如何开展个保审计(PIPCA)——企业保护个人信息的最后一道防线

✨本文根据ilaw对话盈科全球数据合规服务中心主任郭卫红的内容进行整理

 欢迎大家在今天加入我们的访谈节目。我们非常荣幸邀请到了郭律师，他将在接下来的时间里，就企业个人信息保护合规审计的话题，为我们提供专业的见解和指导。

非常感谢主持人，也感谢各位观众的参与。个人信息保护合规审计是当前企业合规管理中不可或缺的一环，特别是在数字化时代背景下，企业对个人信息的处理活动日益增多，合规审计显得尤为重要。

确实如此。那么，郭律师，企业为什么要进行个人信息保护合规审计呢？

企业进行个人信息保护合规审计，主要是为了确保企业在处理个人信息的过程中，能够遵守相关的法律法规要求，预防和减少潜在的法律风险。同时，通过审计，企业可以发现并及时整改个人信息处理过程中的问题，提高企业的合规管理水平。

那么，是不是所有的企业都需要进行这样的审计呢？

原则上，所有处理个人信息的企业都应该进行合规审计。但根据企业的规模和业务特点，审计的具体要求和频率可能会有所不同。例如，大型企业和处理大量敏感信息的企业，可能需要更加频繁和深入的审计。

企业进行个人信息保护合规审计主要分为两种情况：一是自主审计，类似于企业每年的自查，内部审计部门会将个人信息保护纳入常规审计模块；二是在监管部门发现企业个人信息处理存在较大风险或已发生安全事件时强制要求的审计。对于自主审计，企业规模以100万用户数据为界限，100万以上用户数据的企业每年需进行一次审计，100万以下则每两年至少进行一次。

企业可能因业务调整需更频繁审计，但通常遵循上述频率。审计的优先级会根据企业处理信息的数量和敏感性来确定，敏感性高或数量少的企业可能会优先进行审计。这是一项法定义务，企业需根据自身情况判断审计的时机和频率。

对于那些初创企业和小型企业，他们可能认为合规审计的优先级不高，您怎么看？

企业规模大小并不是决定是否进行审计的唯一因素。更重要的是企业处理的数据是否敏感，以及数据处理的量级。即使是小型企业，如果处理大量敏感数据，也需要高度重视个保合规审计。至少有的企业它可能因为业务上的调整，发生了新的一些收集个人信息的场景，它可能会把频率去加高，但一般来讲还是主要是这个频率。

审计肯定会有一个优先级，比如说如果有的企业可能每年只处理一两万的个人信息，它的数量不大，或者是说它虽然数量不大，但是它的这个敏感性高，它可能也要去做审计，会优先级排得比较前面。先拿哪一块业务来做，其实是会有一个优先级的，就要根据企业的具体情形去做相应的判断。

那刚才听下来，其实我们所有这个处理个人信息的这种企业，就是所有的类型的企业，它其实都是需要去做合规审计的。只是这个情形可能会有一些不同，那接下来比较想关注有没有哪些企业，或者说哪些类型的企业是需要特别去关注个保审计的？

企业在进行个人信息保护合规审计时，应首先关注其所属行业及处理个人信息的量级。金融、医疗、教育行业因处理大量敏感个人信息，需特别关注合规审计。这些行业的个人信息保护法规已相对完善，尤其是金融行业，数据滥用情况减少。

与金融行业相比，医疗和教育行业的合规意识可能较弱，接触信息的环节众多，从药店销售人员到医生，再到系统供应商，都可能接触到敏感数据。对于新能源汽车，由于涉及车内个人信息及车外路径信息的收集，其数据处理场景多元，它也需要优先考虑审计。

对于数据体量大的企业，例如企业信息查询服务如企查查、企信宝等，因数据访问和使用频率高，也应提早进行审计。上市公司披露处理个人信息的风险点时通常需要进行审计。

目前，国有企业更多集中于整体合规和数据资产的入表管理。而刚完成跨境数据传输相关工作的外资企业，也属于审计的优先梯队。总结来说，企业应基于行业特性、数据处理量级和特殊性来决定审计的优先级，特别是金融、医疗、教育行业，以及涉及大量个人信息的企业和上市公司，应更加重视个人信息保护合规审计。

