申卫星：规范个人信息处理活动　强化个人信息权益保护

习近平总书记指出：“国家网络安全工作要坚持网络安全为人民、网络安全靠人民，保障个人信息安全，维护公民在网络空间的合法权益。”个人信息保护合规审计是《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）和《网络数据安全管理条例》规定的一项重要制度。2025年2月12日，国家互联网信息办公室颁布《个人信息保护合规审计管理办法》（以下简称《管理办法》）与配套《个人信息保护合规审计指引》（以下简称《指引》），对于规范个人信息处理活动、强化个人信息权益保护具有重要意义。

个人信息保护合规审计制度的功能定位

从审计学的视角来看，合规审计是指“以系统方法从行为角度独立鉴证经管责任中的缺陷行为并将结果传达给利益相关者的制度安排”。《管理办法》第二条第2款规定，个人信息保护合规审计，是指对个人信息处理者的个人信息处理活动是否遵守法律、行政法规的情况进行审查和评价的监督活动。个人信息保护合规审计的主要目的在于发现个人信息处理活动中可能存在的问题与合规风险，并形成有针对性的改进措施，以保证个人信息处理活动符合法律、行政法规的规定，防止个人信息处理者为谋取自身利益或因错误决策等违法违规处理个人信息。基于此，个人信息保护合规审计有利于强化对个人信息权益的保护，控制和避免个人信息处理者因处理个人信息不合规引发法律纠纷、承担法律责任，从而造成经济、声誉等方面的损失及负面影响，并对个人信息处理者的经营管理状况和经济效益起到改善和促进作用。

不同于行政主管部门对个人信息处理者的监督与管理，个人信息保护合规审计本身不属于行政执法，而是由个人信息处理者相关内部机构或外部专业机构开展的内部监督或社会监督活动。对个人信息保护的合规情况进行定期审计，是在个人信息保护中促进行业自治与多主体合作治理的体现，对个人信息处理者起到常态化监督的作用，成为切实实施《个人信息保护法》的重要抓手。

个人信息保护合规审计的基本类型

《个人信息保护法》第五十四条规定，个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计；第六十四条规定，履行个人信息保护职责的部门在履行职责中，发现个人信息处理活动存在较大风险或者发生个人信息安全事件的，可以按照规定的权限和程序对该个人信息处理者的法定代表人或者主要负责人进行约谈，或者要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。依照此规定，个人信息保护合规审计包括自愿审计与强制审计两种基本类型。

在自愿审计中，个人信息处理者可以根据自身情况和需要，确定合规审计的时间、频次等，以及是由内部机构还是委托专业机构进行合规审计。《管理办法》第四条规定，处理超过1000万人个人信息的个人信息处理者，应当每两年至少开展一次个人信息保护合规审计。在个人信息处理者内部机构进行合规审计的情形，内部机构在组织、人员、工作和经费等方面应独立于被审计的个人信息处理活动，以保证其独立行使审计职权，不受其他职能部门和个人的干涉，从而体现审计的客观性、公正性和有效性。《个人信息保护法》第五十二条第1款规定：“处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人，负责对个人信息处理活动以及采取的保护措施等进行监督。”《管理办法》第十二条第1款对此作出细化规定，明确处理100万人以上个人信息的个人信息处理者应当指定个人信息保护负责人，负责个人信息处理者的个人信息保护合规审计工作。此外，根据《信息安全技术　个人信息安全规范》（GB／T　35273－2020）的要求，个人信息保护负责人的职责还包括全面统筹实施组织内部的个人信息安全工作、组织制定并督促落实个人信息保护工作计划、制定并实施个人信息保护政策和相关规程、开展个人信息安全影响评估等。在个人信息处理者委托专业机构进行合规审计的情形，应当保证专业机构与实施审计人员的独立性，其与个人信息处理者不应存在利益冲突，不得连续三次以上对同一审计对象开展合规审计。依照《管理办法》第七条的规定，“专业机构应当具备开展个人信息保护合规审计的能力，有与服务相适应的审计人员、场所、设施和资金等”，包括但不限于依法设立的律师事务所、会计师事务所、通过相关认证的审计机构等。

另外，依照《个人信息保护法》第五十八条第1项的规定，提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，应当按照国家规定建立健全个人信息保护合规制度体系，成立主要由外部成员组成的独立机构对个人信息保护情况进行监督。此等独立机构作为内设于大型互联网平台企业、与企业的日常经营管理部门隔离、独立进行个人信息保护监督的机构，负责从事前防范、事中规制和事后处置等方面对大型互联网平台企业个人信息保护的合规情况进行监督。《管理办法》第十二条第2款明确规定此等独立机构应当对大型互联网平台企业的个人信息保护合规审计情况进行监督。

