《数据安全技术个人信息保护合规审计要求（征求意见稿）》解读：企业如何应对个人信息保护合规审计？（上）





首页 产品与服务 解决方案 客户案例 技术支持 合作发展 关于美创 用户退出 合作商登录 用户登录 申请试用

行业解决方案政府解决方案金融解决方案医疗解决方案教育解决方案能源解决方案物流交通解决方案

售后服务文档中心年度培训

渠道政策申请成为合作伙伴渠道专区

公司动态行业资讯安全研究

热门阅读

国务院：审议通过《网络数据安全管理条例（草案）》

2024-09-02

聚焦医疗数据安全｜美创亮相“2024健康中国医疗健康产业大会”

2024-08-29

美创荣获“中国数据安全领域最具商业合作价值企业”

2024-08-28

国家数据局：数据产业和企业数据资源开发利用政策即将出台

2024-08-28

从这三方面入手，杜绝“删库跑”！

2024-08-22

数据安全唠唠嗑 | 谁在用、用什么、怎么用？

2024-09-06

北京市通信管理局关于开展2024年电信和互联网行业网络与数据安全检查的通知

2024-09-05

有界？无界？—寻找数据安全的边界！

2024-09-04

国家安全部：依法守护数据安全

2024-09-03

国务院：审议通过《网络数据安全管理条例（草案）》

2024-09-02

《数据安全技术个人信息保护合规审计要求（征求意见稿）》解读：企业如何应对个人信息保护合规审计？（上）

发布时间：2024-07-24 阅读次数： 206 次

我国《个人信息保护法》首次以法律的形式明确个人信息处理者具有法定合规审计义务，该法第54、64条分别规定了定期审计、监督审计两种类型。2023年8月，国家互联网信息办公室起草《个人信息保护合规审计管理办法（征求意见稿）》（下称“审计办法”）。2024年7月12日，全国网络安全标准化技术委员会公布了国家标准《数据安全技术个人信息保护合规审计要求（征求意见稿）》（下称“审计要求”），进一步细化了个人信息保护合规审计流程、审计证据类型及有效性要求、审计内容等方面的要求。

下文将从个人信息保护合规审计工作对企业的意义出发，阐述个人信息保护合规审计的制度特点，以及解读个人信息保护合规审计的新增内容，以期明确企业应当如何应对并开展个人信息保护合规审计工作。

一、个人信息保护合规审计的双重意义

从企业自身发展来看，个人信息合规审计不仅是企业履行个人信息保护义务的强制性要求，也是个人信息处理者实现内部风险管理控制的有效指引。企业依法完成个人信息保护合规审计工作，可以帮助个人信息处理者定期筛查自身在个人信息处理、控制等方面存在的不足，有助于个人信息处理者提高个人信息保护水平，避免企业及员工因处理个人信息不合规，引发承担法律责任、受到相关处罚、造成经济或声誉损失以及其他负面影响的可能性。

国家标准具有规范和引领的双重作用。国家标准《审计要求》的出台，不仅是为相关机构对个人信息处理活动进行个人信息保护合规审计提供参考，明确了个人信息保护合规审计的实施要求；对企业自身而言，意味着从审计机构的中立性角度来审视企业进行个人信息处理行为的合法合规性。未来该项国家标准的出台，也会为个人信息处理者如何做好个人信息保护合规工作提供了清晰明确的行为指引。

二、个人信息保护合规审计的制度特点

个人信息处理者如何落实个人信息保护合规审计工作，需要分别从体系化、前置化、细节化这三个不同维度，去理解个人信息保护合规审计的制度特点。

（一）体系化

个人信息保护合规审计的范围覆盖了个人信息处理活动全生命周期的各个阶段。《审计办法》及其附件《个人信息保护合规审计参考要点》（下称“参考要点”）中涉及的参考要点，包括个人信息处理活动的合法性基础条件、个人信息处理规则、个人信息处理者处理个人信息时的告知义务、与他人共同处理个人信息、委托处理个人信息、因合并、重组、分立、解散、被宣告破产等原因需要转移个人信息、向其他个人信息处理者提供其处理的个人信息等各个阶段的个人信息处理行为，以及覆盖内部管理制度和操作规程、安全技术措施、教育培训计划的制定和实施、个人信息保护影响评估、个人信息安全事件应急预案、个人信息安全事件应急响应处置等不同环节与场景，共计31条。《审计要求》附录C对上述条款全面覆盖，并进一步细化，形成了C1-C37共37个小节，分别列明了审计内容、审计证据及其审计方法。个人信息处理者可以据此厘清自身业务流程，对涉及的不同环节和应用场景进行逐一排查。

