编者按

2023年8月3日，国家互联网信息办公室发布《个人信息保护合规审计管理办法（征求意见稿）》（下称《审计办法》）。本专题在归纳《审计办法》中规定的合规审计的适用情形、启动情形、审查要点、审查流程、专业机构行为规范、相关法律责任等要点的同时，完整梳理了合规审计的概念及立法沿革及国外实践，并向作为个人信息处理者的企业提供依法开展合规审计的实务建议。

合规审计的概念

根据《审计办法》第三条的规定，合规审计是指对个人信息处理者的个人信息处理活动是否遵守法律、行政法规的情况进行审查和评价的监督活动。

从上述规定可以看出，合规审计是一种监督活动，包括审查和评价两个部分，审查和评价的对象是个人信息处理者的个人信息处理活动，审查和评价的标准是法律、行政法规，评价的结果应当体现个人信息处理者是否遵守法律、行政法规的内容。

作为对比，2020年生效的国家标准《信息安全技术个人信息安全规范（GB/T 35273-2020）》（以下简称“《个人信息安全规范》”）规定的“安全审计”，审计的对象是“个人信息保护政策、相关规程和安全措施”，评价的结果体现的是对象的“有效性”。合规审计的对象内涵更丰富，因为个人信息处理活动不仅包括活动本身，还包括为了开展活动而设置的制度、采用的技术措施，安全审计的对象则更为明确和具体。合规审计的评价侧重于个人信息处理的“法律符合性”，安全审计的评价则侧重于个人信息保护的“有效性”。但两者并不是泾渭分明的，因为从《审计办法》附件《个人信息保护合规审计参考要点》（以下简称《参考要点》）可以看出，合规审计的其中一项参考要点是“个人信息处理者采取的技术措施的有效性”，也就是对于“法律符合性”的评价还包括了对“有效性”的评价。究其缘由，是因《中华人民共和国个人信息保护法》（以下简称“《个保法》”）第五十一条规定了个人信息处理者应“采取相应的加密、去标识化等安全技术措施”，从而将技术措施的实施作为了一项合规义务。

返回顶部

合规审计的立法沿革

2020年生效的国家标准《个人信息安全规范》首次在我国个人信息保护领域对个人信息控制者提出了“安全审计”的要求。安全审计作为个人信息安全管理要求的重要组成，要求个人信息控制者建立自动化审计系统，监测记录个人信息处理活动，并对个人信息保护政策、相关规程和安全措施的有效性进行审计。由于《个人信息安全规范》仅是推荐性国家标准，因此有关个人信息保护的安全审计要求仍有待正式立法确认。

2021年8月通过的《个保法》则首次以法律的形式明确了个人信息保护领域中合规审计的法定义务。具体而言：

《个保法》第五十四条：个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。
《个保法》第六十四条：履行个人信息保护职责的部门在履行职责中，发现个人信息处理活动存在较大风险或者发生个人信息安全事件的，可以……或者要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。

根据上述条款，《个人信息保护法》将合规审计分为定期审计和监管审计两种形式，且明确了审计内容的依据为“法律、行政法规”。但是，上述条文暂未对个人信息处理者的合规审计义务进行详细的规定，个人信息处理者对自身应履行的合规审计义务仍存在一定的疑惑。

值得注意的是，2021年12月，由中国信通院云计算与大数据研究所牵头组织的个人信息保护合规审计推进小组发布了《关于推进个人信息保护合规审计的若干建议》，其中对个人信息审计的审计目标、原则、人员、内容、程序等方面设计了具体的框架。同时，电信终端产业协会还于2022年11月发布了团体标准《T/TAF 139-2022 电信和互联网个人信息保护能力审计规范》，并提出了一系列的审计目标、原则与框架，就审计制度、流程、人员、对象、方法等内容进行了规定。我们理解，虽然上述文件不具有法律效力，但仍具有一定的实践参考价值。

综上所述，我国在个人信息保护合规审计方面，暂无具有正式法律效力的具体规则。有鉴于此，2023年8月3日，国家网信办就《审计办法》公开征求意见，旨在及时弥补在合规审计方面的规则空白。《审计办法》一方面承继了此前《个保法》对合规审计的二分形式，另一方面，进一步明确了开展审计工作的个人信息处理者、专业机构和履行个人信息保护职责部门的三方角色与义务。我们理解，《审计办法》在遵循既有的一般审计原则和《个保法》的基础上，提出了针对不同类型主体的合规审计规则，这不仅是网信部门积极履行其职责的体现，更是我国在个人信息保护合规审计方面的重要步态。

