Expert Interpretation: Issuance of the 'Personal Information Protection Compliance Audit Management Measures' to Safeguard the Sustainable and Healthy Development of the Digital Economy

加强个人信息保护，是贯彻习近平总书记“网络安全为人民，网络安全靠人民”重要指示精神的体现。《中华人民共和国个人信息保护法》第五十四条规定，个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。第六十四条规定，履行个人信息保护职责的部门在履行职责中，发现个人信息处理活动存在较大风险或者发生个人信息安全事件的，可以要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。近日，国家互联网信息办公室公布《个人信息保护合规审计管理办法》（以下简称《办法》），是对《中华人民共和国个人信息保护法》审计要求的细化落实，明确了审计对象、审计条件和审计重点事项，为个人信息保护合规审计活动提供重要依据，是个人信息保护工作的里程碑。<br> 一、为数字经济持续健康发展提供保障<br> 在数据成为新生产要素的背景下，个人信息的安全利用有助于加速数据要素流通，深度释放数据价值，推动数字经济持续健康发展。违法违规收集使用个人信息、个人信息泄露等安全事件，严重影响了数据的深度挖掘、分析、利用和交易。为规避数据泄露、数据滥用的风险，有的个人信息主体不愿意提供更多的个人信息，有的个人信息主体在个人信息处理者征求个人同意时，选择拒绝或者尽可能少的授权，甚至提交非真实信息。缺乏信任除影响个人信息主体提供和披露其个人信息的积极性外，也成为个人信息处理者之间共享数据的障碍。<br> 合规审计将对个人信息处理者在收集、使用个人信息时遵循相关法律、行政法规的情况进行审查和评价，及时发现个人信息保护工作中存在的问题，纠正违法违规行为，提升个人信息保护水平。依法依规进行的个人信息保护合规审计能提升个人信息处理者的安全保障能力，增强个人信息主体对个人信息安全的信心，从而愿意提供更多的数据资源，也积极支持个人信息处理者的深度挖掘、利用和共享等。加强合规审计工作，是确保个人信息保护工作落到实处、取得实效的重要举措，也是推动数字经济健康发展的必然选择。<br> 二、为个人信息处理者合规提供依据<br> 《中华人民共和国个人信息保护法》公布施行以来，国家网信部门以及其他履行个人信息保护职责的部门持续开展个人信息专项治理，个人信息保护工作取得阶段性成果，网民的个人信息保护意识显著增强，广大网民关注的隐私政策、强制索取权限、一揽子授权等问题有所改善。同时，超范围收集个人信息、个人信息泄露等问题还不同程度存在，需要进一步压实个人信息处理者个人信息保护主体责任，持续推进个人信息保护工作。<br> 《办法》坚持问题导向、底线思维，坚持个人信息利用和保护并重，回应了个人信息保护治理出现的新情况、新问题、新需求，具有较强的针对性和可操作性。个人信息处理者要深刻认识个人信息保护合规审计工作的重要性和紧迫性，通过落实《办法》，健全风险防范的法律体系，守住底线红线，确保个人信息依法依规收集和使用。通过开展个人信息保护合规审计工作，建立健全个人信息保护制度，提升个人信息安全意识，完善内部保护机构，强化个人信息安全保护措施，形成完整的个人信息合规矩阵，提升个人信息安全保护能力，将个人信息保护法的个人信息处理规则和安全保障义务传达至个人信息处理者的业务层面。<br> 三、推动个人信息保护审计工作做深做实<br> 依法治网的本质，是为互联网健康有序发展提供保障。《办法》为个人信息处理者和审计机构依法依规开展个人信息保护合规提供了明确指引。为推动我国个人信息保护水平进一步提升，监管部门、各类个人信息处理者相关主体应积极落实《办法》的规定，加快适应规范化、常态化的个人信息保护要求。<br> 一是妥善处理安全与发展的关系。个人信息安全牵一发而动全身，只有筑牢个人信息安全基石，才能保障个人信息安全合规的流通。这决定了个人信息合规审计监管工作要坚持保护与利用并重，把个人信息依法有序流动和合理开发利用作为个人信息保护合规审计监管工作的基本原则。要围绕个人信息收集、存储、使用、加工、传输、提供、公开、删除等各个环节，依托个人信息合规审计等个人信息合规制度工具，建立涵盖个人信息整个生命周期的审计监管制度。同时也要看到，《办法》积极释放了调整改革信号，有利于提振市场主体信心。个人信息处理者严格落实《办法》，依法依规开展个人信息保护合规审计，有利于推动个人信息依法有序自由流动，让数据变成真正的活水，真正激发数据要素的价值。<br> 二是完善审计机制，健全合规能力。个人信息处理者应充分认识到审计工作的重要性和必要性，理解把握《办法》相关要求，加快建立与个人信息保护合规审计相适应的技术和管理体系，避免高风险事件的发生。个人信息处理者应理顺自主开展审计的流程和方式，自觉定期开展合规审计，并为审计机构提供必要的支持和协助，确保审计工作的顺利进行。各相关机构应加强对个人信息保护合规审计工作的宣传和教育，提高全社会对审计工作的认知度和支持度。<br> 三是打造专业队伍，形成科学方案。个人信息处理者委托专业机构开展审计工作时，专业机构应针对特定的审计对象，制定相适应的审计计划和方案。充分发挥中国网络空间安全协会个人信息保护专业委员会的作用，可以考虑在个保专委会下设立个保审计工作组，对个人信息保护专业审计机构和审计人员进行自律管理。加快完善审计机构行业自律规范，以团标先行的方式推动标准建设，引导专业机构建立科学的审计指标体系，客观评价被审计单位的合规情况，出具高质量审计报告。规范发展审计机构人员队伍，通过系统培训考试，使审计人员掌握个人信息保护的相关法律法规、技术标准规范，更加准确地理解和适用《中华人民共和国个人信息保护法》《个人信息保护合规审计管理办法》相关要求，有效履行个人信息保护合规审计职责。（作者：杜阿宁，中国网络空间安全协会副秘书长）