相较于《参考要点》的相关规定，作为国家标准的《审计要求》进一步扩充了个人信息处理必要性（附录C.2），未成年人个人信息保护合规审计（C.17-22）的内容。其中，《参考要点》第13条第（二）款、第14条规定了处理未成年人个人信息时应审查是否同意、处理规则、告知情况以及是否强制要求同意信息处理四个方面。国家标准《审计要求》除了上述四点合规审查外，新增未成年人真实身份审核（附录C.17），收集未成年人个人信息等最小必要（附录C.18.2），未成年人个人信息主体权利审查（附录C.19），未成年人个人信息安全事件应急响应处置（附录C.20），未成年人个人信息访问的最小必要（附录C.21），未成年人私密信息保护（附录C.22）等审计内容。

《审计要求》中的内容对于企业如何合法合规处理未成年人个人信息也具有借鉴意义。在未成年人个人信息保护相关的立法规章未能出台之前，个人信息处理者可以结合《审计要求》中的审计要点，来明确行业实践中应当如何处理未成年人个人信息的具体操作步骤。

同时，个人信息处理者还可以根据《审计要求》附录所列明的审计证据要求，来规划未成年人个人信息处理活动中应保存和记录的文档，保证信息处理活动的透明度和可追溯性，例如留存隐私政策、用户协议、告知文案、未成年人或其监护人行使权利的记录等方面的信息。

（二）前置性

合规审计工作是在个人信息处理活动发生后的评估审查，审计证据是审计机构出具意见和做出审计结论的依据，因此，个人信息保护合规审计工作落地的重点在于审计证据的前期准备工作。

个人信息处理者需要按照《审计要求》的规定进行证据管理。按照《审计法》的要求，被审计的单位应当对提供资料的及时性、真实性和完整性负责。《审计要求》第5.1.3条“个人信息保护合规审计证据管理”中明确规定了对审计证据如何进行管理，即个人信息处理者应保证提供的审计证据真实、完整、有效，并满足特定要求。例如，要求访问日志、存储日志、传输日志、删除日志等网络日志应是未经篡改的原始记录。

同时，《审计要求》附录B“个人信息保护合规审计证据”给出了个人信息保护合规审计证据类型及有效性参考，要求审计证据应能体现个人信息处理者的个人信息保护情况，而且应对于个人信息合规判断具有相关性，其取得的方式应具有合法性，其记录的内容应具有真实性。

需要特别提示的是，既然审计证据必须是合法、真实、准确的，难以通过后天的努力而进行事后补救，那么，企业应当提前着手做好审计证据的记录留存工作。企业对于个人信息保护合规审计的准备工作，需要前置到企业的日常合规工作流程中去，可以参考《审计要求》附录B的内容，规划自身在进行个人信息处理行为时应记录、管理的相关文件清单，及时对涉及个人信息处理活动的客观证据进行记录、归档、留存和维护，以供审计部门查阅。同时，除了审计证据管理之外，个人信息处理者也需要进行相应的人员配置、制度建立、设施安排等准备工作。

（三）细节化

如前所述，个人信息保护合规审计工作落地的难点，正是在于企业就如何应对审计内容，应当准备哪些与之相关的审计证据。审计证据的充分性和适当性也是审计证据的两个重要特征，只有充分且适当的审计证据方可具有证明力，如何细化审计证据，也必然成为国家标准重点规定的内容。

《审计办法》及其《审计要点》已经较为全面地覆盖了《个人信息保护法》中涉及的个人信息保护处理活动的合规义务，审计范围涵括企业的个人信息处理活动的各类应用场景。国家标准《审计要求》在此基础上进一步细节化，通过附录B、附录C等资料性文件，对审计证据和审计方法逐一分解，清晰明了地列明企业所需要提供哪些具体证明材料的类型及内容。便于个人信息处理者结合个人信息处理者的业务情况和行业发展等综合考量，来建立自身的个人信息保护制度体系，履行相应的合规义务，并在企业经营过程中记录并留存相关的各类文件及证明材料，以备审计部门查阅需要。

作者简介：

朱芸阳，北京清律律师事务所主任

来源：数据安全共同体计划

上一条：《数据安全技术个人信息保护合规审计要求（征求意见稿）》解读：企业如何应对个人信息保护合规审计？（下）
下一条：聚焦二十届三中全会|这些内容与数字经济、数据安全有关！