解读丨《个人信息保护合规审计管理办法（征求意见稿）》发布

近日，国家互联网信息办公室发布关于《个人信息保护合规审计管理办法（征求意见稿）》（以下简称《办法》）及配套的《个人信息保护合规审计参考要点》（以下简称《要点》）公开征求意见的通知。该《办法》旨在为指导、规范个人信息保护合规审计活动，提高个人信息处理活动合规水平，保护个人信息权益。以下是对《办法》与《要点》重点内容的解读，以及基于本次发布的相关内容，安恒信息给出了个人信息处理者组织内部建设个人信息保护体系的几点建议。

一、《办法》明确了个人信息保护合规审计的触发条件及审计角色界定

可由个人信息处理者本组织内部机构或委托专业机构进行

● 处理超过100万人个人信息的个人信息处理者：每年至少开展一次个人信息保护合规审计

● 其他个人信息处理者：每二年至少开展一次个人信息保护合规审计

当监管部门发现以下情况，个人信息处理者应尽快选定专业机构进行个人信息保护合规审计

● 个人信息处理活动存在较大风险

● 发生个人信息安全事件

二、《办法》列举了开展个人信息保护合规审计活动中的实施要求

● 实施时限：90个工作日内完成，若情况复杂，可经过监管部门批准后延长

● 报送要求：针对委托专业机构开展完成的个人信息保护合规审计活动，应及时将出具的报告进行签字盖章后，报送至监管部门

● 及时整改：针对委托专业机构开展完成的个人信息保护合规审计活动，应及时按照整改建议进行及时整改后，报送至监管部门

三、《办法》规范了专业机构的执行责任与义务，并约束了其执行原则

● 执行限制：连续为同一审计对象开展个人信息保护合规审计不得超过三次

● 执行原则：诚信正直，公正客观；不得转包委托第三方；对获得的信息承担保密责任；不得恶意干扰个人信息处理者的正常经营活动；不得有出具虚假、失实报告等违规行

● 执行权限：专业机构应能够正常行使开展合规审计工作所必需的权限，如查阅文件资料、调研系统活动、检查设备设施、调取个人信息、访谈相关人员等

一、依法制定适用于个人信息处理者组织内部的个人信息保护合规基线

在《个人信息保护法》《网络数据安全管理条例（征求意见稿）》等法律法规要求企业定期进行个人信息保护合规审计之后，本次《办法》及《要点》从审计方式、审计时限、审计内容、审计频次等多个方面建立了清晰的指导，建议个人信息处理者组织内部可以逐一对照构建个人信息合规审计制度。

此外，未来可能会出台专门的个人信息保护合规审计国家标准，如国家标准正式出台，也可以对照国标将个人信息合规审计制度进一步细化。

尽管《办法》正式版本的发布尚需时日，建议个人信息处理者组织内部应尽早根据征求意见稿的要求，并结合自身业务与管理体系特点进行优先级建设判定，建立个人信息保护合规审计工作机制流程，并可以适当地可以针对涉及个人信息业务的移动应用/APP小程序开展相关合规检查和快速整改。

二、针对个人信息处理者组织内部个人信息处理活动的场景定期开展影响评估工作

个人信息的保护建设往往不止停留于合规层面，随着频繁出现过度收集个人信息、对个人信息进行二次开发利用以及个人信息交易等严重侵犯个人隐私权益的现象时有发生，这些事件造成的不良影响将会进一步影响到个人信息处理者组织形象，个人信息安全问题已经成为焦点问题。

因此，针对个人信息处理者组织内部大量个人信息处理活动和某些特定风险场景，应在合规审计前定期开展个人信息影响评估工作，提早发现个人信息处理者组织在个人信息保护过程中存在的隐患，为组织在个人信息合规审计活动中的迎审工作提供有力支撑，维护个人信息处理者组织客户的个人权益，牢牢守住不发生安全事件的底线，打破目前暂未开展常态化个人信息安全影响评估的局面，为个人信息处理者组织后续明确涉及个人信息保护的重要业务场景中找到合适的建设路径作为铺垫。

三、持续跟进国家立法动态，推进落实个人信息保护工作长效机制

本次《办法》与《要点》的许多内容均是对国家目前在个人信息保护领域法律法规的立法回应。总的来说，目前国家在个人信息保护领域不仅明确了个人信息处理者的合规行为要点，在《个人信息保护法》中更设置了严厉的法律责任。

其中提到的遭遇暂停业务、吊销许可与执照、双罚制、按照营业额百分比罚款、负责人员资格罚等处罚，将可能成为个人信息处理者组织难以承受之重。

建议相关个人信息处理者组织后续需要密切跟踪监管执法案例，可定期在组织内部开展个人信息保护意识培训，根据个人信息合规审计自查和个人信息保护影响自评估的工作成果，依据风险事项的轻重缓急进行合规整改，结合标准要求和行业实践，实现个人信息保护机制在各类系统和业务流程中的落地实施，逐步形成具备可操作性的个人信息保护合规体系。