好的，那我们刚才讲到了企业到底做不做审计，以及什么时候做？然后以及哪些企业的话需要就是去做一个重点的关注这类的问题，我们已经做了相应的解答和交流。接下来也想请郭主任跟大家聊一聊这个开展个保审计的过程当中，咱们企业呢应该要去注意哪些要点呢？怎么样才能更好的更有效的去开展这个保审计呢？

好的，其实审计的整个内容和操作方式，在网信办出台的办法以及国家标准的征求意见稿里面已经相对非常详细了。

审计工作主要分为六大板块包括个人信息安全事件、个人信息保护技术措施、个人信息保护组织架构、个人信息保护管理制度、个人信息处理活动、系统情况。这是最主要的一个框架，当然每个板块下有更细致的分类。这个整体框架方便大家在项目启动会议（kick off meeting）时，可以明确参与部门和人员，确保对审计内容有清晰了解。

审计流程通常包括五大步骤，共18个具体流程，但实际工作中可能会根据项目特点进行合并或调整。其实审计的这个阶段你看起来好像这里面非常复杂，其实无外乎还是那几个工作。

审计的首要任务是明确审计范围，包括审计对象、系统场景和公司主体范围。这些因素将影响审计计划的制定和时间安排。如果说信息不对称的话，经常会出现两三个部门之间意见不统一的这个情况，所以说这个是审计的一个准备的阶段，就是明确它的范围。然后有相应的一个计划，相应的人员，这个是在审计的准备阶段。

第二就是相应的实施有几个方法论，最终它其实会汇集审计证据和相应的资料。那么我们也根据实践的经验，网信办的征求意见稿最后有一个附录清单，这次的征求意见稿的标准里面也有一些清单，其实有一些他已经帮你设计好的，但是其实还是需要根据公司具体情况去设计表单。

对于清单我的建议是设计成让公司提供客观材料，由审计人员去审计结果的方式会更好一点，这个就是相应的审计的一个要点。比如说审核是否取得个人信息同意，是否在充分知情的情况下自愿明确注出。

审计的流程通常包括以下几个阶段：首先是审计准备阶段，明确审计目标和范围，组建审计团队，制定审计计划；其次是审计实施阶段，通过文件审查、访谈、系统测试等方法收集审计证据；然后是审计报告阶段，根据收集的证据撰写审计报告，提出整改建议；最后是审计整改阶段，跟踪整改进度，确保整改措施得到有效执行。

好的，感谢郭律师的解答，那这边也有朋友问到在审计报告中，通常会包含哪些内容？以及企业在进行审计时，又该如何选择合适的第三方机构？

审计报告通常包括以下内容：审计背景和目的、审计范围和方法、审计发现的问题和风险、整改建议和措施、审计结论等。审计报告应当客观、公正、全面地反映审计结果，为企业提供整改和决策的依据。

其实在选择第三方机构时，企业应该考虑以下几个因素：首先是机构的专业能力和经验，是否具备相关的资质和证书；其次是机构的独立性和客观性，避免利益冲突；再次是机构的服务范围和灵活性，能否满足企业的特定需求；最后是机构的声誉和客户评价，选择信誉良好的机构。

那基于刚刚这个问题，其实我也想问一下哈，就是说咱们现在关于审计的方式能有哪些呢？

嗯，在聊这个之前，其实我们想就是聊回就是现在数据合规的工作，或者是说数据合规审计这一方面的一些工作，就是其实我们从最早的就是欧盟的GDPR 也好，国内的网络安全法也好，大家会发现一个很明显的点就是涉及一个法律加技术融合的领域，所以单纯的法律和单纯的技术其实它是没有办法去解决某一些综合性的问题的。

