2023年8月3日，國(guó)家互聯(lián)網(wǎng)信息辦公室對(duì)《個(gè)人信息保護(hù)合規(guī)審計(jì)管理辦法（征求意見(jiàn)稿）》（以下簡(jiǎn)稱“合規(guī)審計(jì)管理辦法”）進(jìn)行公開(kāi)征求意見(jiàn)?！秱€(gè)人信息保護(hù)法》第五十四條明確指出，個(gè)人信息處理者應(yīng)當(dāng)定期對(duì)其處理個(gè)人信息遵守法律、行政法規(guī)的情況進(jìn)行合規(guī)審計(jì)，個(gè)人信息保護(hù)合規(guī)審計(jì)成為個(gè)人信息處理者需履行的法定義務(wù)。合規(guī)審計(jì)管理辦法旨在指導(dǎo)、規(guī)范個(gè)人信息保護(hù)合規(guī)審計(jì)活動(dòng)，為企業(yè)開(kāi)展個(gè)人信息保護(hù)合規(guī)審計(jì)提供具體依據(jù)。

　　CCIA數(shù)據(jù)安全工作委員會(huì)于近日組織各方專家進(jìn)行了研討。討論圍繞“合規(guī)審計(jì)管理辦法”，討論企業(yè)如何結(jié)合當(dāng)下監(jiān)管要求，落地個(gè)人信息保護(hù)合規(guī)審計(jì)工作?，F(xiàn)就研討中形成的主要觀點(diǎn)以會(huì)議紀(jì)要方式公開(kāi)，供各界參考、指正。

　　參與此次研討的專家來(lái)自：中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院以及部分CCIA數(shù)據(jù)安全工作委員會(huì)委員單位。

　　研討問(wèn)題1：審計(jì)的目的：個(gè)人信息保護(hù)合規(guī)審計(jì)與風(fēng)險(xiǎn)評(píng)估（影響評(píng)估）、風(fēng)險(xiǎn)監(jiān)測(cè)（檢測(cè)評(píng)價(jià)）、安全認(rèn)證等工作的目的和側(cè)重點(diǎn)分別是什么？企業(yè)如何通過(guò)評(píng)估、監(jiān)測(cè)、審計(jì)、認(rèn)證等多道防線的配合和協(xié)調(diào)，從而有效控制風(fēng)險(xiǎn)，提升合規(guī)水平？精彩觀點(diǎn)如下：

　　個(gè)人信息保護(hù)合規(guī)評(píng)估、監(jiān)測(cè)、認(rèn)證和自審計(jì)屬于運(yùn)營(yíng)、安全、審計(jì)三道防線中的不同防線，由于其目的、內(nèi)容、評(píng)價(jià)方式會(huì)有所不同，一般企業(yè)內(nèi)這三道防線應(yīng)相互獨(dú)立，即使從企業(yè)規(guī)模和成本考慮，審計(jì)這道防線至少應(yīng)當(dāng)獨(dú)立。

　　風(fēng)險(xiǎn)評(píng)估、監(jiān)測(cè)都是內(nèi)部管理工作的一種工作方法，主要目的是進(jìn)行風(fēng)險(xiǎn)管理，其評(píng)估、監(jiān)測(cè)內(nèi)容可以由企業(yè)根據(jù)自身的特點(diǎn)進(jìn)行，得出的結(jié)論是影響程度、風(fēng)險(xiǎn)高低，監(jiān)測(cè)與評(píng)估相比，區(qū)別在于監(jiān)測(cè)是持續(xù)的過(guò)程，其根本目標(biāo)還是風(fēng)險(xiǎn)控制；認(rèn)證則是第三方對(duì)企業(yè)內(nèi)部體系完備性、合規(guī)性等方面的評(píng)價(jià)，通過(guò)認(rèn)證既可幫助企業(yè)提升合規(guī)水平，也可幫助企業(yè)展示合規(guī)能力。

