Expert Interpretation: Establishing and Improving the Personal Information Protection Compliance Audit System to Build a Strong Defense for Personal Information Security

为了规范个人信息保护合规审计活动，保护个人信息权益，近日，国家网信办公布了《个人信息保护合规审计管理办法》（以下简称《办法》）。《办法》的公布实施，标志着我国在个人信息保护领域迈出了坚实而重要的一步，是对我国个人信息保护治理体系的发展和完善，对规范个人信息处理活动、促进个人信息合理利用具有重要意义。<br> 《办法》规定了开展个人信息保护合规审计的要求，明确了个人信息保护合规审计的频次、负责人、监督机构等内容，给出了个人信息保护合规审计重点审查事项，为开展个人信息保护合规审计工作提供了工作指引和制度保障。<br> 一、《办法》出台对加强个人信息保护具有重要意义<br> 党中央高度重视个人信息保护工作，习近平总书记对加强个人信息保护工作提出明确要求，多次强调，要坚持网络安全为人民、网络安全靠人民，保障个人信息安全，维护公民在网络空间的合法权益。《办法》落实党中央决策部署，坚持以人民为中心的发展思想，聚焦个人信息保护领域的突出问题和人民群众的重大关切。<br> （一）《办法》是落实法律重要制度建设的具体举措。《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《网络数据安全管理条例》等法律法规相继出台，为个人信息保护提供了基本的法律框架与制度设计。其中，《中华人民共和国个人信息保护法》提出个人信息处理者应当定期开展合规审计，以及在特定情况下按照履行个人信息保护职责的部门（以下简称保护部门）要求委托专业机构开展合规审计。《网络数据安全管理条例》提出网络数据处理者应当定期自行或者委托专业机构开展个人信息保护合规审计。《办法》对上位法中的原则性规定进行细化与落实，为个人信息保护合规审计工作提供了具体的制度保障和实施路径，进一步健全了我国的个人信息保护治理体系。<br> （二）《办法》是加强个人信息保护的重要手段。数字经济时代，个人信息价值日益凸显，成为社会经济运行活动必不可少的组成部分，个人信息保护已成为广大人民群众最关心最直接最现实的利益问题之一。《办法》的公布，有助于个人信息处理者和保护部门在检查、评估、认证的基础上，构建以审计为监督抓手的多层次个人信息保护体系，通过合规审计事项有效衔接各项个人信息保护工作，并以独立视角审查和评价个人信息处理活动，极大提高个人信息处理合规水平。<br> （三）《办法》是提升个人信息保护合规水平的有效途径。近年来，随着我国个人信息保护工作深入开展，个人信息处理者的个人信息保护意识不断提升，如何衡量、提升个人信息处理合法合规水平成为个人信息保护工作的重点。个人信息保护是一个持续性、迭代性、动态性的过程，通过开展合规审计工作，不仅关注个人信息处理者存在的实质性违规行为，还可以发现解决个人信息处理者内部合规制度和措施落实过程中存在的问题。《办法》明确了重点审查事项，为个人信息保护合规审计的具体实施提供了指南，可以对个人信息保护合规落实情况进行评价、监督、完善，促进个人信息处理者做好个人信息保护合规建设，提升个人信息合规水平。<br> 二、《办法》明确了个人信息保护合规审计的具体要求<br> （一）压实个人信息处理者个人信息保护合规审计义务。《办法》明确了个人信息处理者的个人信息保护合规审计义务。一是处理超过1000万人个人信息的个人信息处理者，应当每两年至少开展一次个人信息保护合规审计。二是个人信息处理者按照保护部门要求开展个人信息保护合规审计的，应当按要求选定专业机构，并为其在限定时间内完成合规审计工作提供必要支持，报送审计报告，对合规审计中发现的问题进行整改并在整改完成后15个工作日内向保护部门报送整改情况报告。三是处理100万人以上个人信息的个人信息处理者应当指定个人信息保护负责人，负责个人信息保护合规审计工作。提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，应当成立主要由外部成员组成的独立机构对个人信息保护合规审计情况进行监督。<br> （二）规范专业机构个人信息保护合规审计管理机制。《办法》为个人信息处理者按照保护部门要求开展个人信息保护合规审计提供了基本依据。一是明确了保护部门可以要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计的情形。二是提出了专业机构能力要求，鼓励相关专业机构通过认证。三是明确了审计报告签字盖章要求。四是要求专业机构在开展合规审计时，做到遵守法律法规、诚信正直、公正客观、保守秘密，不得转委托其他机构。五是要求同一专业机构及其关联机构、同一合规审计负责人不得连续三次以上对同一审计对象开展个人信息保护合规审计，确保了合规审计的公正性。<br> （三）明确个人信息保护合规审计重点审查事项。《办法》以附件形式提供了《个人信息保护合规审计指引》，明确了个人信息保护合规审计重点审查事项，对上位法要求进行了细化，涵盖面全、实施性强，确保个人信息保护合规审计实施可以有章可循，有效评价个人信息处理活动合规水平。一是对个人信息处理的合法性基础、处理规则，处理敏感个人信息、不满十四周岁未成年人个人信息等个人信息处理规则要求提出了重点审查事项。二是对向境外提供个人信息的要求提出了重点审查事项。三是对个人信息删除权保障、个人行使权利的申请受理和响应、个人信息处理规则解释说明等个人在个人信息处理活动中的权利要求提出了重点审查事项。四是对管理制度、安全技术措施、培训计划、个人信息保护负责人、个人信息保护影响评估、个人信息安全事件应急预案及相应处置等个人信息处理者的义务要求提出了重点审查事项。<br> 《办法》实施需要充分发挥国家标准的支撑作用，个人信息保护国家标准是我国个人信息保护治理体系的重要组成部分，也是落实《办法》的重要支撑。全国网络安全标准化技术委员会作为网络和数据安全国家标准的统一归口技术组织，支撑保障有关政策法规，研制了个人信息安全规范、个人信息安全影响评估指南等个人信息保护重点标准，并正在研制一批个人信息保护合规审计重点标准和实践指南，为《办法》的落地实施提供有力支撑。下一步，将持续发挥国家标准在《办法》实施过程中的重要支撑作用，加强个人信息保护合规审计领域的技术交流，推广个人信息保护合规审计优秀实践案例，为业界提供示范参考。（作者：范科峰，中国电子技术标准化研究院副院长）