即將于11月1日生效的《個(gè)人信息保護(hù)法》第五十四條和第六十四條分別規(guī)定了個(gè)人信息處理者的定期合規(guī)審計(jì)義務(wù)以及監(jiān)管機(jī)構(gòu)的強(qiáng)制審計(jì)制度。此項(xiàng)要求是在立法層面針對(duì)個(gè)人信息處理者保護(hù)個(gè)人信息義務(wù)方面提出的新要求，如何理解、落實(shí)此項(xiàng)要求，如何將此項(xiàng)要求融入企業(yè)現(xiàn)有的個(gè)人信息保護(hù)合規(guī)框架中，是企業(yè)當(dāng)前面臨的問(wèn)題。本文將圍繞個(gè)人信息保護(hù)合規(guī)審計(jì)的定義、對(duì)此項(xiàng)義務(wù)要求的理解、企業(yè)需要進(jìn)行合規(guī)審計(jì)的原因以及如何進(jìn)行合規(guī)審計(jì)等幾個(gè)方面做出評(píng)論。

個(gè)人信息保護(hù)合規(guī)審計(jì)是以審查被審計(jì)主體的個(gè)人信息處理活動(dòng)是否遵守我國(guó)相關(guān)的法律法規(guī)為目的進(jìn)行的監(jiān)督性審計(jì)。

從立法目的來(lái)看，目前我國(guó)的個(gè)人信息保護(hù)合規(guī)審計(jì)以自行審計(jì)為原則，以強(qiáng)制審計(jì)為補(bǔ)充。個(gè)人信息保護(hù)的合規(guī)審計(jì)是所有個(gè)人信息處理者的一項(xiàng)自律性義務(wù)，而監(jiān)管機(jī)構(gòu)只有在發(fā)現(xiàn)個(gè)人信息處理活動(dòng)存在較大風(fēng)險(xiǎn)或者發(fā)生個(gè)人信息安全事件時(shí)，才要求個(gè)人信息處理者委托專業(yè)機(jī)構(gòu)對(duì)其個(gè)人信息處理活動(dòng)進(jìn)行合規(guī)審計(jì)。

《個(gè)人信息保護(hù)法》根據(jù)發(fā)動(dòng)審計(jì)的主體不同，將個(gè)人信息保護(hù)合規(guī)審計(jì)分為個(gè)人信息處理者主動(dòng)進(jìn)行的“定期自行審計(jì)”和監(jiān)管機(jī)構(gòu)要求個(gè)人信息處理者委托專業(yè)機(jī)構(gòu)進(jìn)行的“強(qiáng)制審計(jì)”。

個(gè)人信息保護(hù)合規(guī)審計(jì)的主要目的是控制和避免企業(yè)及員工因處理個(gè)人信息不合規(guī)，引發(fā)法律責(zé)任、受到相關(guān)處罰、造成經(jīng)濟(jì)或聲譽(yù)損失以及其他負(fù)面影響的可能性。

合法原則是《個(gè)人信息保護(hù)法》的一項(xiàng)基本原則，即個(gè)人信息處理者應(yīng)當(dāng)采取合法的方式處理個(gè)人信息。要確保個(gè)人信息處理活動(dòng)符合法律要求，除了需要來(lái)自外界的他律，還需要企業(yè)的自律，即個(gè)人信息處理者自行采取技術(shù)措施、組織措施以及其他必要措施來(lái)確保個(gè)人信息處理活動(dòng)符合法律、行政法規(guī)的規(guī)定。

我們認(rèn)為，《個(gè)人信息保護(hù)法》第54條對(duì)個(gè)人信息處理者定期進(jìn)行合規(guī)審計(jì)的規(guī)定，既是在強(qiáng)調(diào)法律的他律，也是強(qiáng)調(diào)個(gè)人信息處理者的自律，可以理解為立法者希望通過(guò)要求個(gè)人信息處理者定期核查自身對(duì)個(gè)人信息的處理是否符合法律規(guī)定的方式，來(lái)落實(shí)《個(gè)人信息保護(hù)法》下的合法原則。

