专家解读 | 如何有效实施个人信息保护合规审计 ——（上篇）制度要点

个人信息保护合规审计是《个人信息保护法》项下个人信息处理者的法定义务，也是落实多层次个人信息保护监督体系的重要手段。2023年8月，国家互联网信息办公室发布《个人信息保护合规审计管理办法（征求意见稿）》（以下简称“合规审计办法”），进一步明确和细化了个人信息保护审计的适用情形、工作流程、参考要点等事项，推动个人信息保护合规审计从原则性要求到“可落地、可执行”的转变。我们将结合开展合规审计的项目经验，分三篇文章说明如何有效实施个人信息保护合规审计。

 个人信息保护合规审计是什么？

个人信息保护合规审计不是一般意义上的风险评估、风险监测、认证，风险评估、风险监测是内部合规管理的工作内容，目的是实现对个人信息处理活动的风险控制；认证则是第三方评价机制，由第三方机构对产品、服务或企业的管理体系、人员能力等做出评价，从而可供社会对评价结果进行采信。

同时，基于个人信息保护合规审计的监督性质，企业并不能一边实施个人信息保护合规审计，一边进行合规整改，从而得出符合法律法规要求的结论。只有在完成个人信息保护合规审计后，企业才能根据发现的问题进行整改，否则个人信息保护合规审计就丧失了监督的作用与功能。

个人信息保护合规审计的审计原则

由于个人信息保护合规审计的独立监督活动的性质，个人信息保护合规审计最重要的原则就是独立性、客观性、公正性。

独立性原则要求实施审计的人员独立于审计活动，审计人员与被审计的对象没有利益关系。在《合规审计办法》项下，企业可以自己开展个人信息保护合规审计，也可以委托专业机构开展。如果是委托外部专业机构开展，为了确保专业机构的独立性，《合规审计办法》要求执行个人信息保护合规审计的专业机构连续为同一审计对象开展个人信息保护合规审计不得超过三次。

如果审计过程中遇到的重大障碍，以及审计组和被审计方之间没有解决的分歧，应当及时向审计组提交真实、准确、完整的书面报告。

个人信息保护合规审计的审计权限

《合规审计办法》规定了委托专业机构开展个人信息保护合规审计应当能够正常行使的多项权限，包括要求提供或者协助查阅相关文件或资料、调查相关业务活动及所依赖的信息系统、访谈与个人信息处理活动有关的人员等。企业应当注重上述权限行使的“全面性”，确保上述所有权限都能正常行使，而非仅有一项或者几项能够行使。例如，如果个人信息保护合规审计仅通过访谈就得出审计结论，没有查阅资料、调查信息系统等的其他权限，是很难说明审计结论是客观公正的。

（1）个人信息处理过程的信息输入、处理、输出及其信息共享与业务协同的相关保护措施；

（2）个人信息处理活动关键控制节点（申请/审批/授权）；

（3）承载个人信息处理活动的系统、应用、数据和安全措施等。

技术测试可以通过数据测试、数据验证、审计工具检测信息系统的情况，发现是否存在不合规的情况。例如，对于企业所采取的技术措施，可以选取可能影响个人信息安全的未整改问题，进行技术检测，测试是否仍存在严重安全风险。

个人信息保护合规的审计范围

在实施个人信息保护合规审计前，首先需要明确个人信息保护合规审计的范围。审计范围的选择一般依据合规审计的目标确定。合规审计的目标通常以风险为导向，通过科学的审计程序及方法，发现合规审计对象存在的合规问题和违规行为。因此，在审计范围选取时，可以优先考虑合规风险处于高、中的领域或者实体，将审计资源在高、中风险和低风险领域或实体之间进行合理分配，在保证审计效率的同时，降低合规风险。例如，企业某一主营业务场景涉及敏感个人信息处理，且数据量较大，那么企业可以将该主营业务场景设置为优先审计的对象，降低合规风险。

审计工作的范围既可以针对企业整体，也可以针对具体的业务场景、数据处理环节、企业实体。企业可以按照审计顺序的优先性，有序开展合规审计，最终实现全覆盖。合规审计的范围选择可以考虑下述角度：

 结   语

在个人信息保护合规审计在我国一个相对崭新的工作领域，如何有效实施个人信息保护合规审计是企业落实合规义务都会面临的问题。我们在本篇介绍了个人信息保护合规审计的制度要点，分析个人信息保护合规审计的性质、审计原则、审计权限、审计范围，我们将在下篇继续介绍如何在流程上有效实施个人信息保护合规审计。

（本文作者：世辉律师事务所 王新锐 卢璟）