāng)定期對其處理個(gè)人信息遵守法律、行政法規(guī)的情況進(jìn)行合規(guī)審計(jì)”，意味著合規(guī)審計(jì)成為個(gè)人信息處理者的一項(xiàng)法定義務(wù)。此外，近年出臺的《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》《未成年人網(wǎng)絡(luò)保護(hù)條例》《工業(yè)和信息化部關(guān)于進(jìn)一步提升移動互聯(lián)網(wǎng)應(yīng)用服務(wù)能力的通知》等均對數(shù)據(jù)處理者提出合規(guī)審計(jì)要求。

　　合規(guī)審計(jì)備受重視，多份政策文件中均可見其身影。中國電子技術(shù)標(biāo)準(zhǔn)化研究院副院長范科峰介紹，個(gè)人信息保護(hù)是一個(gè)持續(xù)性、迭代性、動態(tài)性的過程。開展合規(guī)審計(jì)，將有助于個(gè)人信息處理者和履行個(gè)人信息保護(hù)職責(zé)的部門（以下簡稱“保護(hù)部門”）在檢查、評估、認(rèn)證的基礎(chǔ)上，構(gòu)建以審計(jì)為監(jiān)督抓手的多層次個(gè)人信息保護(hù)體系，通過合規(guī)審計(jì)事項(xiàng)有效銜接各項(xiàng)個(gè)人信息保護(hù)工作，并以獨(dú)立視角審查和評價(jià)個(gè)人信息處理活動，極大提高個(gè)人信息處理合規(guī)水平。

　　作為一種監(jiān)督機(jī)制，審計(jì)在財(cái)務(wù)收支、企業(yè)經(jīng)營管理等方面應(yīng)用已久。為何要在個(gè)人信息保護(hù)領(lǐng)域提出審計(jì)這一要求？不少專家提到，合規(guī)審計(jì)制度的優(yōu)點(diǎn)在于，通過獨(dú)立客觀的審計(jì)活動，以《個(gè)人信息保護(hù)法》等法律法規(guī)作為審計(jì)依據(jù)，“逐條逐項(xiàng)”地確保個(gè)人信息保護(hù)制度落地落實(shí)。

　　九游體育ninegame 九游體育官方平臺

　　中國網(wǎng)絡(luò)空間安全協(xié)會副秘書長杜阿寧介紹，在數(shù)據(jù)成為新生產(chǎn)要素的背景下，個(gè)人信息的安全利用有助于加速數(shù)據(jù)要素流通，深度釋放數(shù)據(jù)價(jià)值，推動數(shù)字經(jīng)濟(jì)持續(xù)健康發(fā)展。依法依規(guī)進(jìn)行的合規(guī)審計(jì)能提升個(gè)人信息處理者的安全保障能力，增強(qiáng)個(gè)人信息主體對個(gè)人信息安全的信心，從而愿意提供更多的數(shù)據(jù)資源，也積極支持個(gè)人信息處理者的深度挖掘、利用和共享等。加強(qiáng)合規(guī)審計(jì)工作，是確保個(gè)人信息保護(hù)工作落到實(shí)處、取得實(shí)效的重要舉措，也是推動數(shù)字經(jīng)濟(jì)健康發(fā)展的必然選擇。

　　那么，與公眾熟知的財(cái)務(wù)審計(jì)相比較，個(gè)人信息保護(hù)合規(guī)審計(jì)有哪些區(qū)別？深圳市網(wǎng)絡(luò)數(shù)據(jù)合規(guī)與流通促進(jìn)會秘書長丁振贛表示，個(gè)人信息保護(hù)合規(guī)審計(jì)和財(cái)務(wù)審計(jì)的上位法不同、適用的方法和規(guī)則也不同，但二者的本質(zhì)特征共通，均要求審計(jì)人員、審計(jì)組要有獨(dú)立性和客觀性。

　　廣州數(shù)據(jù)交易所法務(wù)合規(guī)部孫薇、鄧洪亮撰文認(rèn)為，個(gè)人信息保護(hù)合規(guī)審計(jì)應(yīng)屬審計(jì)的特別分支，工作開展同樣可分為審計(jì)準(zhǔn)備、審計(jì)實(shí)施、審計(jì)報(bào)告、整改與復(fù)評、檔案歸檔與保存等五大步驟。

　　多位專家接受南都大數(shù)據(jù)研究院采訪時(shí)表示，合規(guī)審計(jì)一方面有助于推動企業(yè)等個(gè)人信息處理者主動履行相關(guān)義務(wù)，另一方面有助于緩解保護(hù)部門的執(zhí)法壓力。

