专家解读 | 以合规审计督促个人信息保护落地落实 - 新鲜讯息

扫码订阅《中国信息安全》

邮发代号 2-786

征订热线：010-82341063

文 | 北京航空航天大学法学院副教授赵精武

2021年11月1日《中华人民共和国个人信息保护法》施行之后，诸如个人信息跨境传输保护、人脸信息保护等配套制度也随着产业实践和监管实践的深入而不断完善。总体而言，我国个人信息保护制度体系正在呈现精细化、全面化发展趋势。然而，实践中诸如购置房产后家装公司精准定位推销电话等类似事件仍然时有发生，公民个人信息保护面临着网络黑灰产业的严重威胁。部分个人信息处理者或是疏于履行法定义务导致个人信息泄露，或是为了牟取非法利益铤而走险，直接参与个人信息买卖。为了进一步督促个人信息处理者充分履行个人信息保护义务，最大限度地预防和控制个人信息安全风险，国家互联网信息办公室基于个人信息保护法等提及的合规审计要求，制定了《个人信息保护合规审计管理办法》（以下简称《合规审计办法》），将于2025年5月1日起施行。

此前在实践中，部分企业因其自身的主营业务并非与互联网信息服务直接相关，将个人信息保护视为一种“负担”，进而出现“敷衍合规”“应付合规”等现象。这种现象使得公民个人信息处于危险状态，网络黑灰产业轻而易举地便可获取各类敏感个人信息，公民的人身安全和财产安全也受到严重威胁。《合规审计办法》的出台象征着我国个人信息保护制度进入到全新阶段。各类企业、机构乃至个人在收集和处理个人信息时，不仅需要按照个人信息保护法充分履行相应义务，而且还需要针对义务履行情况进行合规审计，确保义务履行方式恰当和充分。

《合规审计办法》的适用范围与个人信息保护法第三条保持一致，无论是在中国境内处理自然人个人信息，还是在境外处理境内自然人个人信息，相应的个人信息处理者均有可能面临相应的个人信息合规审计义务。值得注意的是，为了平衡个人信息保护和商业利益诉求，《合规审计办法》并没有强制要求个人信息处理者必须自行支付相应费用委托外部第三方进行合规审计；亦没有严格限定合规审计次数，仅是针对处理1000万个人信息的个人信息处理者，为了确保个人信息安全，要求其至少每两年开展一次个人信息保护合规审计。《合规审计办法》所规定的合规审计主要包括内部合规审计和外部合规审计两类，前者主要是个人信息处理者内部机构定期对个人信息处理情况进行合规审计，后者则是指基于监管部门的监管要求或个人信息处理者自行委托，由专门机构进行独立的合规审计。

《合规审计办法》的功能定位不能简单理解为个人信息保护法的“重复规定”或“内容重述”，而是应当理解为个人信息保护义务履行方式的标准化。诚然，《合规审计办法》乍一看外观上与个人信息保护法在内容层面存在大量“重复”，但是，从企业合规审计的角度考虑，却是将业务合规的重点内容和判断标准予以明确化。需要注意的是，《合规审计办法》还增设了附件《个人信息保护合规审计指引》（以下简称《合规审计指引》）。《合规审计指引》针对个人信息处理活动的合法性基础、处理规则、告知义务履行方式等关键事项，进一步细化了需要重点审计的核心事项。客观而言，《合规审计办法》的立法目的并不是单纯在业务合规程序上额外增设一个环节，而是通过合规审计的方式督促个人信息处理者能够真正落实个人信息保护法的法定要求。从具体内容来看，《合规审计办法》并没有“一刀切”地限定审计主体、审计流程、审计次数，而是强调根据个人信息安全风险实际状况选择必要的合规审计模式。

为了实现《合规审计办法》的立法目的以及进一步预防和控制个人信息安全风险，《合规审计办法》还对审计机构作出专门规定。因为只有独立自主的审计机构和审计活动才能确保审计结果具有公正性和客观性，否则又会再次出现“敷衍合规”的现象。针对外部审计，除了明确监管部门负责合规审计专业机构的选定范围外，还要求专业机构自身以诚信正直、公正客观的方式作出合规审计职业判断，并通过负责人签字、加盖公章等方式避免审计机构与被审计单位弄虚作假。

在未来，随着《合规审计办法》的实施，我国公民个人信息所面临的安全风险将显著下降，诸如内部员工私自泄露个人信息、第三方合作机构擅自对外传输个人信息等安全事件的发生概率也将得到有效控制。当然，徒法不足以自行，个人信息保护合规审计制度也需要结合产业实践持续完善，督促个人信息处理者真正重视个人信息保护，实现“有效合规”和“充分合规”。

（来源：法治日报）

分享网络安全知识强化网络安全意识

欢迎关注《中国信息安全》杂志官方抖音号

《中国信息安全》杂志倾力推荐

“企业成长计划”

点击下图了解详情