一、 为什么要做个人信息保护合规审计?

　　(一)上位法律依据

　　· 《中华人民共和国个人信息保护法》

　　第五十四条规定，个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。

　　第六十四条规定，履行个人信息保护职责的部门在履行职责中，发现个人信息处理活动存在较大风险或者发生个人信息安全事件的，可以按照规定的权限和程序对该个人信息处理者的法定代表人或者主要负责人进行约谈，或者要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。

　　· 《网络数据安全管理条例》

　　第二十七条：网络数据处理者应当定期自行或者委托专业机构对其处理个人信息遵守法律、行政法规的情况进行合规审计。

　　(二)基础法律

　　· 《个人信息保护合规审计管理办法》

　　个人信息处理者自行开展合规审计的，应当由个人信息处理者内部机构或者委托专业机构定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。处理超过1000万人个人信息的个人信息处理者，应当每两年至少开展一次个人信息保护合规审计

　　(三)法律责任的衔接

　　· 行政处罚：未履行合规审计义务的，监管部门可依据相关法律法规责令改正，并处以罚款。

　　· 刑事责任：如果拒不改正且导致严重后果，可能被追究刑事责任。例如如果监管部门发现个人信息处理活动存在较大风险或发生个人信息安全事件，要求个人信息处理者委托专业机构进行合规审计，而处理者拒不执行，导致严重后果(如大量个人信息泄露、严重侵害个人权益等)，则可能构成“拒不履行信息网络安全管理义务罪”。

　　二、 个人信息保护合规审计与个人信息保护体系如何融合?

　　个人信息保护合规审计是个人信息保护体系中实现PDCA(计划-执行-检查-行动)闭环管理的重要环节。其核心功能包括：

　　1. 评估风险：通过访谈、文件检查、现场检查等方式收集证据，依据法律法规进行合规性分析。

　　2. 发现问题：在检查阶段发现个人信息保护措施的不足之处。

　　3. 提出建议：审计报告阶段对审计对象的合规性作出评价，并提出整改建议。

　　三、 个人信息保护合规审计针对不同类型企业的要求

　　(一)自行开展合规审计的公司

　　1. 一般要求：个人信息处理者应定期进行合规审计, 可根据自身情况合理确定审计频次。

　　2. 特定规模公司：处理超过1000万人个人信息的处理者，每两年至少开展一次合规审计。

　　(二)被监管部门要求开展合规审计的公司 (基于风险的专项审计)

　　· 当监管部门发现个人信息处理活动存在较大风险或发生安全事件时，可要求处理者委托专业机构进行合规审计。处理者需提供必要支持，承担审计费用，并在限定时间内完成审计和整改。

　　(三)大型互联网平台运营者

　　1. 平台规则审计：重点审计平台规则的合法合规性、公平公正性及个人信息保护条款的有效性。

　　2. 平台内经营者监督：监督平台内产品或服务提供者的个人信息处理活动，包括定期审核其个人信息处理规则的合法性、合理性，并对严重违规者及时停止服务。

　　四、 个人信息保护合规审计的重点

　　个人信息保护合规审计应基于“风险”的审计理念，通过识别、评估和管理风险，确保个人信息处理活动的合法性和安全性。重点包括：

　　1. 风险评估机制：审查个人信息处理者是否建立了个人信息保护影响评估机制，是否存在过度收集个人信息的情况。

　　2. 安全事件应急响应：评价应急预案是否全面、有效、可执行，是否结合业务实际对风险进行了系统评估和预测。

　　3. 风险防范措施：检查是否根据个人信息的种类、敏感程度和用途，采取了针对性的安全技术措施。

　　审计范围涵盖个人信息处理活动的全过程，包括收集、存储、使用、加工、传输、提供、公开等环节。审计重点审查事项包括：

　　1. 个人信息处理规则：合法性基础、处理规则、敏感个人信息处理等。

　　2. 个人权益保护：个人信息删除权保障、个人行使权利的申请受理和响应机制。

　　3. 特殊场景：未成年人个人信息保护、个人信息出境等。

　　4. 安全技术措施：加密、去标识化等技术措施的有效性。

　　5. 管理制度与应急预案：个人信息保护管理制度、培训计划、个人信息保护影响评估、个人信息安全事件应急预案等。

　　五、 如何区分个人信息保护合规审计与个人信息安全影响评估(PIA)?

