审计是党和国家监督体系的重要组成部分,也是企业合规治理体系不可或缺的重要举措。2021年11月1日正式实施的《中华人民共和国个人信息保护法》首次在法律层面明确个人信息处理者应当对个人信息处理活动开展合规审计,这意味着审计作为具备独立性的监督活动,已成为落实个人信息保护治理体系的重要抓手。
根据《中华人民共和国个人信息保护法》《网络数据安全管理条例》等法律、行政法规,国家互联网信息办公室于2025年2月14日正式发布《个人信息保护合规审计管理办法》(以下简称《办法》),为个人信息处理者开展合规审计提供了系统性、针对性、可操作性的规范。《办法》的出台标志着个人信息保护合规审计工作迈入新阶段。
一、明确合规审计定位,助力坚守个人信息保护合规防线
对于个人信息处理者,合规审计是推动内部持续完善个人信息保护合规体系的重要手段。《办法》要求个人信息处理者自行开展个人信息保护合规审计的,由个人信息处理者内部机构或者委托专业机构自行开展合规审计,并要求涉及大规模个人信息处理的情况,应指定个人信息保护负责人负责合规审计工作,由大型平台外部独立机构对合规审计进行监督,促进个人信息处理者健全个人信息保护合规治理架构,完善个人信息保护内部管理机制。
对于保护部门,合规审计是落实我国个人信息保护治理体系的一项重要监督举措。《办法》细化了个人信息处理者按照保护部门的要求开展合规审计的执行主体、触发条件、整改报送要求等。同时,提出保护部门对个人信息处理者开展合规审计情况进行监督检查,后续保护部门将通过合规审计监督检查督促开展合规审计的企业内部机构和专业机构规范执行审计程序,提升审计质量。
二、细化合规审计实施要求,促进规范化、高质量落地执行
《办法》明确差异化的合规审计频率,提升合规监督成效。细化个人信息处理者自行开展合规审计的频率,要求处理超过1000万人个人信息的个人信息处理者应当每两年至少开展一次个人信息保护合规审计。充分考虑了企业处理个人信息的规模与其合规资源投入的适应性,最大化地降低合规成本、提升合规成效。《办法》给出了详细的合规审计指引,从合规审计的角度明确了二十七条审查要点,为合规审计实施提供操作指引,有助于促进合规审计规范化执行。
《办法》强调合规审计独立性,为保障审计质量奠定基础。要求个人信息处理者应确定由具备独立性的部门或岗位人员承担合规审计职责,确保其能够客观公正地发表审计意见。处理100万人以上个人信息的个人信息处理者应当指定个人信息保护负责人负责合规审计。同时,专业机构受委托开展合规审计应保持审计独立性,《办法》对同一专业机构及其关联机构、同一合规审计负责人连续为同一审计对象开展合规审计的次数进行了限制。
三、引导电信和互联网行业积极落实个人信息保护合规审计要求
电信和互联网企业拥有海量的个人信息和复杂的业务处理场景,规范个人信息处理行为对保护用户合法权益来说具有重要意义。近年来,在工业和信息化部信息通信管理局的指导下,中国信息通信研究院积极开展个人信息保护合规审计有关政策研究,组织制定合规审计行业标准和操作指南,取得积极成效。
一是加强政策宣贯,促进APP开发运营者落实合规审计要求。2023年工业和信息化部发布《关于进一步提升移动互联网应用服务能力的通知》,明确提出APP开发运营者应定期对个人信息保护措施及执行情况等进行合规审计。中国信息通信研究院连续两年组织开展APP开发者个人信息保护公益培训宣讲系列活动,设置个人信息保护合规审计专题内容,介绍合规审计的操作流程及方法,促进APP开发者提升合规审计能力和意识。
二是加快标准建设,健全电信和互联网行业个人信息保护合规审计标准体系。中国信息通信研究院联合多家电信运营商、互联网企业、智能网联汽车企业、移动应用分发平台积极研制电信和互联网领域合规审计实施方法、车联网和移动应用分发场景合规审计操作指南等系列标准,为APP开发运营者、分发平台、新型智能终端等不同类型企业开展合规审计提供更加落地性、场景化的操作指导。
面向未来,中国信息通信研究院将按照工业和信息化部的部署要求,加快个人信息保护合规审计关键细分场景的标准制定,开展审计工具评估评测,推广优秀实践案例,服务市场需求,持续纵深推进电信和互联网行业个人信息保护合规审计工作落实落细,促进电信和互联网行业企业的个人信息保护水平全面提升。