首先，從立法層面上看，我國(guó)關(guān)于個(gè)人信息保護(hù)的法律法規(guī)、規(guī)范性文件以及部分國(guó)家標(biāo)準(zhǔn)都已確立了個(gè)人信息保護(hù)合規(guī)審計(jì)制度。具體規(guī)范包括但不限于：

◆《個(gè)人信息保護(hù)法》第五十四條、第六十四條；

◆《互聯(lián)網(wǎng)個(gè)人信息安全保護(hù)指南》第4.3.2條；

◆《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（GB/T 22239-2019）第8.1.7.2條；

◆《信息安全技術(shù) 個(gè)人信息安全規(guī)范》（GB/T 35273-2020）第11.7條。

其次，基于執(zhí)法視角觀察，企業(yè)在個(gè)人信息保護(hù)領(lǐng)域面臨著多頭監(jiān)管的局面，需要同時(shí)面臨國(guó)家網(wǎng)信部門、國(guó)務(wù)院有關(guān)部門以及縣級(jí)以上地方人民政府有關(guān)部門的監(jiān)管。個(gè)人信息保護(hù)合規(guī)審計(jì)有助于企業(yè)積極應(yīng)對(duì)監(jiān)管，適應(yīng)多頭監(jiān)管與力度日益加強(qiáng)的日常監(jiān)管。

從企業(yè)自身對(duì)法律的遵守角度來(lái)看，由于個(gè)人信息處理者的活動(dòng)是持續(xù)的，保證個(gè)人信息處理活動(dòng)的合法性也應(yīng)當(dāng)是一個(gè)持續(xù)的動(dòng)態(tài)過(guò)程。隨著業(yè)務(wù)形態(tài)的變化、技術(shù)的進(jìn)步、法律要求的更新，某一階段個(gè)人信息處理活動(dòng)的合法并不意味著處理活動(dòng)在任何時(shí)期都是合法的，定期的合規(guī)審計(jì)會(huì)使得個(gè)人信息處理者對(duì)自身處理活動(dòng)的合法性進(jìn)行持續(xù)的關(guān)注。

最后，企業(yè)自身具有進(jìn)行個(gè)人信息保護(hù)合規(guī)審計(jì)需求。《個(gè)人信息保護(hù)法》第六十九條確立了個(gè)人信息侵權(quán)糾紛中，個(gè)人信息處理者的“過(guò)錯(cuò)推定”責(zé)任規(guī)則。個(gè)人信息保護(hù)合規(guī)審計(jì)可以作為個(gè)人信息處理者無(wú)過(guò)錯(cuò)的有力證據(jù)，從而免除嚴(yán)苛的民事責(zé)任。此外，個(gè)人信息保護(hù)合規(guī)審計(jì)在一定程度上能夠有效的幫助企業(yè)避免行政處罰甚至刑事處罰。

目前，我國(guó)立法對(duì)于個(gè)人信息保護(hù)合規(guī)審計(jì)的審計(jì)要點(diǎn)沒有明確的規(guī)定。參考國(guó)外的成熟實(shí)踐（如英國(guó)信息專員辦公室發(fā)布的審計(jì)指南），筆者認(rèn)為我國(guó)的個(gè)人信息保護(hù)審計(jì)的要點(diǎn)應(yīng)當(dāng)包括：

●  一般性或已知風(fēng)險(xiǎn)的個(gè)人信息保護(hù)事項(xiàng)；

●  個(gè)人信息保護(hù)政策與程序；

●  個(gè)人信息保護(hù)治理和問(wèn)責(zé)制；

●  工作人員的個(gè)人信息保護(hù)培訓(xùn)和意識(shí)；

●  個(gè)人信息的安全；

●  對(duì)于個(gè)人信息權(quán)利的要求；

●  個(gè)人信息共享；

●  個(gè)人信息管理記錄；

●  個(gè)人信息保護(hù)影響評(píng)估和風(fēng)險(xiǎn)管理。

對(duì)于強(qiáng)制審計(jì)活動(dòng)的流程，可參見下圖。

相較監(jiān)管機(jī)構(gòu)發(fā)起的強(qiáng)制審計(jì)流程，個(gè)人信息處理者自發(fā)進(jìn)行的合規(guī)審計(jì)在流程上可以參照強(qiáng)制審計(jì)并省略部分步驟，是以制度性的形成定期開展的個(gè)人數(shù)據(jù)保護(hù)合規(guī)審計(jì)的規(guī)范流程，從而更靈活便捷的適應(yīng)日常的合規(guī)管理。

