为指导、规范个人信息保护合规审计活动，国家互联网信息办公室起草了《个人信息保护合规审计管理办法（征求意见稿）》（下文简称“征求意见稿”），近日向社会公开征求意见。

个人信息保护合规审计，是指对个人信息处理者的个人信息处理活动是否遵守法律、行政法规的情况进行审查和评价的监督活动。

“征求意见稿中的内容是对个人信息保护法合规审计相关内容的一个补充和延伸。”中国政法大学传播法研究中心副主任朱巍说。

关于合规审计，个人信息保护法第54条规定，个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计；第64条规定，履行个人信息保护职责的部门在履行职责中，发现个人信息处理活动存在较大风险或者发生个人信息安全事件的，可以按照规定的权限和程序对该个人信息处理者的法定代表人或者主要负责人进行约谈，或者要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。

“征求意见稿使得合规审计的执行更具有实操性，也提出了更为严格和详细的要求。”西南政法大学民商法学院副教授杜江涌表示，征求意见稿从审计分类、主体范围和审计频率、审计机构、审计时限等方面规定了个人信息保护合规审计的具体管理办法，以个人信息保护为核心，例如以知情同意、权益保障、处理目的等为要点进行合规审计。其中有两个亮点值得关注，首先征求意见稿提出“处理超过100万人个人信息的个人信息处理者，应当每年至少开展一次个人信息保护合规审计”，另外其首次明确了对外部独立监管机构的要求。

征求意见稿为何将个人信息处理者以100万为标准进行分类？

朱巍告诉人民网“强观察”栏目，目前企业采集个人信息的数量比较庞大，相较之，100万并不是一个大数字，把这一标准具象化来形容，包括中小型企业在内的多数互联网企业，都需要接受一年至少一次的个人信息保护法合规审计。

杜江涌同样表示，我国人口庞大，同时移动互联网对居民生活的深度介入，实际上大量企业或机构所处理的个人信息都会“轻松”超过100万人，大量互联网平台公司都将进行年度个人信息保护合规审计。因此，100万人次门槛的设置标准其实并不高，主要目的是更好地保护民众的个人信息权益。

在很多情况下，合规审计工作需要企业委托专业机构开展，对于专业机构的妥善管理有助于保持合规审计的有效性。为此，征求意见稿对外部专业审计机构同样作出相关规定。

例如，征求意见稿规定，执行个人信息保护合规审计的专业机构应当保持独立性和客观性，连续为同一审计对象开展个人信息保护合规审计不得超过三次。并且专业机构不得转包委托第三方开展个人信息保护合规审计。

此外，征求意见稿提出建立个人信息保护合规审计专业机构推荐目录，每年组织开展个人信息保护合规审计专业机构评估评价，并根据评估评价情况动态调整个人信息保护合规审计专业机构推荐目录。

“征求意见稿中所规定的审计活动要求几乎涵盖了大型互联网企业全部业务活动的各个方面，比如针对个人信息处理全流程、内部管理制度和操作规程的审计等。然而，要落实这些规定，还需要理清一些问题。”杜江涌举例，征求意见稿所附的个人信息保护合规审计参考要点还存在许多可以细化的部分，主要集中在审计依据、审计目标、审计范围等方面。其次，各类根据个人信息保护法所作出的规定，尚不能满足合规审计所需的法律依据。为了保障审计结果具有实际意义和参照价值，应进一步完善相关法律依据。

分享让更多人看到