专业文章
Article简评《个人信息保护合规审计管理办法》
作者:admin 发布时间:2025-07-10
作者:安国良、张晴
为落实《中华人民共和国个人信息保护法》、《网络数据安全管理条例》对个人信息处理者开展合规审计的要求,国家互联网信息办公室于2024年5月20日第15次审议通过《个人信息保护合规审计管理办法》(以下简称《办法》),并于2025年2月12日公布,自2025年5月1日起施行。《办法》对个人信息保护合规审计活动的开展、合规审计机构的选择、合规审计的频次、个人信息处理者和专业机构在合规审计中的义务等作出细化规定,旨在为个人信息处理者开展个人信息保护合规审计提供系统性、针对性、可操作性的规范,提升个人信息处理活动合法合规水平,保护个人信息权益。
只要是涉及到个人信息的收集、存储、使用、加工、传输、提供、公开、删除等处理行为的个人信息处理者,均需要按照《办法》进行合规审计。具体而言,又分为自行开展和按照要求开展。
(一)自行开展
(二)按照要求开展
保护部门发现个人信息处理活动存在较大风险、可能侵害众多个人的权益或者发生个人信息安全事件的,可以要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。在专业机构的选择上,《办法》并没有强制性的要求,我们建议,可以从审计机构资质和信誉、业务经验和专业领域、服务质量和价格,以及审计人员的专业水平及从业经历等方面综合考虑。
《办法》在其附件中制定了《个人信息保护合规审计指引》(以下简称《指引》),《指引》从二十六个方面对个人信息保护相关法律、行政法规的关键要点作了梳理,从合规审计的角度进行了细化,以便于个人信息处理者对个人信息处理活动是否遵守法律、行政法规要求进行审查和评价。
根据我们此前项目的经验,如何将《办法》及《指引》的要求结合企业自身情况落地,发现审计风险,提出适宜的审计建议,是一项复杂且具有挑战的工作。首先,需要有一个合规审计“抓手”。通常来说,由企业的个人信息保护部门或者个人信息保护负责人来牵头,把控个人信息保护合规审计工作,搭建内部合规审计团队或聘请外部审计机构,推动审计工作有序开展。对于没有专门设置相关部门或人员的企业,建议从合规团队、信息安全团队、法务团队选派合适人选。其次,由承办合规审计的部门或机构开展审计前工作准备。前期工作的细致程度影响甚至决定着合规审计的效率和成果。比如,基于初步了解制作审计调查清单,制定访谈计划及访谈大纲,收集公开渠道获取的信息和材料等。再次,根据前期准备的情况开展合规审计。通常我们会采取现场和非现场相结合的方式开展,提高审计工作质量。最后,收集审计底稿,编制审计报告。审计报告是发表审计意见的书面文件,应包括但不限于审计概况、审计依据、审计结论、审计发现、审计意见、审计建议等。
