Expert Interpretation: Systematically Standardizing Compliance Audits to Protect Personal Information Security

个人信息保护合规审计是监督与评估个人信息处理者切实履行个人信息保护义务的重要制度。《个人信息保护合规审计管理办法》（以下简称《办法》）的制定是以《中华人民共和国个人信息保护法》等法律法规为依据，清晰且全面地规定了个人信息保护合规审计制度的具体实施方式，有效平衡了个人信息安全保护和个人信息合理利用的双重立法目标。《办法》的出台有利于推动个人信息保护义务的充分履行，显著提升个人信息处理活动的透明性和合规性，推动我国个人信息保护工作进入全新阶段，为全球个人信息保护治理实践提供了有益的中国方案。<br> 在世界范围内，各国正在普遍推进个人信息保护合规审计制度的立法进程。欧盟《通用数据保护条例》（GDPR）第二十八条、第三十九条等条款均有提及数据保护审计制度的具体实施方式和义务主体范围。美国各州在各自立法权限内也设置了不同的审计要求，如《加州消费者隐私法》（CCPA）针对存在重大风险的企业，明确每年应当进行一次网络安全审计。英国《数据保护法案》（DPA）和《信息专员办公室（ICO）审计指南》中也提及了自愿性审计和强制性审计等数据保护审计的具体实施流程。<br> 然而，个人信息保护合规审计与各国的个人信息保护体系密切相关，目前并未形成完全统一的合规审计模式。《办法》以中国的个人信息保护实践问题为导向，立足于中国的个人信息保护制度特点，提供了不同于任何一个国家的“中国答案”。总结而言，该《办法》的创新之处主要表现为以下四个方面。<br> 第一，合理设置不同的审计模式，有效避免过重的义务负担。个人信息保护合规审计制度适用于所有类型的个人信息处理者，然而这些主体的业务合规能力有所差别，并且其所处理的个人信息数量、类型也不尽相同，所以，《办法》设置了外部审计和内部审计两种审计模式。外部审计是指个人信息处理者委托外部的专业机构进行合规审计；内部审计是指个人信息处理者自行开展个人信息保护合规审计。当国家网信部门和其他履行个人信息保护职责的部门（以下统称为保护部门）发现个人信息处理活动存在较大风险，可能侵害众多个人的权益或者发生个人信息安全事件时，可以要求个人信息处理者采用外部审计模式。此外，《办法》明确规定处理超过1000万人个人信息的个人信息处理者，应当每两年至少开展一次个人信息保护合规审计。这将有助于对个人信息处理者的安全风险状况进行全方位、短周期地评估和审查。<br> 第二，明确专业机构、审计人员和审计活动的独立客观性。个人信息保护合规审计制度最重要的环节是确保合规审计活动的独立性和客观性，这样才能确保依据合规审计活动作出的审计结论能够真实地反映个人信息处理者的业务合规情况，进而对个人信息处理者提出针对性的审计建议。在专业机构方面，《办法》设置了“同一专业机构及其关联机构、同一合规审计负责人不得连续三次以上对同一审计对象开展个人信息保护合规审计”的要求，背后的原因正是为了预防专业机构在多次的合规审计活动中疏忽审计对象可能出现的新问题新情况，也能够有效避免专业机构与审计对象之间形成“黑幕交易”。在审计人员方面，《办法》对审计人员的审计行为和职业操守作出了详细规定，包括专业机构主要负责人、合规审计负责人应当在审计报告上签字并加盖专业机构公章，专业机构不得泄露或者非法向他人提供在履行个人信息保护合规审计职责中获得的个人信息、商业秘密、保密商务信息等。<br> 第三，细化个人信息保护合规审计的重点审查事项。该《办法》的一大亮点在于配套设置了个人信息保护合规审计的具体审查事项，这些审查事项的设置以《中华人民共和国个人信息保护法》的具体规则作为上位法依据，指明了个人信息保护业务合规的核心内容。以知情同意规则为例，在实践中，社会公众对人脸识别技术应用背后的个人信息处理规则不甚了解，部分原因是个人信息处理者未能履行事前告知义务，并获取用户单独同意。那么按照该《办法》所提出的合规审计标准，即便个人信息处理者采用了用户协议的形式予以告知，但是倘若用户协议内容冗长晦涩，这类行为不符合“以显著方式、清晰易懂的语言真实、准确、完整地向个人告知个人信息处理规则”审查要求，属于典型的业务合规不到位。<br> 第四，充分发挥合规审计的监督和整改效果。该《办法》明确要求个人信息处理者按照保护部门要求开展个人信息保护合规审计的，应当对合规审计中发现的问题进行整改，在整改完成后15个工作日内，向保护部门报送整改情况报告。该要求凸显了合规审计的核心功能之一是通过客观公正的审计活动评估风险、发现问题，并为个人信息处理者提供更好的整改优化建议。因此，个人信息处理者不应当将此种制度视为额外的义务负担，而是另一种形式的业务合规优化机制。并且，为了实现个人信息保护合规的透明化，该《办法》还依据《中华人民共和国个人信息保护法》的规定将大型网络平台的个人信息保护社会责任报告纳入审计事项，形成了个人信息保护从落地实施到事后评估监督的制度闭环，也让社会公众能够更为直观地了解到自己的个人信息究竟如何被处理和安全保护。<br> 个人信息保护合规审计制度的优点在于，通过独立客观的审计活动，以《中华人民共和国个人信息保护法》等法律法规作为审计依据，“逐条逐项”地确保个人信息保护制度落地落实。个人信息保护是一项长期性、系统性和动态性的现代化治理活动，需要结合产业模式、科技创新的实践情况进行同步规划、同步监管、同步更新。该《办法》是我国个人信息保护立法工作的又一创新成果，有助于督促个人信息处理者切实保障好公民的个人信息权益，高效促进个人信息的合理利用和充分流动，夯实个人信息保护成效。（作者：赵精武，北京航空航天大学法学院副教授、院长助理）