　　个人信息保护合规审计与个人信息安全影响评估共同构成了企业个人信息保护的核心框架和基础工具。个人信息保护合规审计可以作为个人信息安全影响评估的重要参考依据;个人信息安全影响评估的结果也可以为合规审计提供风险提示，也可以为审计提供合规证据。二者的主要区别如下：

　   六、 个人信息保护合规审计的工作步骤

　　(一)审计计划

　　· 明确审计目标、范围、方法、时间安排及人员分工，确保审计工作的系统性和有效性。

　　(二)审计实施

　　· 对个人信息处理活动进行全面审查，包括收集、存储、使用、加工、传输、提供、公开等环节。重点关注个人信息处理的合法性基础、处理规则、个人权益保护机制、安全技术措施的有效性等。

　　(三)审计证据收集

　　· 收集充分、适当的证据，包括文件审查、访谈、现场检查、技术检测等，以支持审计结论。

　　(四)审计报告

　　· 审计报告应由专业机构主要负责人和合规审计负责人签字，并加盖公章。报告内容需包括审计发现的问题、风险评估结果及整改建议。

　　(五)审计结果与整改

　　· 个人信息处理者需根据审计报告进行整改，并在整改完成后15个工作日内向监管部门报送整改情况报告。

　　七、 个人信息保护合规审计的审计证据

　　(一)技术措施相关证据

　　· 匿名化、去标识化、访问控制等技术措施的文档和实地演示。

　　· 个人信息安全检测报告、咨询报告等。

　　· 有效性要求：技术真实性检查及第三方评估证明。

　　(二)协议文件

　　· 隐私协议、用户服务协议、雇员合同、数据提供协议、委托处理协议、个人信息出境合同等。

　　· 有效性要求：获得协议各方的有效同意并实际生效和执行。

　　(三)管理文件

　　· 组织章程、产品或服务合格认定制度、合规管理制度、保密制度、企业标准等。

　　· 有效性要求：经过正当的起草或批准程序并生效实施。

　　(四)评估报告

　　· 个人信息保护影响评估报告、数据出境安全风险自评估报告。

　　· 有效性要求：经内部或第三方签署的报告留存。

　　(五)资质证明

　　· 网络安全等级保护、个人信息保护认证、数据安全管理认证、ISO等。

　　· 有效性要求：开展有效的审查并出具正式有效的证明，证明出具单位具有相应能力。

　　(六)工作记录

　　· 个人信息处理活动记录、培训记录、应急演练记录、审批记录等。

　　· 有效性要求：能够反映真实情况的纸质或电子记录。

　　(七)网络日志

　　· 访问日志、存储日志、传输日志、删除日志等。

　　· 有效性要求：未被篡改的原始记录。

　　(八)决策文件

　　· 个人信息重大事项决策会议纪要、记录。

　　· 有效性要求：未被篡改的原始记录。

　　(九)用户投诉和处理情况

　　· 用户投诉举报渠道、机制，以及涉及个人信息投诉举报案件数量及处理情况。

　　· 有效性要求：能够反映真实情况的纸质或电子记录。

　　(十)历史审计和事件记录

　　· 以往审计发现的个人信息保护相关问题、涉及个人信息的法律诉讼、个人信息相关安全事件或违规事件等资料。

　　· 有效性要求：以往审计报告、相关诉讼资料或官方文件。

　　(十一)特殊审计证据

　　· 敏感个人信息处理记录：单独同意记录。

　　· 未成年人个人信息保护记录：监护人同意记录。

　　· 数据出境相关记录：安全评估报告、与境外接收方签订的合同等。

　　八、 个人信息保护合规审计是否是我国独特的制度要求?

　　个人信息保护合规审计是全球主流的个人信息保护工具之一，我国的制度与国际接轨。

　　(一)欧盟

　　· 《通用数据保护条例》(GDPR)：较早引入了数据保护审计制度，要求数据控制者和处理者通过合规审计评估其个人信息处理活动是否符合GDPR及相关规定。

　　· EDPS审计指南：欧盟数据保护监管局(EDPS)发布了《EDPS审计指南》，明确了审计的定义、对象、启动条件等内容。

　　· 实践情况：截至2024年5月，EDPS已公布多份数据保护审计报告，体现了审计制度的广泛应用。

　　(二)美国

　　· 州隐私保护法律：美国各州根据自身立法权限制定了不同的隐私保护法律，例如《加州隐私权法案》(CPRA)要求处理消费者个人信息且存在重大风险的企业每年进行网络安全审计。