　　丁振贛表示，在數(shù)字經(jīng)濟(jì)高速發(fā)展的當(dāng)下，市場主體日益增多，客觀上講，保護(hù)部門全方位監(jiān)管有難度，而且當(dāng)企業(yè)常處于被檢查的視角下，容易產(chǎn)生一定情緒。而合規(guī)審計(jì)更強(qiáng)調(diào)企業(yè)根據(jù)審計(jì)結(jié)果進(jìn)行整改，主動提高合規(guī)水平。

　　中國信息通信研究院云計(jì)算與大數(shù)據(jù)研究所審計(jì)與治理部主任楊玲玲也指出，合規(guī)審計(jì)旨在通過要求企業(yè)建立獨(dú)立監(jiān)督機(jī)制，識別和發(fā)現(xiàn)自身個(gè)人信息處理活動存在的問題和風(fēng)險(xiǎn)，推動形成“審計(jì)發(fā)現(xiàn)問題-優(yōu)化合規(guī)體系-落實(shí)合規(guī)要求”的螺旋機(jī)制，筑牢個(gè)人信息保護(hù)合規(guī)防線。

　　楊玲玲向南都記者表示，落實(shí)合規(guī)審計(jì)不但能識別和發(fā)現(xiàn)企業(yè)自身在個(gè)人信息保護(hù)方面存在的合規(guī)權(quán)責(zé)不對等、管理制度執(zhí)行不落地、合規(guī)管控措施薄弱等現(xiàn)存問題，發(fā)揮“治已病”的基礎(chǔ)作用，更能發(fā)揮“防未病”的長效作用，注重源頭治理并提前預(yù)警，預(yù)防和發(fā)現(xiàn)可能存在的風(fēng)險(xiǎn)隱患，有效地避免問題發(fā)生，或?qū)栴}控制在萌芽狀態(tài)，是企業(yè)積極主動履行社會責(zé)任的重要表現(xiàn)。

　　值得注意的是，《辦法》出臺不意味著其他監(jiān)管方式的弱化，而是體現(xiàn)政府監(jiān)管和行業(yè)自律二者并重的治理思路。多位專家向南都記者強(qiáng)調(diào)，我國法律、行政法規(guī)和部門規(guī)章等規(guī)定了個(gè)人信息保護(hù)的多種監(jiān)管方式，不同的監(jiān)管方式適用于不同的個(gè)人信息處理者和不同的應(yīng)用場景，合規(guī)審計(jì)只是其中的一種。

　　中國人民大學(xué)法學(xué)院教授、中國法學(xué)會網(wǎng)絡(luò)信息法學(xué)研究會副會長張新寶表示，將審計(jì)引入個(gè)人信息保護(hù)監(jiān)管，有利于評估個(gè)人信息處理者在個(gè)人信息保護(hù)方面落實(shí)法律法規(guī)規(guī)定的情況和發(fā)現(xiàn)存在的問題，進(jìn)而有針對性進(jìn)行整改。這種“查賬”和“對標(biāo)”的監(jiān)管方式，更便于將法律法規(guī)的規(guī)定落到實(shí)處，也有利于發(fā)揮企業(yè)自律方面的積極性。

　　從《辦法》規(guī)定個(gè)人信息處理者開展合規(guī)審計(jì)的兩種情形，也可看出這一思路。《辦法》提出，個(gè)人信息處理者應(yīng)自行開展合規(guī)審計(jì)，其中，處理超過1000萬人個(gè)人信息的個(gè)人信息處理者，應(yīng)當(dāng)每兩年至少開展一次合規(guī)審計(jì)。同時(shí)，保護(hù)部門發(fā)現(xiàn)個(gè)人信息處理活動存在較大風(fēng)險(xiǎn)、可能侵害眾多個(gè)人的權(quán)益或者發(fā)生個(gè)人信息安全事件的，可以要求個(gè)人信息處理者委托專業(yè)機(jī)構(gòu)對個(gè)人信息處理活動進(jìn)行合規(guī)審計(jì)。

　　九游體育ninegame 九游體育官方平臺

　　在中國信息通信研究院副院長魏亮看來，對于個(gè)人信息處理者，合規(guī)審計(jì)是推動內(nèi)部持續(xù)完善個(gè)人信息保護(hù)合規(guī)體系的重要手段；對于保護(hù)部門，合規(guī)審計(jì)則是落實(shí)我國個(gè)人信息保護(hù)治理體系的一項(xiàng)重要監(jiān)督舉措。

　　國家網(wǎng)信辦數(shù)據(jù)與技術(shù)保障中心副主任王志成也撰文表示，監(jiān)管部門主導(dǎo)和社會力量參與的協(xié)同，是提高數(shù)據(jù)治理能力的客觀需要，也貫穿于《辦法》的始終?！巴苿诱O(jiān)管和行業(yè)自律形成合力，是提升數(shù)據(jù)治理能力的現(xiàn)實(shí)需要，也是《辦法》制定中著重考慮的問題”。