《个人信息保护合规审计管理办法（征求意见稿）》要点简析

关注要点

• 《个人信息保护合规审计办法》若正式发布，将对所有处理个人信息的企业都适用。

• 自主审计频次根据个人信息处理数量有区分：处理超过100万人个人信息的个人信息处理者每年应至少开展一次个人信息保护合规审计；其他个人信息处理者每二年至少开展一次个人信息保护合规审计。

• 自主审计方式包括企业自行或委托网信部门认定的专业机构进行合规审计。但同一家审计机构连续为同一审计对象开展个人信息保护合规审计不得超过三次。

• 个人信息处理活动存在较大风险或者发生个人信息安全事件的，个人信息保护职责的部门可以要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。

• 合规审计的审查要点体现《个保法》及国家标准的要求。要点包含个人信息处理规则、个人信息跨境提供、个人信息主体权利保障、个人信息处理者的义务、大型互联网平台特殊责任等方面。

阅读全文

2023年8月3日，国家互联网信息办公室发布《个人信息保护合规审计管理办法（征求意见稿）》（下称“《审计办法》”）。意见反馈截止时间为2023年9月2日。本文拟就《审计办法》中规定的合规审计的适用情形、审查要点、法律责任进行简要分析，并向作为个人信息处理者的企业提供依法开展合规审计的建议。

一、合规审计的适用情形

《审计办法》细化和补充了《个人信息保护法》（下称“《个保法》”）第54条和第64条规定的个人信息保护合规审计要求（下称“合规审计”），并将合规审计的触发情形区分为“定期自主审计”与监管部门认为个人信息处理活动存在较大风险或者发生个人信息安全事件时要求的“不定期强制审计”两类。

(1) 定期自主审计

《个保法》第54条要求个人信息处理者应当定期开展合规审计。《审计办法》根据个人信息处理者的处理活动规模，进一步要求处理超过100万人个人信息的个人信息处理者，应当每年至少开展一次合规审计；其他个人信息处理者，应当每两年至少开展一次合规审计（第4条）。

(2) 不定期强制审计

《个保法》第64条规定履行个人信息保护职责的部门在履行职责中，发现个人信息处理活动存在较大风险或者发生个人信息安全事件的，可以要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。

《审计办法》对审计机构的推荐和选择也确定了一系列要求，负责开展合规审计的专业机构的推荐目录由国家网信部门会同公安机关等部门建立，并特别提出执行合规审计的专业机构应当保持独立性和客观性，连续为同一审计对象开展个人信息保护合规审计不得超过三次。

二、不定期强制审计的具体要求

《审计办法》就本情形进一步规定了个人信息处理者应履行的义务：

• 选定机构（《审计办法》第7条、第13条）：推荐个人信息处理者参考有关部门制定的合规审计专业机构推荐目录，委托第三方机构尽快开展审计。

• 协助配合（《审计办法》第8条）：在专业机构开展合规审计时予以协助配合，包括提供或者协助查阅相关文件或资料、协助进入个人信息处理活动相关场所，调查、测试相关业务活动及所依赖的信息系统与相关设备设施，调取、查阅个人信息处理活动相关数据或信息，访谈与个人信息处理活动有关的人员，配合专业机构的调查、质询和取证等开展合规审计工作必需的权限。

• 按时完成（《审计办法》第9条）：一般情况下，不定期强制审计应当在90个工作日内完成，情况复杂时可以适当延长。

• 开展整改（《审计办法》第10条、第11条）：应当按照专业机构给出的整改建议进行整改，并由专业机构进行复核。

• 成果报送（《审计办法》第10条、第11条）：将专业机构出具的合规审计报告及整改情况报送履行个人信息保护职责的部门。

三、合规审计的审查要点

《审计办法》在附件《个人信息保护合规审计参考要点》（下称“《参考要点》”）中详细列举了个人信息处理者或其委托的专业机构在开展合规审计时审查事项，与《个保法》中各章规定相对应，同时纳入了如《信息安全技术 个人信息安全规范》等行政法规和国家标准的要求，基本囊括了个人信息处理全流程各环节，具体可分为如下五个模块：

• 个人信息处理规则（《参考要点》第2-14条）：《参考要点》对应《个保法》第二章内容，对个人信息处理的合法性基础、处理规则、告知、共同处理、委托处理、合并/分立/重组/破产、提供、自动化决策、公开、公共场所采集、已公开信息、敏感个人信息、未成年人个人信息等要求提出了审计要点。

• 个人信息跨境提供规则（《参考要点》第15-16条）：《参考要点》对应《个保法》第三章内容，对个人信息出境活动所选择的合规路径、基于司法执法或条约协定的个人信息出境、为保障境外接收方处理个人信息的活动达到《个保法》规定标准所采取的措施等要求提出了审计要点。

• 个人信息主体权利保障（《参考要点》第17-19条）：《参考要点》对应《个保法》第四章内容，对个人信息权利申请受理以及个人信息主体所享有的查阅、复制、转移、更正、补充、删除、要求对个人信息处理规则解释说明等权利保障要求提出了审计要点。

• 个人信息处理者的义务（《参考要点》第20-27条）：《参考要点》对应《个保法》第五章内容，对个人信息处理者主体责任、管理措施、技术措施、人员培训、个保负责人、个人信息保护影响评估、个人信息安全应急等要求提出了审计要点。

• 大型互联网平台特殊责任（《参考要点》第28-31条）：《参考要点》对应《个保法》第58条内容，对个人信息保护独立监督机构、互联网平台规则、平台内的产品或者服务提供者监督、个人信息保护社会责任报告等方面提出了审计要点。

《参考要点》第一条指出其目的为开展合规审计提供参考。因此，我们理解各企业及审计机构也可在《参考要点》的基础上根据自身情况进行相应的调整和补充。 

四、违反《审计办法》的法律责任

《审计办法》第15条规定了转致条款，指出针对个人信息处理者违规的处罚措施按照《个保法》的规定处理。根据《个保法》第七章法律责任的规定，未履行合规审计相关义务的个人信息处理者可能面临如下处罚：由履行个人信息保护职责的部门责令改正，给予警告，没收违法所得，责令暂停或者终止违法处理个人信息的应用程序服务，处一百万元以下罚款；情节严重的，处五千万元以下或者上一年度营业额百分之五以下罚款，并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照。

同时，对于个人信息处理者直接负责的主管人员和其他直接责任人员，拒不改正的，处一万元以上十万元以下罚款；若情节严重，处十万元以上一百万元以下罚款，并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。

五、我们的建议

《审计办法》征求意见稿的发布，体现了我国在个人信息保护方面的立法与监管不断加强的态势，向个人信息处理者着重提示了开展合规审计的重要性、列明了开展合规审计的具体要求和方式。此外，我们理解企业在完成合规审计后形成的相应报告及其形成的记录文档也可作为合规性证明,帮助企业在政府、相关机构或商业伙伴的调查、执法、合规性审计等活动中证明其遵守了个人信息保护与数据安全等方面的法律、法规和标准的要求。

尽管《审计办法》正式版本的发布尚需时日，我们建议企业应尽早根据征求意见稿的要求，并结合自身业务与管理体系特点，建立内部个人信息保护合规审计工作机制，为《审计办法》正式实施后所需开展的合规审计在组织领导、人员配置、技术支持、外部合作等方面做好准备。