　　· GAO审计指南：美国政府问责办公室(GAO)发布了《网络安全项目审计指南》，为企业和监管机构提供了一套评估网络安全项目的方法。

　　· 监管机制：通过联邦贸易委员会(FTC)等机构对违规行为进行调查和处罚。

　　(三)英国

　　· 《数据保护法案》(DPA)：英国的《数据保护法案》和《信息专员办公室(ICO)审计指南》规定了自愿性和强制性审计的具体流程。

　　· 实践情况：截至2024年5月，ICO已公布42份数据保护审计报告，体现了审计制度在英国的广泛应用。

　　(四)其他国家

　　· 澳大利亚：《隐私法》要求企业定期进行隐私影响评估(PIA)，并根据需要进行合规审计。

　　· 加拿大：《个人信息保护与电子文件法》(PIPEDA)要求企业建立隐私管理体系，并定期进行合规审计。

　　· 巴西：《通用数据保护法》(LGPD)要求企业进行数据保护影响评估(DPIA)，并根据需要进行合规审计。

　　九、 个人信息保护合规审计中的技术手段参与

　　(一)技术手段

　　1. 自动化审计工具

　　自动化审计工具能够快速、准确地对企业的个人信息处理活动进行全面扫描，检测是否存在不符合隐私合规要求的情况，例如过度收集个人信息或未经授权使用个人信息。这些工具还可以对系统安全状况进行评估，查找潜在的安全漏洞，如系统漏洞、代码漏洞等，确保企业系统的安全性。

　　2. 数据追踪与分析

　　利用先进的文本挖掘与数据分析技术，构建复杂的数据流动与交互模型，跨系统、跨平台追踪数据轨迹，精准揭露跨系统的合规问题。依托大数据平台，运用统计分析与自然语言处理(NLP)技术，深度挖掘文本类证据中的异常行为模式与潜在意图，确保数据采集、处理、存储的每一步都符合法律法规要求。

　　3. 匿名化与数据删除验证

　　审计过程中会检查匿名化方案的设计文档，确认其是否符合法律要求(如“不可逆”)，并验证匿名化技术(如去标识化、泛化)的实施效果。对于数据删除，审计会验证企业是否按照规定的技术方案落实删除措施，并通过模拟攻击(如数据还原测试)评估现有措施的可靠性。

　　4. 审计知识库与证据管理

　　构建全面覆盖法律法规、行业标准、企业政策及实践案例的审计知识库，支持实时更新与动态扩展，确保企业能迅速获取所需信息。对审计过程中收集的各类证据进行加密处理，确保证据的真实性、完整性和可追溯性，同时支持文件格式的自动转换与标准化处理。