　　相比上述工作，審計(jì)的性質(zhì)更為特殊，根據(jù)《個(gè)人信息保護(hù)合規(guī)審計(jì)管理辦法（征求意見(jiàn)稿）》，“個(gè)人信息保護(hù)合規(guī)審計(jì)，是指對(duì)個(gè)人信息處理者的個(gè)人信息處理活動(dòng)是否遵守法律、行政法規(guī)的情況進(jìn)行審查和評(píng)價(jià)的監(jiān)督活動(dòng)”，審計(jì)得出的是一個(gè)與法律法規(guī)要求相比較是否“符合/滿足”的結(jié)論。以學(xué)生學(xué)習(xí)打個(gè)比方，評(píng)估類似于做練習(xí)冊(cè)，監(jiān)測(cè)類似于課堂提問(wèn)，認(rèn)證類似于拿到競(jìng)賽等證書(shū)，審計(jì)類似于考試（自審計(jì)就是學(xué)校自己組織的考試，外部審計(jì)就是教育部門(mén)統(tǒng)一組織的考試），各有各的作用。

　　評(píng)估工作是日常性工作，企業(yè)可以根據(jù)自身的風(fēng)險(xiǎn)情況開(kāi)展，4166am金沙其重點(diǎn)在于分析風(fēng)險(xiǎn)發(fā)生的可能性以及可能造成的影響，對(duì)于法律法規(guī)規(guī)定事項(xiàng)以外的要求，也可以通過(guò)評(píng)估得出高、中、低風(fēng)險(xiǎn)等結(jié)論以完善安全措施。審計(jì)的依據(jù)需非常明確，比如以法律、行政法規(guī)為依據(jù)的審計(jì)不能得出法律、行政法規(guī)以外的審計(jì)結(jié)論；除針對(duì)法律法規(guī)要求的審計(jì)以外，企業(yè)自審計(jì)可以指定標(biāo)準(zhǔn)規(guī)范、內(nèi)部管理制度等為審計(jì)要點(diǎn)；審計(jì)過(guò)程中，更關(guān)注審計(jì)的獨(dú)立性以及證據(jù)的有效性，對(duì)審計(jì)人員的客觀性獨(dú)立性要求高，對(duì)證據(jù)的抽樣、證據(jù)集、證據(jù)鏈的保存和認(rèn)定要求較高。

　　個(gè)人信息保護(hù)合規(guī)審計(jì)與評(píng)估、監(jiān)測(cè)、認(rèn)證雖各有側(cè)重，執(zhí)行人員有所不同，但存在關(guān)聯(lián)性，實(shí)施中需要能力配合和相互協(xié)調(diào)，且工作成果能互相支持。比如，評(píng)估工作的開(kāi)展可將安全風(fēng)險(xiǎn)抑制在萌芽狀態(tài)，同時(shí)評(píng)估報(bào)告也是幫助審計(jì)人員快速了解企業(yè)當(dāng)前合規(guī)管理水平的重要依據(jù)；監(jiān)測(cè)則注重于持續(xù)的風(fēng)險(xiǎn)控制，大多數(shù)情況下依賴于技術(shù)能力，可作為合規(guī)審計(jì)中安全能力的重要展現(xiàn)內(nèi)容；認(rèn)證則是更全面地梳理現(xiàn)有合規(guī)措施，保留了大量有價(jià)值的證據(jù)，便于合規(guī)審計(jì)工作采信。從執(zhí)行人員角度來(lái)看，通過(guò)長(zhǎng)時(shí)間開(kāi)展上述工作不斷磨合，便于形成企業(yè)內(nèi)部運(yùn)轉(zhuǎn)高效的合規(guī)工作團(tuán)隊(duì)，從而提升效率和效果。

　　研討問(wèn)題2：審計(jì)的工作范圍：審計(jì)作為符合性檢查，其工作范圍是針對(duì)企業(yè)還是具體業(yè)務(wù)，工作內(nèi)容是否包含風(fēng)險(xiǎn)分析、整改通知等環(huán)節(jié)？精彩觀點(diǎn)如下：

　　通常來(lái)說(shuō)，審計(jì)的工作范圍既可以針對(duì)企業(yè)整體范圍，也可以是具體的業(yè)務(wù)，其由審計(jì)目的所決定。對(duì)于個(gè)人信息保護(hù)合規(guī)審計(jì)而言，從開(kāi)展審計(jì)的效率和成本出發(fā)，審計(jì)可以抽樣業(yè)務(wù)的形式開(kāi)展，對(duì)審計(jì)發(fā)現(xiàn)的問(wèn)題再舉一反三，向所有業(yè)務(wù)提出自查自糾要求。

