kaiyun体育登录网页入口 专家声音 |《个人信息保护合规审计管理办法（征求意见稿）》六大要点解读

转自：广州粤港澳企业诚信与合规联合会智库专家LEGEL EYE看法

关键词：数据安全; 个人信息保护;区块链;人工智能;大数据;智能合约;涉外法律服务;专业律师

本期关键词：个人信息保护;合规审计

本文约8193字，阅读约需8分钟。

前言：

当我们听到和看到“审计”一词时，一般都与财务审计联系在一起，一般的定义是“审计是国家授权或委托专职机构和人员，按照国家法律法规、审计准则和会计学说，采用特殊方法，对审计的真实性、正确性、合规性进行审计和监督， 对被审计单位的财务、财务收支、经营管理活动及有关信息的合法性、有效性，评估经济责任，核实经济经营情况。为维护财经纪律、改善经营管理、提高经济效益而开展的独立经济监督活动。

这一次，个人信息保护审计进入了人们的视野（惊讶的表情）。财务审计大家都熟悉，那么为什么还需要对个人信息保护合规性进行审计呢？就我个人而言，我的理解很简单，因为我们已经进入了数字经济时代，商业活动都渗透着个人信息的流动。我们每个人在日常生活中带来的各种数字便利都与我们的个人信息处理活动有关。泛指，在数字经济时代，法律行为已经表现为数字化行为和数据处理行为。我们每个人都传输个人信息（您的电话号码、位置、帐号），并通过各种“公共”或“私人”主体的数据处理拥有权利、义务和责任。这也意味着，数据（个人信息）的处理是否合法合规，即经济活动本身是否合法合规，是一个重要的反映。

2023年8月3日，国家互联网信息办公室发布《个人信息保护合规审计管理办法（征求意见稿）》（以下简称《征求意见稿》）向社会公开征求意见。那么这个什么是个人信息保护合规审计呢，我们一起来看看呢？

1. 什么是个人信息保护合规审计？

《征求意见稿》第三条指出，“本办法所称个人信息保护合规审计，是指对个人信息处理者的个人信息处理活动是否符合法律、行政法规的规定进行审查和评估的监督活动”。

审计是指个人信息处理活动（根据《个人信息保护法》第4条，“个人信息的处理包括个人信息的收集、存储、使用、处理、传输、提供、披露、删除等”）。

这

审计的内容是是否遵守《法律、行政法规》，也可以理解为审计的依据是法律、行政法规，并进一步理解目前在个人信息保护领域存在的大量法规亟待提升到行政法规的层面， 因为法规不能作为审计的依据。如果根据本条的规定来理解。

审计主要表现为“审查和评估”，最终目的是对个人信息的处理进行监督。这意味着，审计结果将影响企业后续对个人信息的处理。

二、在什么情况下应当进行个人信息保护合规审计？

《征求意见稿》第二条提到了两种情形，第一种是“个人信息处理者定期进行个人信息保护合规审计”，这实际上源自《个人信息保护法》第54条规定“个人信息处理者应当按照法律、行政法规的规定定期对其处理个人信息的行为进行合规审计”， 第五十四条在“个人信息处理者的义务”一章中。也就是说，定期审计是一项法定义务，就好像没有任何情况可以免除一样。但是，《征求意见稿》第四条规定了两类定期审计，一种是年度审计，适用于“处理100万人以上个人信息的个人信息处理者”，另一种是每两年进行的审计，即100万人以外的审计。因此，可以判断，大多数机构都可能参与两年一次的审计。

第二种情形是“委托专业机构按照履行个人信息保护职责的部门的要求，对其个人信息处理活动进行合规审计”。那么，这个“要求”是不是显得非常不确定呢？《征求意见稿》第六条对“履行个人信息保护职责的部门发现个人信息处理存在较大风险或者在履行职责过程中发生个人信息安全事件”进行补充，该句可以细化为两种情形，一是发现风险较大（表明未发生事故）， 另一种是已经发生了事故。那么，高风险的一般情况是什么呢？我想我主要指的是“裸奔”的情况。即没有专门的机构，没有负责人，没有制度，没有培训，没有基本的防护措施，等等。用白话来说，连“保安”都没有被邀请。

3. 内部审计还是外部审计？

众所周知，有一种是内部自查的“内部审计”，也有一种是聘请第三方机构进行“外部审计”的“外部审计”。《征求意见稿》第五条明确，开展自我审计的，可以进行“内部审计”，也可以委托第三方机构进行“外部审计”。第6条、第7条明确，如果按照监管部门的要求进行审计，一般是指“外部审计”。

4. 专业机构有哪些权利？如何判断？

《征求意见稿》第八条给出了九项许可，其中还阐明了主要方式是审计，可归纳为四类，第一类是查阅方式，查阅资料、数据、信息等;第二类是侦查方式，对场所、经营活动、系统以及有关设备设施进行观察、调查、检查、试验;第三类是面谈的方式开yun官网入口登录APP下载，即与相关人员进行面谈和了解;第四种是外部侦查，依靠外部公开信息或第三方渠道进行核实核实。

5. 审核完成后会发生什么？

审计完成后，主要有两件事，一是提交审计报告（《征求意见稿》第十条），二是按照审计报告的要求完成整改（《征求意见稿》第十一条）。

6、审计机关的义务是什么？《

征求意见稿》第十二条、第十四条规定了专业机构的主要义务kaiyun体育，主要内容为一是保证独立客观、廉洁、公正、客观;第二，不允许分包（说实话，这篇文章有点问题，数据合规审计确实不是任何一个组织可以独立完成的事情，应该允许分包，所以这句话应该写得更详细一些，比如“超过50%的工作不得分包”）;第三，保密性和数据安全性;四是不允许恶意干扰企业正常经营。

总结：

以上是《征求意见稿》重点开展个人信息保护合规审计的六大主要内容。《征求意见稿》还附上了“个人信息保护合规审计的参考要点”，共31条，主要细化了个人信息保护法中个人信息处理者的义务，为大家提供更加有针对性的指导。

随着《征求意见稿》的出台，个人信息保护合规审计工作已进入启动阶段，近期应会形成正式的管理办法，甚至过一段时间，还会形成行政法规性质的暂行规定。因为审计行为对企业的影响非常大，尤其是在数字经济时代，而且也是政府的行为，按照法治政府建设的要求，个人信息保护合规审计的立法水平将逐步提高。

认识团队

我们的团队专注于“一带一路”倡议和海外投资并购、跨境争议解决、公司与股权、新兴科技法律服务（人工智能、区块链、数据安全与信息保护）、合规管理等领域。

山涛律师是广东易瑞律师事务所高级合伙人、管委会主任，中山大学/广东外语外贸大学法学院兼职教授、硕士生导师云开·全站apply体育官方平台，中南财经政法大学博士研究生。

牌照号码：

14401200810597414

山涛律师是中华全国律师协会涉外法律事务领军人才库、司法部“全国涉外律师人才目录”候选人、司法部“一带一路”跨境律师人才库首批成员、中华全国律师协会“一带一路”跨境律师人才库成员， 并已取得国际认证机构EXIN的DPO（Data Protection Officer）认证，具备担任欧盟GDPR项下大型企业法定DPO职位的资格，并通过了隐私和数据保护专业考试和ISO27001信息安全考试。

过去推荐