4166am金沙信心之選2021年8月20日頒布的《個(gè)人信息保護(hù)法》第五十四條和第六十四條規(guī)定了針對(duì)個(gè)人信息處理活動(dòng)的合規(guī)審計(jì)制度，本文分別從合規(guī)審計(jì)概念、主體、內(nèi)容、原則和頻率角度討論《個(gè)人信息保護(hù)法》下的合規(guī)審計(jì)，最后給個(gè)人信息處理者提出幾點(diǎn)實(shí)務(wù)合規(guī)建議。

　　第五十四條 個(gè)人信息處理者應(yīng)當(dāng)定期對(duì)其處理個(gè)人信息遵守法律、行政法規(guī)的情況進(jìn)行合規(guī)審計(jì)。

　　第六十四條 履行個(gè)人信息保護(hù)職責(zé)的部門在履行職責(zé)中，發(fā)現(xiàn)個(gè)人信息處理活動(dòng)存在較大風(fēng)險(xiǎn)或者發(fā)生個(gè)人信息安全事件的，可以按照規(guī)定的權(quán)限和程序?qū)υ搨€(gè)人信息處理者的法定代表人或者主要負(fù)責(zé)人進(jìn)行約談，或者要求個(gè)人信息處理者委托專業(yè)機(jī)構(gòu)對(duì)其個(gè)人信息處理活動(dòng)進(jìn)行合規(guī)審計(jì)。個(gè)人信息處理者應(yīng)當(dāng)按照要求采取措施，進(jìn)行整改，消除隱患。

　　履行個(gè)人信息保護(hù)職責(zé)的部門在履行職責(zé)中，發(fā)現(xiàn)違法處理個(gè)人信息涉嫌犯罪的，應(yīng)當(dāng)及時(shí)移送公安機(jī)關(guān)依法處理。

　　我們暫未獲悉現(xiàn)行法律、行政法規(guī)層面“合規(guī)審計(jì)”的概念，和“合規(guī)審計(jì)”相似的概念有“合規(guī)性審計(jì)”“合規(guī)審查”和“安全審計(jì)”。

　　審計(jì)通?？煞譃樨?cái)務(wù)報(bào)表審計(jì)、經(jīng)營(yíng)審計(jì)和合規(guī)性審計(jì)三個(gè)類別。合規(guī)性審計(jì)一般指審計(jì)機(jī)構(gòu)和審計(jì)人員依據(jù)國(guó)家法律、法規(guī)和財(cái)經(jīng)制度對(duì)被審計(jì)單位的生產(chǎn)經(jīng)營(yíng)管理活動(dòng)及其有關(guān)資料是否合規(guī)所進(jìn)行的一種監(jiān)督活動(dòng)。[1]早在1992年審計(jì)署《關(guān)于對(duì)金融機(jī)構(gòu)貸款合規(guī)性審計(jì)的意見》中就提到“合規(guī)性審計(jì)”。后審計(jì)署辦公廳于2004年1月18日發(fā)布的《漢英審計(jì)常用詞匯218條》規(guī)范“合規(guī)性審計(jì)”的英文翻譯為“compliance audit”。我們認(rèn)為“合規(guī)審計(jì)”和“合規(guī)性審計(jì)”屬于同一概念。

　　國(guó)務(wù)院國(guó)資委于2018年11月2日發(fā)布《中央企業(yè)合規(guī)管理指引（試行）》，規(guī)定所稱合規(guī)管理包括制度制定、風(fēng)險(xiǎn)識(shí)別、合規(guī)審查、風(fēng)險(xiǎn)應(yīng)對(duì)、責(zé)任追究、考核評(píng)價(jià)、合規(guī)培訓(xùn)等，第11條規(guī)定業(yè)務(wù)部門負(fù)責(zé)本領(lǐng)域的日常合規(guī)管理工作，組織合規(guī)審查，第20條規(guī)定應(yīng)當(dāng)建立健全合規(guī)審查機(jī)制。我們認(rèn)為此處的“合規(guī)審查”可以包含于“合規(guī)審計(jì)”概念，但“合規(guī)審查”并不必然適用審計(jì)相關(guān)的流程和規(guī)定。

