審計是黨和國家監(jiān)督體系的重要組成部分,也是企業(yè)合規(guī)治理體系不可或缺的重要舉措。2021年11月1日正式實施的《中華人民共和國個人信息保護法》首次在法律層面明確個人信息處理者應(yīng)當對個人信息處理活動開展合規(guī)審計,這意味著審計作為具備獨立性的監(jiān)督活動,已成為落實個人信息保護治理體系的重要抓手。
根據(jù)《中華人民共和國個人信息保護法》《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例》等法律、行政法規(guī),國家互聯(lián)網(wǎng)信息辦公室于2025年2月14日正式發(fā)布《個人信息保護合規(guī)審計管理辦法》(以下簡稱《辦法》),為個人信息處理者開展合規(guī)審計提供了系統(tǒng)性、針對性、可操作性的規(guī)范。《辦法》的出臺標志著個人信息保護合規(guī)審計工作邁入新階段。
一、明確合規(guī)審計定位,助力堅守個人信息保護合規(guī)防線
對于個人信息處理者,合規(guī)審計是推動內(nèi)部持續(xù)完善個人信息保護合規(guī)體系的重要手段!掇k法》要求個人信息處理者自行開展個人信息保護合規(guī)審計的,由個人信息處理者內(nèi)部機構(gòu)或者委托專業(yè)機構(gòu)自行開展合規(guī)審計,并要求涉及大規(guī)模個人信息處理的情況,應(yīng)指定個人信息保護負責人負責合規(guī)審計工作,由大型平臺外部獨立機構(gòu)對合規(guī)審計進行監(jiān)督,促進個人信息處理者健全個人信息保護合規(guī)治理架構(gòu),完善個人信息保護內(nèi)部管理機制。
對于保護部門,合規(guī)審計是落實我國個人信息保護治理體系的一項重要監(jiān)督舉措。《辦法》細化了個人信息處理者按照保護部門的要求開展合規(guī)審計的執(zhí)行主體、觸發(fā)條件、整改報送要求等。同時,提出保護部門對個人信息處理者開展合規(guī)審計情況進行監(jiān)督檢查,后續(xù)保護部門將通過合規(guī)審計監(jiān)督檢查督促開展合規(guī)審計的企業(yè)內(nèi)部機構(gòu)和專業(yè)機構(gòu)規(guī)范執(zhí)行審計程序,提升審計質(zhì)量。
二、細化合規(guī)審計實施要求,促進規(guī)范化、高質(zhì)量落地執(zhí)行
《辦法》明確差異化的合規(guī)審計頻率,提升合規(guī)監(jiān)督成效。細化個人信息處理者自行開展合規(guī)審計的頻率,要求處理超過1000萬人個人信息的個人信息處理者應(yīng)當每兩年至少開展一次個人信息保護合規(guī)審計。充分考慮了企業(yè)處理個人信息的規(guī)模與其合規(guī)資源投入的適應(yīng)性,最大化地降低合規(guī)成本、提升合規(guī)成效!掇k法》給出了詳細的合規(guī)審計指引,從合規(guī)審計的角度明確了二十七條審查要點,為合規(guī)審計實施提供操作指引,有助于促進合規(guī)審計規(guī)范化執(zhí)行。
《辦法》強調(diào)合規(guī)審計獨立性,為保障審計質(zhì)量奠定基礎(chǔ)。要求個人信息處理者應(yīng)確定由具備獨立性的部門或崗位人員承擔合規(guī)審計職責,確保其能夠客觀公正地發(fā)表審計意見。處理100萬人以上個人信息的個人信息處理者應(yīng)當指定個人信息保護負責人負責合規(guī)審計。同時,專業(yè)機構(gòu)受委托開展合規(guī)審計應(yīng)保持審計獨立性,《辦法》對同一專業(yè)機構(gòu)及其關(guān)聯(lián)機構(gòu)、同一合規(guī)審計負責人連續(xù)為同一審計對象開展合規(guī)審計的次數(shù)進行了限制。
三、引導電信和互聯(lián)網(wǎng)行業(yè)積極落實個人信息保護合規(guī)審計要求
電信和互聯(lián)網(wǎng)企業(yè)擁有海量的個人信息和復雜的業(yè)務(wù)處理場景,規(guī)范個人信息處理行為對保護用戶合法權(quán)益來說具有重要意義。近年來,在工業(yè)和信息化部信息通信管理局的指導下,中國信息通信研究院積極開展個人信息保護合規(guī)審計有關(guān)政策研究,組織制定合規(guī)審計行業(yè)標準和操作指南,取得積極成效。
一是加強政策宣貫,促進APP開發(fā)運營者落實合規(guī)審計要求。2023年工業(yè)和信息化部發(fā)布《關(guān)于進一步提升移動互聯(lián)網(wǎng)應(yīng)用服務(wù)能力的通知》,明確提出APP開發(fā)運營者應(yīng)定期對個人信息保護措施及執(zhí)行情況等進行合規(guī)審計。中國信息通信研究院連續(xù)兩年組織開展APP開發(fā)者個人信息保護公益培訓宣講系列活動,設(shè)置個人信息保護合規(guī)審計專題內(nèi)容,介紹合規(guī)審計的操作流程及方法,促進APP開發(fā)者提升合規(guī)審計能力和意識。
二是加快標準建設(shè),健全電信和互聯(lián)網(wǎng)行業(yè)個人信息保護合規(guī)審計標準體系。中國信息通信研究院聯(lián)合多家電信運營商、互聯(lián)網(wǎng)企業(yè)、智能網(wǎng)聯(lián)汽車企業(yè)、移動應(yīng)用分發(fā)平臺積極研制電信和互聯(lián)網(wǎng)領(lǐng)域合規(guī)審計實施方法、車聯(lián)網(wǎng)和移動應(yīng)用分發(fā)場景合規(guī)審計操作指南等系列標準,為APP開發(fā)運營者、分發(fā)平臺、新型智能終端等不同類型企業(yè)開展合規(guī)審計提供更加落地性、場景化的操作指導。
面向未來,中國信息通信研究院將按照工業(yè)和信息化部的部署要求,加快個人信息保護合規(guī)審計關(guān)鍵細分場景的標準制定,開展審計工具評估評測,推廣優(yōu)秀實踐案例,服務(wù)市場需求,持續(xù)縱深推進電信和互聯(lián)網(wǎng)行業(yè)個人信息保護合規(guī)審計工作落實落細,促進電信和互聯(lián)網(wǎng)行業(yè)企業(yè)的個人信息保護水平全面提升。