返回顶部

合规审计的适用情形

《审计办法》细化和补充了《个保法》第54条和第64条规定的个人信息保护合规审计要求，并将合规审计的触发情形区分为“定期自主审计”与监管部门认为个人信息处理活动存在较大风险或者发生个人信息安全事件时要求的“不定期强制审计”两类。

定期自主审计

《个保法》第54条要求个人信息处理者应当定期开展合规审计。《审计办法》根据个人信息处理者的处理活动规模，进一步要求处理超过100万人个人信息的个人信息处理者，应当每年至少开展一次合规审计；其他个人信息处理者，应当每两年至少开展一次合规审计（第4条）。

不定期强制审计

《个保法》第64条规定履行个人信息保护职责的部门在履行职责中，发现个人信息处理活动存在较大风险或者发生个人信息安全事件的，可以要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。

《审计办法》对审计机构的推荐和选择也确定了一系列要求，负责开展合规审计的专业机构的推荐目录由国家网信部门会同公安机关等部门建立，并特别提出执行合规审计的专业机构应当保持独立性和客观性，连续为同一审计对象开展个人信息保护合规审计不得超过三次。

返回顶部

不定期强制审计的具体要求

《审计办法》就本情形进一步规定了个人信息处理者应履行的义务：

选定机构（《审计办法》第7条、第13条）：推荐个人信息处理者参考有关部门制定的合规审计专业机构推荐目录，委托第三方机构尽快开展审计。
协助配合（《审计办法》第8条）：在专业机构开展合规审计时予以协助配合，包括提供或者协助查阅相关文件或资料、协助进入个人信息处理活动相关场所，调查、测试相关业务活动及所依赖的信息系统与相关设备设施，调取、查阅个人信息处理活动相关数据或信息，访谈与个人信息处理活动有关的人员，配合专业机构的调查、质询和取证等开展合规审计工作必需的权限。
按时完成（《审计办法》第9条）：一般情况下，不定期强制审计应当在90个工作日内完成，情况复杂时可以适当延长。
开展整改（《审计办法》第10条、第11条）：应当按照专业机构给出的整改建议进行整改，并由专业机构进行复核。
成果报送（《审计办法》第10条、第11条）：将专业机构出具的合规审计报告及整改情况报送履行个人信息保护职责的部门。

返回顶部

合规审计的主体和启动条件

《个保法》第五十四条和第六十四条规定了两类合规审计的发起情形。《审计办法》则基于该等规定进行了细化。

对于定期合规审计义务，在定期的频率上作出了细化，区分了两类主体（《审计办法》第四条），即：

对于专项合规审计义务，《审计办法》延续了《个保法》第六十四条的规定，即在监管部门发现个人信息处理活动存在较大风险或者发生个人信息安全事件的，可以要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计（《审计办法》第六条）。需要注意的是，根据《个保法》第六十条的规定，国家网信部门、国务院有关部门、县级以上地方政府有关部门都属于监管部门，所以可能要求个人信息处理者开展专项合规审计的监管部门并不是单一部门。

对于具体开展合规审计工作的主体，《审计办法》也延续了《个保法》的规定，即：

返回顶部

合规审计的审查要点

《审计办法》在附件《参考要点》中详细列举了个人信息处理者或其委托的专业机构在开展合规审计时审查事项，与《个保法》中各章规定相对应，同时纳入了如《个人信息安全规范》等行政法规和国家标准的要求，基本囊括了个人信息处理全流程各环节，具体可分为如下五个模块：

个人信息处理规则
《参考要点》第2-14条：《参考要点》对应《个保法》第二章内容，对个人信息处理的合法性基础、处理规则、告知、共同处理、委托处理、合并/分立/重组/破产、提供、自动化决策、公开、公共场所采集、已公开信息、敏感个人信息、未成年人个人信息等要求提出了审计要点。

个人信息跨境提供规则

《参考要点》第15-16条：《参考要点》对应《个保法》第三章内容，对个人信息出境活动所选择的合规路径、基于司法执法或条约协定的个人信息出境、为保障境外接收方处理个人信息的活动达到《个保法》规定标准所采取的措施等要求提出了审计要点。