此外，個(gè)人信息保護(hù)合規(guī)審計(jì)在滿足審計(jì)活動(dòng)開展的獨(dú)立性、保密性、客觀性和專業(yè)性等一般原則性要求的同時(shí)，監(jiān)管機(jī)構(gòu)發(fā)動(dòng)強(qiáng)制審計(jì)還需滿足特定要求，即監(jiān)管機(jī)構(gòu)“發(fā)現(xiàn)個(gè)人信息處理活動(dòng)存在較大風(fēng)險(xiǎn)或者發(fā)生個(gè)人信息安全事件”。如何認(rèn)定風(fēng)險(xiǎn)和識(shí)別個(gè)人信息安全事件是這一制度適用的關(guān)鍵。

首先，是明確認(rèn)定風(fēng)險(xiǎn)和識(shí)別安全事件的信息來(lái)源：

▼ 報(bào)告的違規(guī)行為；

▼ 個(gè)人信息處理者受到投訴的數(shù)量和性質(zhì)；

▼ 個(gè)人信息處理者關(guān)于個(gè)人信息處理的聲明以及其他可公開獲得的信息；

▼ 商業(yè)情報(bào)；

▼ 其他相關(guān)的信息。

其次，是明確認(rèn)定風(fēng)險(xiǎn)和識(shí)別安全事件的相關(guān)因素：

▼ 對(duì)于投訴的答復(fù)與合規(guī)“歷史”；

▼ 自我報(bào)告的違規(guī)行為以及確定的補(bǔ)救行動(dòng)；

▼ 溝通過(guò)程中是否凸顯了對(duì)于個(gè)人信息保護(hù)的薄弱理解；

▼ 關(guān)于個(gè)人信息保護(hù)的內(nèi)部控制聲明和/或其他信息以及內(nèi)部或外部審計(jì)；

▼ 個(gè)人信息保護(hù)的投入和歷史；

▼ 在公眾擔(dān)心隱私可能受到威脅的情況下是否實(shí)施新的系統(tǒng)或程序；

▼ 正在處理的個(gè)人信息的數(shù)量和性質(zhì)；

▼ 受認(rèn)可的相關(guān)外部認(rèn)證的證據(jù)；

▼ 任何潛在的不合規(guī)行為對(duì)個(gè)人信息保護(hù)的影響。

最后，根據(jù)獲得的信息結(jié)合相關(guān)因素的識(shí)別分析，監(jiān)管機(jī)構(gòu)將做出是否要求個(gè)人信息處理者接受強(qiáng)制審計(jì)的決定。

個(gè)人信息保護(hù)合規(guī)審計(jì)是持續(xù)保證企業(yè)遵守法律要求、協(xié)助企業(yè)應(yīng)對(duì)監(jiān)管調(diào)查，降低企業(yè)及員工因個(gè)人信息處理不合規(guī)引發(fā)處罰的風(fēng)險(xiǎn)的重要措施。由于目前我國(guó)立法對(duì)于個(gè)人信息保護(hù)合規(guī)審計(jì)的審計(jì)要點(diǎn)沒有較為明確的規(guī)定，因此在討論企業(yè)如何進(jìn)行合規(guī)審計(jì)時(shí)，參考域外的立法經(jīng)驗(yàn)是不可或缺的。企業(yè)在參考域外的個(gè)人信息保護(hù)相關(guān)審計(jì)指南或指引時(shí)，也應(yīng)根據(jù)自身情況對(duì)其中的具體操作流程予以調(diào)整。