　　個(gè)人信息保護(hù)合規(guī)審計(jì)工作結(jié)論應(yīng)為符合性評(píng)價(jià)，而不是風(fēng)險(xiǎn)分析結(jié)果。個(gè)人信息保護(hù)合規(guī)審計(jì)工作結(jié)論應(yīng)從合規(guī)偏離的角度進(jìn)行分析，而不應(yīng)從風(fēng)險(xiǎn)的維度進(jìn)行分析，按照審計(jì)的通行做法，審計(jì)結(jié)果可以分為嚴(yán)重不符合、一般不符合、符合。個(gè)人信息保護(hù)合規(guī)審計(jì)是一種體系性的審計(jì)，符合性的程度或水平，還可能取決于影響的范圍、問(wèn)題是否為全局或單點(diǎn)，因此其評(píng)判的過(guò)程可以適當(dāng)借鑒風(fēng)險(xiǎn)分析方法。

　　從審計(jì)工作的跟蹤閉環(huán)角度來(lái)說(shuō)，審計(jì)結(jié)論中明確指出的不符合項(xiàng)，審計(jì)方有義務(wù)告知具體的問(wèn)題所在，以便于被審計(jì)方進(jìn)行整改。審計(jì)結(jié)果中的問(wèn)題可能會(huì)觸發(fā)相關(guān)機(jī)構(gòu)發(fā)出整改通知，為保證審計(jì)的獨(dú)立性，原則上審計(jì)過(guò)程不應(yīng)提出具體整改建議，但為了避免被審計(jì)方無(wú)法有效推動(dòng)后續(xù)整改工作，審計(jì)方對(duì)不符合項(xiàng)的具體問(wèn)題給出原則性、方向性的建議，再由企業(yè)的法務(wù)、合規(guī)、安全等團(tuán)隊(duì)完成具體的整改措施，完成整改后，根據(jù)工作安排，審計(jì)方可以通過(guò)復(fù)審等方式形成審計(jì)工作閉環(huán)。

　　研討問(wèn)題3：如何開(kāi)展審計(jì)：個(gè)人信息保護(hù)審計(jì)活動(dòng)能否總結(jié)和提煉出一套標(biāo)準(zhǔn)流程和舉證要求？精彩觀點(diǎn)如下：

　　從大型企業(yè)的實(shí)踐過(guò)程中來(lái)看，個(gè)人信息保護(hù)審計(jì)難以短期內(nèi)總結(jié)和提煉出一套通用標(biāo)準(zhǔn)流程和舉證要求，但是針對(duì)有相同特性的主體、業(yè)務(wù)可以嘗試規(guī)范化一些環(huán)節(jié)，以提高個(gè)人信息保護(hù)合規(guī)審計(jì)的效率和效果。

　　個(gè)人信息保護(hù)合規(guī)審計(jì)工作與個(gè)人信息處理活動(dòng)密切相關(guān)，大型企業(yè)的處理活動(dòng)、業(yè)務(wù)復(fù)雜，同時(shí)內(nèi)部的組織管理架構(gòu)也有一定的差異性，因此其審計(jì)流程可能需要根據(jù)企業(yè)實(shí)際情況制定，舉證要求可以原則性要求為指導(dǎo)，具體業(yè)務(wù)系統(tǒng)在原則下完善細(xì)則，不過(guò)，為了提高審計(jì)效率，如果企業(yè)內(nèi)的不同主體、業(yè)務(wù)線有一定的相似性，可以提煉總結(jié)出一套適用于自身的通用化模板、工具。

　　對(duì)于中小型企業(yè)，特別是使用第三方平臺(tái)所提供的業(yè)務(wù)系統(tǒng)的企業(yè)，其業(yè)務(wù)流程相對(duì)單一、固定，其個(gè)人信息的處理活動(dòng)也相對(duì)簡(jiǎn)單，要確保個(gè)人信息保護(hù)合規(guī)審計(jì)工作能夠長(zhǎng)期開(kāi)展，需要在流程標(biāo)準(zhǔn)化和壓縮成本上予以考慮。比如，盡可能使用一些由第三方平臺(tái)直接提供的通用性的合規(guī)審計(jì)模板、工具（如SaaS工具），在此基礎(chǔ)上由內(nèi)部人員對(duì)未覆蓋的內(nèi)容加以補(bǔ)充完善。