　　安全審計(jì)，根據(jù)國(guó)家推薦標(biāo)準(zhǔn)《信息安全技術(shù) 信息系統(tǒng)安全審計(jì)產(chǎn)品技術(shù)要求和測(cè)試評(píng)價(jià)方法》（GB/T 20945-2013）的定義，是指“對(duì)事件進(jìn)行記錄和分析，并針對(duì)特定事件采取相應(yīng)比較的動(dòng)作”。[2]個(gè)人信息保護(hù)本身有對(duì)個(gè)人信息安全的要求，我們認(rèn)為此處的“安全審計(jì)”和“合規(guī)審計(jì)”有部分重合。

　　綜上，我們理解《個(gè)人信息保護(hù)法》下的“合規(guī)審計(jì)”指審計(jì)機(jī)構(gòu)和審計(jì)人員通過審計(jì)以確定被審計(jì)單位的個(gè)人信息處理活動(dòng)是否遵循我國(guó)相關(guān)法律法規(guī)，屬于被審計(jì)單位合規(guī)管理體系的重要構(gòu)成要素。

　　我們檢索到有部分規(guī)范性文件提及到“合規(guī)審計(jì)”。如國(guó)家發(fā)改委、外交部、商務(wù)部等七部門于2018年12月26日聯(lián)合發(fā)布的《企業(yè)境外經(jīng)營(yíng)合規(guī)管理指引》和商務(wù)部于2021年4月28日發(fā)布的《關(guān)于兩用物項(xiàng)出口經(jīng)營(yíng)者建立出口管制內(nèi)部合規(guī)機(jī)制的指導(dǎo)意見》（2021年第10號(hào)公告）。

　　《個(gè)人信息保護(hù)法》第五十四條規(guī)定履行主動(dòng)定期合規(guī)審計(jì)的義務(wù)主體為個(gè)人信息處理者，第六十四條規(guī)定被動(dòng)臨時(shí)性合規(guī)審計(jì)由個(gè)人信息處理者委托專業(yè)機(jī)構(gòu)進(jìn)行。

　　《企業(yè)境外經(jīng)營(yíng)合規(guī)管理指引》第二十六條規(guī)定合規(guī)審計(jì)由企業(yè)審計(jì)部門獨(dú)立進(jìn)行?！蛾P(guān)于兩用物項(xiàng)出口經(jīng)營(yíng)者建立出口管制內(nèi)部合規(guī)機(jī)制的指導(dǎo)意見》第三條第（七）款規(guī)定合規(guī)審計(jì)可以由企業(yè)內(nèi)部專人進(jìn)行，也可以聘請(qǐng)外部第三方機(jī)構(gòu)進(jìn)行。

　　公安部網(wǎng)絡(luò)安全保衛(wèi)局、北京網(wǎng)絡(luò)行業(yè)協(xié)會(huì)、公安部第三研究所2019年4月聯(lián)合發(fā)布的《互聯(lián)網(wǎng)個(gè)人信息安全保護(hù)指南》及國(guó)家推薦標(biāo)準(zhǔn)《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（GB/T 22239-2019）皆規(guī)定應(yīng)當(dāng)設(shè)立審計(jì)管理員崗位。[3]此外，國(guó)家推薦標(biāo)準(zhǔn)《信息安全技術(shù) 個(gè)人信息安全規(guī)范》（GB/T 35273-2020）規(guī)定個(gè)人信息保護(hù)負(fù)責(zé)人和個(gè)人信息保護(hù)工作機(jī)構(gòu)的職責(zé)之一為進(jìn)行安全審計(jì)。[4]

　　我們認(rèn)為《個(gè)人信息保護(hù)法》第五十四條規(guī)定的個(gè)人信息處理者主動(dòng)定期合規(guī)審計(jì)可以由個(gè)人信息處理者內(nèi)部部門或人員進(jìn)行，如審計(jì)部門、法務(wù)部門、合規(guī)部門、監(jiān)察部門等，也可以委托第三方機(jī)構(gòu)進(jìn)行，如律師事務(wù)所、會(huì)計(jì)師事務(wù)所等。對(duì)于被動(dòng)臨時(shí)性合規(guī)審計(jì)下的“專業(yè)機(jī)構(gòu)”，還有待于法律法規(guī)或權(quán)威解釋的進(jìn)一步明確。

　　《企業(yè)境外經(jīng)營(yíng)合規(guī)管理指引》規(guī)定合規(guī)審計(jì)的內(nèi)容為“企業(yè)合規(guī)管理的執(zhí)行情況、合規(guī)管理體系的適當(dāng)性和有效性等”。[5]