个人信息主体权利保障

《参考要点》第17-19条：《参考要点》对应《个保法》第四章内容，对个人信息权利申请受理以及个人信息主体所享有的查阅、复制、转移、更正、补充、删除、要求对个人信息处理规则解释说明等权利保障要求提出了审计要点。

个人信息处理者的义务

《参考要点》第20-27条：《参考要点》对应《个保法》第五章内容，对个人信息处理者主体责任、管理措施、技术措施、人员培训、个保负责人、个人信息保护影响评估、个人信息安全应急等要求提出了审计要点。

大型互联网平台特殊责任

《参考要点》第28-31条：《参考要点》对应《个保法》第58条内容，对个人信息保护独立监督机构、互联网平台规则、平台内的产品或者服务提供者监督、个人信息保护社会责任报告等方面提出了审计要点。

返回顶部

个人信息合规审计流程

审计频次：第4条明确，处理超过100万人个人信息的个人信息处理者，应当每年至少开展一次审计；其他个人信息处理者应当每二年至少开展一次审计。

审计方式：第5条规定，可根据实际情况，由组织内部机构或者委托专业机构按照《办法草案》要求开展。

应要求开展的合规审计

审计方式：第7条规定，应要求开展的合规审计，必须由个人信息处理者委托专业机构进行，而不能自行开展。为保证专业机构的独立性与客观性，第12条强调，连续为同一审计对象开展个人信息保护合规审计不得超过三次；

配合义务：第8条规定了个人信息处理者对委托机构的配合义务，应保证专业机构能够查阅文件或资料、进行实地调查、检查设备与数据、访谈有关人员等；

审计时限：第9条要求在90个工作日内完成审计；情况复杂的，报经履行个人信息保护职责的部门批准后可适当延长；

报送与整改：根据第10条，个人信息处理者应将专业机构出具的审计报告报送履行个人信息保护职责的部门，报告应当由合规审计负责人、专业机构负责人签字并加盖专业机构公章。此外，第11条要求个人信息处理者按照整改建议进行整改，经专业机构复核后将整改情况再行报送。

图：应监管要求审计的具体流程要求

返回顶部

专业机构行为规范

应监管要求开展审计时，个人信息处理者需委托专业机构开展合规审计，个人信息处理者定期自行开展审计时亦可委托专业机构开展。《审计办法》对专业机构的选聘和行为规范着墨颇多：

专业机构名录：国家网信办会同公安机关等国务院有关部门按照统筹规划、合理布局、择优推荐的原则建立个人信息保护合规审计专业机构推荐目录，每年组织开展个人信息保护合规审计专业机构评估评价，并根据评估评价情况动态调整个人信息保护合规审计专业机构推荐目录。

独立性和客观性：同一专业机构连续为同一审计对象开展个人信息合规审计不能超过3次。

不得转委托：专业机构不能转包委托第三方开展相关审计工作。

数据保密义务：专业机构在审计工作中获得的信息不能用于其他用途，且应采取措施保障数据安全。

审计真实性：如出具虚假报告等违规行为，将被永久禁止列入推荐目录。

返回顶部

违反《审计办法》的法律责任

《审计办法》第15条规定了转致条款，指出针对个人信息处理者违规的处罚措施按照《个保法》的规定处理。根据《个保法》第七章法律责任的规定，未履行合规审计相关义务的个人信息处理者可能面临如下处罚：

由监管部门责令改正，给予警告，没收违法所得，对违法处理个人信息的应用程序，责令暂停或者终止提供服务；
拒不改正的，并处一百万元以下罚款；
有前款规定的违法行为，情节严重的，由省级以上监管部门责令改正，没收违法所得，并处五千万元以下或者上一年度营业额百分之五以下罚款，并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照；
依照有关法律、行政法规的规定记入信用档案，并予以公示。

对于直接负责的主管人员和其他直接责任人员：

拒不改正的，处一万元以上十万元以下罚款；
有前款规定的违法行为，情节严重的，处十万元以上一百万元以下罚款，并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。

返回顶部

个人信息保护合规审计的国际视野

合规审计作为一种判断相关企业个人信息处理活动是否合法合规的监督手段，在不同司法辖区都有适用的先例。

欧盟

作为世界范围内颇具影响力的个人信息保护立法，欧盟《通用数据保护条例》（General Data Protection Regulation，以下简称“GDPR”）较早地提出了数据保护审计（Data Protection Audit）的概念，并将数据保护审计作为核查、判断数据处理者以及数据控制者是否遵循GDPR处理个人信息的手段。在GDPR中，关于数据保护审计的要求分别出现在第28条、39条、47条和58条。