　　研討問(wèn)題4：審計(jì)的實(shí)施方式：審計(jì)作為一項(xiàng)需要合規(guī)、法務(wù)、安全、業(yè)務(wù)等多部門(mén)參與的活動(dòng)，企業(yè)應(yīng)該如何組織協(xié)調(diào)？牽頭方通常為哪個(gè)部門(mén)，需要哪些人員參與，各部門(mén)如何分工？如何使用《個(gè)人信息保護(hù)合規(guī)審計(jì)管理辦法》附件的參考要點(diǎn)？哪些行政法規(guī)、政策文件、國(guó)家標(biāo)準(zhǔn)對(duì)理解具體審計(jì)項(xiàng)要求有幫助？精彩觀點(diǎn)如下：

　　審計(jì)的組織架構(gòu)優(yōu)先考慮的是如何保障其獨(dú)立性，優(yōu)先考慮組織內(nèi)部成立獨(dú)立的信息化審計(jì)部門(mén)牽頭，如無(wú)法實(shí)現(xiàn)可以選定一個(gè)部門(mén)牽頭，多部門(mén)配合，或者由多個(gè)部門(mén)聯(lián)合組成審計(jì)工作組。由于內(nèi)部審計(jì)人員獨(dú)立性要求，企業(yè)內(nèi)部有獨(dú)立的合規(guī)審計(jì)部門(mén)最合適，大型互聯(lián)網(wǎng)平臺(tái)如有外部獨(dú)立委員會(huì)可以考慮參與審計(jì)工作。

　　很多中小型企業(yè)因?yàn)橐?guī)模原因，沒(méi)有獨(dú)立的審計(jì)機(jī)構(gòu)，建議根據(jù)企業(yè)內(nèi)部實(shí)際架構(gòu)，選擇法務(wù)部門(mén)、合規(guī)部門(mén)或安全部門(mén)牽頭，業(yè)務(wù)部門(mén)、技術(shù)部門(mén)進(jìn)行配合開(kāi)展審計(jì)工作，如無(wú)合適的牽頭部門(mén)，企業(yè)可以指定具備審計(jì)能力的人員為臨時(shí)審計(jì)工作組。上述情形下的審計(jì)，審計(jì)牽頭部門(mén)、審計(jì)工作組是否足夠獨(dú)立，是否具備相應(yīng)的權(quán)限是審計(jì)有效開(kāi)展的關(guān)鍵。如果企業(yè)內(nèi)部缺少能承擔(dān)審計(jì)任務(wù)的人員，在有預(yù)算支持下，也可考慮委托外部專業(yè)機(jī)構(gòu)開(kāi)展審計(jì)。

　　在實(shí)際審計(jì)過(guò)程中，如果選中信息化審計(jì)部門(mén)作為牽頭，雖然其具有獨(dú)立性和公正性，但如果缺乏對(duì)業(yè)務(wù)、專業(yè)技術(shù)的了解，則還需考慮如何協(xié)調(diào)業(yè)務(wù)部門(mén)、技術(shù)部門(mén)進(jìn)行配合。

　　企業(yè)使用《個(gè)人信息保護(hù)合規(guī)審計(jì)管理辦法》附件的參考要點(diǎn)（以下簡(jiǎn)稱“參考要點(diǎn)”）時(shí)，可將其作為審計(jì)內(nèi)容的最小集，但是，也有可能導(dǎo)致企業(yè)僅憑參考要點(diǎn)開(kāi)展審計(jì)，而不能與時(shí)俱進(jìn)，持續(xù)提升個(gè)人信息保護(hù)水平。

　　參考要點(diǎn)為審計(jì)的內(nèi)容提供了一定的確定性，便于統(tǒng)一標(biāo)準(zhǔn)開(kāi)展審計(jì)工作，避免了執(zhí)行層面、多部門(mén)或不同人員產(chǎn)生的爭(zhēng)議。針對(duì)參考要點(diǎn)，建議對(duì)相應(yīng)條款進(jìn)一步明確，做到精準(zhǔn)、合理，增加執(zhí)行層面的可操作性，進(jìn)一步減少由于審計(jì)人員認(rèn)識(shí)不同導(dǎo)致審計(jì)結(jié)論出現(xiàn)偏差的可能。

