浅谈《个人信息保护合规审计管理办法（征求意见稿）》

更好发挥审计在个人信息保护中的重要作用

——浅谈《个人信息保护合规审计管理办法（征求意见稿）》

　　《个人信息保护合规审计管理办法（征求意见稿）》回应数字时代背景下公众对个人信息安全保护的迫切需求，为个人信息处理者以及履行个人信息保护职责的部门进行合规审计提供具体指导，将为更好发挥审计在个人信息保护中的重要作用提供坚实制度保障。

　　8月3日，国家互联网信息办公室公布《个人信息保护合规审计管理办法（征求意见稿）》（以下简称《征求意见稿》），向社会公开征求意见，拟进一步指导、规范个人信息保护合规审计活动，提高个人信息处理活动合规水平，保护个人信息权益。意见反馈截止时间为2023年9月2日。

　　《征求意见稿》内容翔实，紧贴实际，回应了数字时代背景下公众对个人信息安全保护的迫切需求，为个人信息处理者以及履行个人信息保护职责的部门进行合规审计提供具体指导，将为更好发挥审计在个人信息保护中的重要作用提供坚实制度保障。

　　党的二十大报告提出，加快建设数字中国，加强个人信息保护。审计作为党和国家监督体系中的重要组成部分，是推进国家治理体系和治理能力现代化的重要保障。构建个人信息保护制度体系、提高个人信息处理活动合规水平离不开审计，需要合规审计进一步发挥作用。

　　主要亮点

　　《征求意见稿》共16条，同时公布的附件《个人信息保护合规审计参考要点》（以下简称参考要点）共31条，主要围绕《中华人民共和国个人信息保护法》第五十四条规定的个人信息处理者应当定期进行合规审计、第六十四条规定的强制合规评估等内容展开，有多处亮点。

　　将个人信息处理者自身规制和社会监管进行有机结合，充分展现个人信息保护专项合规审计特色。合规具有合作性和前瞻性特点。一方面，个人信息处理者自行开展合规审计，对自己掌握的个人信息开展审计具有便利性，也是个人信息处理者承担相应的社会责任体现，有利于个人信息处理者初步建立行业自律、通过委托第三方专业机构开展审计监督形成多元化个人信息保护治理模式。另一方面，合规审计可以让个人信息处理者建立长效的内控机制和预防机制，使个人信息保护不再只依靠事后监管，转而注重对侵犯个人信息权益的积极预防，促进个人信息处理活动全过程依法依规进行。同时，对个人信息处理者而言，通过开展专项合规审计，发展合规审计文化，有利于优化管理，有效防控合规风险，助推企业高质量发展。对监管部门及社会而言，开展个人信息保护合规审计，通过靠前监督、专项监督，靶向发力、标本兼治，可以织密个人信息保护监督网络，促进社会治理方式转变，优化法治化营商环境。

　　针对合规审计义务，进一步落实个人信息处理者审计要求和承担个人信息保护职责部门的监督要求。个人信息保护法仅对合规审计进行了概括性规定，并未明确具体如何实施。《征求意见稿》在个人信息保护法的基础上，进一步构建个人信息保护合规审计制度框架，完善个人信息保护的法律规制，力求打造多元化个人信息保护影响评估体系。如参考要点第四条就个人信息处理者应当履行的告知义务，从语言表达、文本格式、线上线下方式以及变更告知多个细节进行了规定。再如，针对个人信息保护影响评估制度和个人信息保护负责人制度，参考要点也提出了详细的审查重点。这进一步系统完善了个人信息保护制度体系，有利于切实保障个人信息安全。

　　充分回应社会关切和热点问题，为保护个人信息安全提供中国方案。当下，随着经济社会的快速发展，数字化、人工智能、算法等技术飞速发展，这在满足人们多元化、个性化信息需求方面发挥了重要作用，但也带来了信息处理者滥用大数据“杀熟”、个性化算法推荐技术不断弱化人在技术环境中的主体地位、社会公众深陷“信息茧房”等问题。基于此，《征求意见稿》就个人信息保护提出了具体法律适用性实施，配发参考要点详细规定了自动化决策的相关制度和程序，如保障个人信息删除权，对算法模型进行事前安全评估、科技伦理审查、个人信息保护影响评估，要求重点审查是否提供拒绝自动化决策的便捷方式，是否对人工操作进行记录，是否采取有效措施防止不合理的差别待遇等。

　　完善建议

　　为进一步指导、规范个人信息保护合规审计活动，笔者认为《征求意见稿》可以在以下几个方面进一步完善：

　　明确相关概念在整体法律制度中的一致性。从条文规定内容看，参考要点第二十八条的“大型互联网平台运营者”与个人信息保护法第五十八条第一款规定的“提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”相同，但却采用了不同的概念描述。2021年10月，国家市场监管总局发布的《互联网平台分类分级指南（征求意见稿）》将互联网平台分为超级平台、大型平台和中小平台。是否以此作为标准进行分类分级，确定参考要点中的大型平台，有待进一步明确。不同类型的平台需要承担不同的合规审计义务和社会责任，平台的分类分级至关重要。不同法律规范对同一概念的表述存在差异，且缺乏具体定量标准，这不利于实践中具体适用。建议明确互联网平台相关概念和定量标准，以保障相关规定有序实施，促进相关法律法规之间的有效衔接，确保法秩序统一。

　　要更好平衡个人信息保护与企业发展的关系。《征求意见稿》规定，处理超过100万人个人信息的个人信息处理者，应当每年至少开展一次个人信息保护合规审计，其余企业也要至少两年开展一次合规审计。在充分发挥合规审计对个人信息保护作用的同时，应关注企业运营成本的升高。以企业处理个人信息数量为单一标准划分合规审计频次是否过于笼统，对需要进行合规审计的企业的分类是否需要更加细化，这值得探讨。笔者认为，可以依据《关键信息基础设施安全保护条例》的有关规定，对被认定为关键信息基础设施的企业进行重点审计。因此，建议引入多元化划分标准，根据企业经营性质、对个人信息处理的依赖程度等进一步划分等级以更有效地适用合规审计制度。

　　增设政府审计和内部审计的相关规定。《征求意见稿》及参考要点中的合规审计主体是选定或委托的专业机构，主要是会计师事务所等。这种审计监督根据主体划分属于三大审计体系中的社会审计，是社会资本、民营企业等进行经济监督的重要手段，是个人信息处理者开展合规审计的主要方式和常见方式。但个人信息保护领域也涉及国企或国资控股企业，以及履行个人信息保护职责的有关职能部门，仅依靠社会审计开展个人信息保护的合规审计，在监督力度、监督手段以及发现问题线索等方面还不够。从公共利益角度考量，建议在《征求意见稿》中增加政府审计和内部审计的相关规定，围绕个人信息保护合规审计这一主题，形成审计领域的监督合力，更好实现立法目标。

　　（作者单位：南京审计大学法学院）