它其实里面都会有一些技术性审核的点，所以包括现在其实随着这一两年技术的发展，大家也更多地把一些技术融合到了自己的法律业务当中，或者是说有一些技术人员他可能也同时去考了司法考试，或者考了一些DPO的证，这都是体现了这个领域的融合特性。这两者如果说你公司内部都比较强的话，那其实你可以自己去做内部的审计。如果这两者你有一个一点是你的缺弱，那其实你可以就某一块去寻求外部的帮助。

审计要求中通常包含了评估现有技术措施是否满足法律标准的内容，这就要求我们根据具体业务进行拆解分析，以确定哪些技术措施能够达到法律要求。许多公司如果已经实施了等级保护、ISO认证或相关测试，通常会拥有第三方认证。

虽然这些内容可能已经在报告中体现，但也有一些公司缺乏这些证明，他们可能仅凭口头说明，例如数据备份和恢复措施。有的公司声称数据已备份并保存了50年，但实际上当我们检查他们的后台系统时，情况并非如此。因此，需要技术人员对这些方面进行有效性验证。无论是公司内部的技术人员，还是聘请的第三方专业机构，都需在审计过程中提供技术支持。技术性验证是审计的重要组成部分，包括个人信息的合规性检测。

目前，针对APP隐私的合规性检测技术已经相当成熟，这也是审计的一个子项，可以直接整合到审计过程中。过往已经具备成熟技术能力的团队，可以将这些能力融合到审计工作中，以提高审计的准确性和效率。

关于技术层面，其实在这里也可以分享一下，我们目前可能在做这个事情上，技术工具会怎么去使用。例如选择一款工具来做相应的定制化开发的优化。其实也解决了几个问题哈。第一个就是例如审计的一个项目，过往可能更多的是人工填相应的结果，或者是邮件的反馈、表单的反馈，访谈文字的反馈，但实际上这些就是都是形成很零散的材料。现在其实可以用技术性的方式去发起工单，这个应该很多互联网公司很熟，在企业内部是会有一些项目的工单，然后分发给相应的人员去回应，这样的话将来都是可查的。

第二个就是我们也会运用一些AI工具帮我们做一些书面的审核。比如说要定期对安全制度进行评审和制度的有效性，那以前可能我们要逐条去读，现在其实可以借助AI 工具把制度里面相应的条款给它找出来。不管是内部审计还是外部审计都可以考虑去借助的一些技术的力量，因为传统的法律评估都是比较书面化的。不仅说刚才前面讲的就是这种技术性的核验会借助技术，并且我们的工作全流程本身也可以去借助这样的一些技术性工具，包括一些数据库的安全的审计，也是在整个项目当中法律要和技术去配合的，整个项目大概法律的审计大概占80%，技术性的审计大概在20% 左右，这样也方便审计留痕。

嗯嗯好的，那么也想请教一下郭主任，对于企业在预算有限的情况下，企业如何评估审计的成本效益？

 好的，其实对于预算有限的情况下，企业可以通过以下几个方面来评估审计的成本效益：首先，明确审计的重点和目标，虽然原则上是全覆盖审计，但建议可以采取小范围先行先试的方式，避免一下子盲目扩大审计范围；其次，合理分配审计资源也十分重要，优先保障关键领域的审计需求；同时，也可以考虑采用分阶段审计的方式，根据企业的实际情况逐步推进，充分利用内部资源和外部专业服务的结合，提高审计效率。

好的，那进行到最后，我也想请教一下郭律师，您对那些即将开展个保合规审计的企业有什么建议？

好的，其实对于即将开展个保合规审计的企业，我有以下几点建议：首先，企业应当充分了解和掌握相关的法律法规要求，确保审计的合法性和合规性，并且根据自身的业务特点和风险状况，制定合理的审计计划和目标；同时，加强内部培训和宣传，提高员工的合规意识和能力；最后，积极寻求专业机构的指导和帮助，确保审计工作的顺利进行。

 非常感谢郭律师的精彩分享，今天的访谈到此结束，希望对大家有所帮助。