　　為了避免死板套用參考要點(diǎn)或僅針對(duì)參考要點(diǎn)開(kāi)展審計(jì)導(dǎo)致個(gè)人信息保護(hù)工作固步自封，建議在審計(jì)時(shí)將審計(jì)要點(diǎn)分為法律法規(guī)的強(qiáng)制性要求和國(guó)家標(biāo)準(zhǔn)、行業(yè)實(shí)踐、內(nèi)部管理等提出的優(yōu)化型、擴(kuò)展型要求，兩類要求的審計(jì)結(jié)果性質(zhì)不同可予以區(qū)分。鼓勵(lì)大型企業(yè)盡可能加入優(yōu)化型、擴(kuò)展型要求項(xiàng)進(jìn)行審計(jì)，以增強(qiáng)企業(yè)自審計(jì)的適用性和審計(jì)效果。

　　研討問(wèn)題5：審計(jì)所需的準(zhǔn)備工作：目前企業(yè)梳理和記錄個(gè)人信息處理活動(dòng)的現(xiàn)狀如何？是否有電子化證據(jù)關(guān)聯(lián)分析等實(shí)踐？是否能夠提升審計(jì)效率和審計(jì)質(zhì)量？哪些具體合規(guī)工作適合提前開(kāi)展？精彩觀點(diǎn)如下：

　　企業(yè)的合規(guī)管理水平與審計(jì)工作的效率關(guān)聯(lián)度高，當(dāng)下，企業(yè)應(yīng)重視個(gè)人信息保護(hù)合規(guī)留痕以及證據(jù)保存工作，提升后續(xù)審計(jì)工作效率。企業(yè)需要在開(kāi)展業(yè)務(wù)的同時(shí)將個(gè)人信息合規(guī)工作與業(yè)務(wù)緊密綁定，盡可能把現(xiàn)有安全合規(guī)工作與涉及審計(jì)的要點(diǎn)（即法律法規(guī)的強(qiáng)制性義務(wù)）做好對(duì)應(yīng)，重視留痕工作，建立證據(jù)鏈意識(shí)。具備條件的，還可通過(guò)業(yè)務(wù)改造等方式，增加前置留痕動(dòng)作，通過(guò)工具進(jìn)行證據(jù)鏈的管理，提高內(nèi)審配合效率，甚至還可以支持向展示證據(jù)。

　　企業(yè)可考慮通過(guò)開(kāi)展認(rèn)證、評(píng)估以及梳理已開(kāi)展的合規(guī)工作，以方便后續(xù)開(kāi)展個(gè)人信息保護(hù)合規(guī)審計(jì)工作。第三方認(rèn)證對(duì)合規(guī)審計(jì)有顯著的幫助，其一是因?yàn)榈谌秸J(rèn)證時(shí)，可以幫助企業(yè)建立必要的合規(guī)管理流程以及合規(guī)要點(diǎn)，其二是因?yàn)檎J(rèn)證時(shí)需采信證據(jù)，可以幫助企業(yè)在必要環(huán)節(jié)進(jìn)行證據(jù)留痕，認(rèn)證過(guò)程形成的證據(jù)可能會(huì)被審計(jì)直接采信。

　　評(píng)估與認(rèn)證不同，認(rèn)證為自愿行為，而是否開(kāi)展評(píng)估工作本身就是被審計(jì)的要點(diǎn)，只有開(kāi)展評(píng)估才能滿足審計(jì)關(guān)注的合規(guī)要求。比如，參考要點(diǎn)中提出的個(gè)人信息保護(hù)影響評(píng)估（PIA）工作，是需要審計(jì)的要點(diǎn)之一，是否開(kāi)展過(guò)PIA，是否形成了相應(yīng)的評(píng)估報(bào)告就是審計(jì)所關(guān)注的，因此開(kāi)展PIA工作成為了通過(guò)合規(guī)審計(jì)的前提之一。此外，PIA工作開(kāi)展過(guò)程中，是一個(gè)促進(jìn)業(yè)務(wù)合規(guī)的過(guò)程，其中也包括了對(duì)個(gè)人信息處理活動(dòng)的梳理，合規(guī)要點(diǎn)的檢查，個(gè)人權(quán)利保障機(jī)制的驗(yàn)證等等，所形成的過(guò)程文檔、結(jié)論、證據(jù)等均可對(duì)后續(xù)的審計(jì)工作提供支撐。

　　CCIA數(shù)據(jù)安全工作委員會(huì)持續(xù)歡迎大家參與以上具體問(wèn)題的研討，通過(guò)觀點(diǎn)交匯、碰撞，為推動(dòng)深入研究難點(diǎn)問(wèn)題、啟發(fā)安全保護(hù)措施創(chuàng)新貢獻(xiàn)一份微薄之力。4166am金沙信心之選