　　十、 个人信息保护合规审计与 IT 审计的异同

　　个人信息保护合规审计与 IT 审计在目标、范围、重点和方法上存在诸多区别和共同点，以下是详细的比较分析：

　　(一)区别

　　十一、 个人信息保护合规审计结果如何进行有效评价

　　根据《个人信息保护合规审计管理办法》及相关解读，评价审计结果可以从以下几个方面展开：

　　(一)合规性评价

　　1. 法律法规遵循情况：审计结果需明确个人信息处理活动是否符合《个人信息保护法》《网络安全法》等法律法规要求。

　　2. 个人信息处理规则的合法性：审查个人信息处理规则是否符合法律要求，是否在合理时间内对个人的查询和解释要求作出通俗易懂的说明。

　　3. 个人信息主体权利保障：评价是否建立了便捷的个人行使权利的申请受理机制，是否及时响应个人行使权利的申请，并完整、准确告知处理意见。

　　(二)技术措施评价

　　1. 安全技术措施的有效性：评价是否采取了与个人信息规模和类型相适应的安全技术措施，如加密、去标识化等，以确保个人信息的保密性、完整性和可用性。

　　2. 技术措施的可操作性：审查技术措施是否能够合理确定个人信息的操作权限，减少未经授权的访问和滥用风险。

　　(三)内部管理评价

　　1. 内部管理制度的完善性：评价是否建立了个人信息保护的内部管理制度和操作规程，包括组织架构、人员配备、行为规范、管理责任等是否与法律要求相适应。

　　2. 教育培训计划的执行情况：审查是否按计划对管理人员、技术人员、操作人员等开展安全教育和培训，并对培训效果进行考核。

　　3. 个人信息保护影响评估：评价是否在处理对个人权益有重大影响的个人信息前进行了影响评估，并保存相关记录。

　　(四)风险管理和应急响应

　　1. 风险评估与应对：评价是否对个人信息处理活动的合法性、必要性、安全性进行了全面评估，是否存在过度收集个人信息的情况。

　　2. 应急响应机制的有效性：审查是否建立了个人信息安全事件应急响应机制，并定期进行演练，确保在事件发生后能够及时响应。

　　(五)独立监督与平台责任

　　1. 独立监督机构的作用：对于大型互联网平台，评价独立监督机构的独立性、履职能力和监督作用，确保其能够对个人信息保护情况进行有效监督。

　　2. 平台内产品或服务提供者的监督：审查平台是否定期审核平台内产品或服务提供者的个人信息处理规则，并对违规行为进行有效管理。

　　(六)持续改进

　　1. 审计结果的应用：评价企业是否根据审计结果采取了有效的整改措施，是否建立了持续改进机制。

　　2. 合规绩效反馈：建立合规绩效反馈渠道，开发和维护适当的指标，以持续监测个人信息保护合规管理体系的有效性。

　　十二、 个人信息保护合规审计对公司内控管理的影响和作用

　　个人信息保护合规审计对公司内控管理的影响主要体现在以下几个方面：

　　(一)完善内控体系

　　合规审计要求公司建立健全的内控管理制度和操作规程，明确组织架构、岗位职责、工作流程，并完善内控机制。例如，公司需要制定个人信息保护的方针、目标和原则，并确保这些制度符合法律法规的要求。

　　(二)强化责任落实

　　合规审计明确了个人信息处理者的主体责任，要求其在组织架构、人员配备、行为规范和管理责任方面与个人信息保护责任相适应。此外，公司还需为个人信息保护提供必要的人力、物力和财力支持，确保与业务规模和合规风险管理相匹配。

　　(三)优化安全管理

　　合规审计要求公司采取与个人信息规模和类型相适应的安全技术措施，确保个人信息的保密性、完整性和可用性。例如，公司需要实施加密、去标识化等技术措施，减少未经授权访问和滥用的风险。

　　(四)提升人员意识

　　合规审计要求公司制定并实施个人信息保护的教育培训计划，对管理人员、技术人员和全体员工进行定期培训，提升其个人信息保护意识和技能。这有助于减少因人为失误导致的个人信息泄露风险。

　　(五)规范数据处理流程

　　合规审计要求公司对个人信息进行分类管理，并根据其种类、来源、敏感程度和用途采取针对性的管理措施。此外，公司还需建立个人信息安全事件应急响应机制，确保在发生安全事件时能够及时响应。

　　(六)加强监督与整改

　　合规审计要求公司定期对个人信息保护情况进行复盘和评价，排查内控管理中的漏洞。对于审计中发现的问题，公司需及时整改，并在规定时间内向监管部门报送整改情况。

　　(七)促进持续改进

　　合规审计不仅是对现有内控管理的评估，更是推动公司持续改进的动力。通过定期审计，公司能够发现内控管理中的不足之处，及时调整和优化管理策略，提升个人信息保护的整体水平。

　　十三、 个人信息保护合规审计的参与方

　　1. 外部专业审计团队

　　●核心职责：接受客户委托，严格按照《个人信息保护合规审计指引》要求和流程进行第三方合规审计。

　　●审计参与重点：个人信息处理全生命周期，以及结合客户业务的重点场景。

　　2. 法务部门

　　●核心职责：解读适用法律法规，审核隐私政策、用户协议、第三方合同等法律文件的合规性，评估数据跨境传输、共享等场景的法律风险。

　　●审计参与重点：验证数据处理活动是否满足合法性基础，确保数据主体权利的实现机制合法有效。

　　3. 信息技术(IT)部门/数据安全团队

　　●核心职责：检查数据存储、传输、加密等环节的技术安全性，验证系统日志、访问权限管理是否符合最小必要原则，提供技术证据支持审计结论。

　　●审计参与重点：确认技术措施是否满足合规要求，评估数据泄露应急响应机制的有效性。

　　4. 合规/隐私保护办公室(DPO)

　　●核心职责：主导制定个人信息保护制度及流程，协调跨部门资源，推动审计整改措施落地，直接对接监管机构。

　　●审计参与重点：监督各部门合规执行情况，确保整改闭环，负责审计报告的最终审核与提交。

　　5. 人力资源部门

　　●核心职责：确保员工个人信息处理的合规性，组织员工隐私保护培训并留存记录，审核外包人员、第三方服务商的数据访问权限。

　　●审计参与重点：检查员工数据处理流程是否合法，验证隐私培训覆盖率和效果。

　　6. 业务部门(市场、销售、客服等)

　　●核心职责：梳理业务场景中的个人信息收集与使用流程，提供业务数据流图，说明数据处理目的和范围。

　　●审计参与重点：确认数据收集是否遵循最小必要原则，核查用户授权是否明确。

　　7. 内部审计部门

　　●核心职责：制定审计计划，主导审计流程执行，汇总各部门证据，形成最终审计报告，跟踪整改措施的落实进度。

　　●审计参与重点：确保审计过程独立、客观，符合审计准则要求。

　　8. 高层管理层(董事会/CEO)

　　●核心职责：审批合规审计计划及资源分配，对重大合规风险决策。

　　●审计参与重点：听取审计结果汇报，推动合规文化自上而下贯彻。