我们理解，在GDPR的规范体系下，数据保护审计是对数据控制者和数据处理者已开展的个人信息处理活动遵守GDPR及相关数据保护规范情况进行核查和评判的一种手段，相关企业既可以通过合规审计证明自身个人信息处理行为的合法合规性，监管部门也可通过要求企业进行合规审计的方式，固定相关企业处理个人信息的事实情况。和GDPR第35条规定的数据保护影响评估相比，数据保护审计的特点在于：

首先，数据保护影响评估属于相关企业在开展数据处理活动的事前采取的措施，旨在评估开展数据处理活动的风险。而数据保护审计则是数据处理活动发生后用于评价其是否符合法律要求的手段，相关企业可将合规审计结果作为自身全面履行数据保护义务的有力证明。

其次，数据保护审计除了依据GDPR的规定由企业自主开展外，在特定情形下审计还可能由监管部门提起，此时则具有公权力的监管性质，具有一定的强制性。在GDPR规范下，强制性的数据保护审计的权力落入了欧盟数据保护监管机构（European Data Protection Supervisor，以下简称“EDPS”）的职权范围内。对此，EDPS在2021年6月发布了《数据保护审计的说明：审查注意事项》（What to expect when we inspect: Data protection audits explained），向公众说明强制性数据保护审计的触发情形、原因、主体和阶段。在此基础上，EDPS在于同年12月通过的《EDPS审计指南》（EDPS Audit Guidelines， adopted in December 2021）中进一步明确了数据保护审计的定义、触发条件、规范基础、步骤、救济、结果公开等内容。虽然该指南本身并非为具有正式法律效力的立法，但其为欧盟成员国的监管提供了指导和建议。

英国

英国在个人信息保护领域的合规审计方面也实现了颇具特色的制度创新。作为英国的数据监管机构，英国信息专员办公室（Information Commissioner’s Office，以下简称“ICO”）还开展了以自愿为基础、由监管机构组织开展的数据保护审计活动。

ICO于2022年5月发布了《数据审计指南》（A Guide to ICO Audits），其明确提出了进行数据审计的益处例如展示相关企业对数据保护及个人权利的重视和保护，同时，其还明确了数据审计的重点、审计方案制定与审计方法等内容。一方面，ICO开展的自愿性审计不收取费用，使得相关企业可以免费获取ICO的资源；另一方面，ICO可向被审计单位出具包含数据保护风险、审计意见等内容的审计报告，且被审计单位将被要求接受或部分接受相关建议，并据此制定行动计划。此外，需要注意的是，在创新的自愿性申请审计制度外，ICO同样具有以数据保护审查形式开展强制调查的权力。

美国

相较于欧盟，美国虽然暂不具有类似于GDPR、适用于整体联邦层面的个人信息保护立法，但是具有立法权的各州对数据保护提出了不同的审计要求。其中，最具影响力、最为典型的即是加利福尼亚州的个人信息保护立法。具体而言，以《加州消费者隐私法（CCPA）》为基础的《加州隐私权法案（CPRA）》引入了年度网络安全审计的要求，引起了社会的广泛关注。具体而言，加利福尼亚州要求在个人信息处理活动中“对消费者隐私或安全构成重大风险”的企业应当进行年度网络安全审计，该审计须每年进行一次，企业应当明确审计范围并通过审计程序确保审计的彻底性和独立性。而在界定“对消费者隐私或安全构成重大风险”时，应考虑的因素包括企业的规模和复杂性以及信息处理活动的性质和范围。但尽管如此，企业如何开展网络安全审计工作仍存在一定的不确定性和模糊性。因此，加利福尼亚州开展网络安全审计的实践情况还需要进一步观察相关的立法和执法情况。

在欧美之外，俄罗斯的《联邦个人数据法》、印度《个人数据保护法》也对数据保护审计进行了规定。可见，数据保护审计正逐渐成为各个司法辖区数据保护与监管领域中促进企业数据合规、保护数据安全的制度工具。我国在《个人信息保护法》中规定个人信息保护合规审计也顺应了这一国际趋势，并在此基础上积极制定合规审计的具体规则，指导相关个人信息处理者具体开展合规审计的行为。