在强制审计中，个人信息处理者应当根据履行个人信息保护职责部门的要求，委托专业机构进行个人信息保护合规审计。《管理办法》第五条对启动强制审计的情形作出细化规定，具体包括以下三类：发现个人信息处理活动存在严重影响个人权益或者严重缺乏安全措施等较大风险的；个人信息处理活动可能侵害众多个人的权益的；发生个人信息安全事件，导致100万人以上个人信息或者10万人以上敏感个人信息泄露、篡改、丢失、毁损的。依照《管理办法》第八至第十条的规定，个人信息处理者在接受强制审计时，应当为专业机构正常开展个人信息保护合规审计工作提供必要支持，并承担审计费用，而且在限定时间内完成审计，并将审计报告报送履行个人信息保护职责的部门。为避免强制审计给个人信息处理者带来不合理负担，《管理办法》第五条第2款规定，对同一个人信息安全事件或者风险，不得重复要求个人信息处理者接受强制审计。在内容复杂、专业性较强的个人信息保护合规审计案件中引入具有独立地位、专业知识和经验以及相应认证资质的专业机构参与执法工作，有助于增进履行个人信息保护职责部门的执法能力，形成外部协作力量、前置监管介入时点，提高行政监管的效率和灵活性。

个人信息保护合规审计的对象与方法

个人信息处理者相关内部机构或外部专业机构开展个人信息保护合规审计，可以从业务场景、处理环节、应用形态、信息类型、个人信息保护具体制度等维度选择部分或者全部作为审计对象。在业务场景方面，个人信息保护合规审计应当明确待审计的业务场景，并结合具体场景确定相应审计依据、开展最小必要范围判定等；在处理环节方面，应当明确待审计的处理环节，包括收集、存储、使用、加工、传输、提供、公开、删除等，必要时也可以选择多个处理环节或者进行个人信息处理的全生命周期合规审计；在应用形态方面，可以根据风险大小、亟须整改或监管关注的重点问题、新颁布实施的法律法规等规范性法律文件的要求确定需要审计的应用形态，包括APP、SDK（软件开发工具包）、小程序等；在信息类型方面，可以选择敏感个人信息进行审计，也可以选择将个人信息处理者处理的全部个人信息作为审计对象；在个人信息保护具体制度方面，应当将个人信息权益的实现机制、个人信息处理者履行法定义务的具体情况等作为重点审计对象，《指引》对个人信息保护各项具体制度所对应的重点审查事项作出了详细规定。

开展个人信息保护合规审计应当综合运用多种审计方法，全面、准确、客观地收集个人信息保护措施是否有效的证据，包括但不限于：第一，访谈法，即确定访谈对象，通过现场、问卷调查或者线上访谈，了解被审计个人信息处理活动的具体情况；第二，文件检查法，即收集被审计个人信息处理者的相关文件，如个人信息保护政策、合同、评审记录、个人信息保护合规档案、制度规定等，并评估被审计个人信息处理者的个人信息保护管理情况；第三，现场检查法，即通过对被审计个人信息处理者进行实地核查，评估个人信息保护措施的落实情况，检查内容包括物理保护措施、逻辑访问控制措施、数据备份与恢复措施、机房环境等方面；第四，日志分析法，即通过查看日志记录，确定被访问的数据和被访问数据所属的用户信息，发现存在潜在的操作异常或未经授权的访问行为；第五，穿行检测法，即以个人信息处理流程为导向，明确个人信息处理具体经历了哪些环节，各环节下的个人信息处理有哪些具体操作等；第六，控制性测试法，即测试个人信息处理活动各环节下个人信息保护措施、技术控制措施的有效性，以及能否达到个人信息保护目的，是否符合个人信息保护法定义务要求等。

个人信息保护合规审计报告的运用

个人信息处理者相关内部机构或外部专业机构在完成个人信息保护合规审计后，应当以审计报告形式呈现审计过程和审计结果等信息。对于自愿审计形成的审计报告，个人信息处理者可以在诉讼中作为证据向司法机关提交，从而在一定程度上证明自己是否遵守法律、行政法规中有关个人信息保护的规定，在个人信息处理过程中是否存在过错等。个人信息处理者也可以向社会公开审计报告，以有效接受社会监督，提高其个人信息保护措施的社会认可度和接受度。对于强制审计形成的审计报告，依照《管理办法》第十一条的规定，履行个人信息保护职责的部门在履行审核专业机构审计报告的职责之后，可以再根据相应的职权针对审计报告中发现的问题向个人信息处理者下达整改建议。个人信息处理者应当在整改完成后15个工作日内，向履行个人信息保护职责的部门报送整改情况报告。个人信息保护合规审计形成的审计结果与其他类型的安全评估或影响评估等具有密切联系。依照《网络数据安全管理条例》第五十二条第2款的规定，个人信息保护合规审计、重要数据风险评估、重要数据出境安全评估等应当加强衔接，避免重复评估、审计。在专业机构开展个人信息保护合规审计的情形，专业机构应当对审计报告的合法性、独立性、客观性、全面性、公正性、保密性等负责。如果专业机构及其审计人员未尽到相应义务，应当依法承担法律责任。

《管理办法》与配套《指引》是有效贯彻落实个人信息保护合规审计制度的重要支撑，旨在为个人信息处理者开展个人信息保护合规审计提供系统性、针对性、可操作性的规范。2024年7月12日发布的《数据安全技术　个人信息保护合规审计要求》（征求意见稿），从国家标准层面明确了开展个人信息保护合规审计时应满足的审计原则、总体要求等。该国家标准的通过与实施将与《管理办法》的实施相互补充，共同推动我国个人信息保护合规审计制度更加完善。

（编辑：张群）