　　《關(guān)于兩用物項(xiàng)出口經(jīng)營(yíng)者建立出口管制內(nèi)部合規(guī)機(jī)制的指導(dǎo)意見》規(guī)定審計(jì)內(nèi)容主要包括“各項(xiàng)兩用物項(xiàng)交易過程中是否遵循了審查流程、組織機(jī)構(gòu)運(yùn)行是否順暢、可疑事項(xiàng)調(diào)查是否有效以及合規(guī)事務(wù)是否出現(xiàn)需要改進(jìn)的地方等”。[6]

　　《個(gè)人信息保護(hù)法》第五十四條規(guī)定合規(guī)審計(jì)的內(nèi)容為“處理個(gè)人信息遵守法律、行政法規(guī)的情況”。我們理解此處的“法律、行政法規(guī)”包括但不限于：

　　其中，《互聯(lián)網(wǎng)個(gè)人信息安全保護(hù)指南》針對(duì)區(qū)域邊界安全、計(jì)算環(huán)境安全、應(yīng)用和數(shù)據(jù)安全規(guī)定了安全審計(jì)具體內(nèi)容，[7]《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》針對(duì)安全區(qū)域邊界、安全計(jì)算環(huán)境、安全管理中心規(guī)定了安全審計(jì)具體內(nèi)容，[8]《信息安全技術(shù) 個(gè)人信息安全規(guī)范》第11.7條規(guī)定個(gè)人信息控制者：

　　c) 審計(jì)過程形成的記錄應(yīng)能對(duì)安全事件的處置、應(yīng)急響應(yīng)和事后調(diào)查提供支撐；

　　中國(guó)科技技術(shù)法學(xué)會(huì)于2021年4月28日發(fā)布了團(tuán)體標(biāo)準(zhǔn)《個(gè)人信息處理法律合規(guī)性評(píng)估指引》（T/CLAST 001—2021），分別從合法性基礎(chǔ)、手段合法、目的明確、目的限制、公開透明、告知、選擇、權(quán)益保障、質(zhì)量、安全保護(hù)、權(quán)責(zé)一致、可問責(zé)性等十二個(gè)維度闡述個(gè)人信息處理通用法律合規(guī)性評(píng)估，[9]對(duì)開展個(gè)人信息處理合規(guī)審計(jì)具有很好的參考價(jià)值。

　　參考《中央企業(yè)內(nèi)部審計(jì)管理暫行辦法》（國(guó)務(wù)院國(guó)資委令第8號(hào)）及中國(guó)內(nèi)部審計(jì)協(xié)會(huì)于2013年8月20日發(fā)布的《中國(guó)內(nèi)部審計(jì)準(zhǔn)則》關(guān)于內(nèi)部審計(jì)的原則，我們認(rèn)為合規(guī)審計(jì)應(yīng)當(dāng)遵守獨(dú)立性原則、客觀性原則和公正性原則。

　　根據(jù)上述三項(xiàng)合規(guī)審計(jì)的原則，審計(jì)機(jī)構(gòu)和審計(jì)人員不得負(fù)責(zé)被審計(jì)單位的業(yè)務(wù)活動(dòng)、內(nèi)部控制和風(fēng)險(xiǎn)管理的決策與執(zhí)行；審計(jì)機(jī)構(gòu)和審計(jì)人員應(yīng)實(shí)事求是，不得由于偏見、利益沖突而影響職業(yè)判斷；審計(jì)機(jī)構(gòu)和審計(jì)人員與審計(jì)事項(xiàng)有利害關(guān)系的，應(yīng)當(dāng)回避。[10]

　　需要特別提示的是，個(gè)人信息處理合規(guī)審計(jì)主體和審計(jì)事項(xiàng)有利害關(guān)系時(shí)，應(yīng)盡量回避。如企業(yè)App隱私保護(hù)政策由企業(yè)的合規(guī)部門和法務(wù)部門聯(lián)合制定，針對(duì)App隱私保護(hù)政策進(jìn)行合規(guī)審計(jì)時(shí)，合規(guī)部門和法務(wù)部門都不再適合作為審計(jì)主體。

　　除《個(gè)人信息保護(hù)法》第六十四條規(guī)定的被動(dòng)臨時(shí)性合規(guī)審計(jì)，《個(gè)人信息保護(hù)法》第五十四條規(guī)定個(gè)人信息處理者應(yīng)當(dāng)“定期”進(jìn)行合規(guī)審計(jì)。

　　《個(gè)人信息保護(hù)法》第六十二條規(guī)定，國(guó)家網(wǎng)信部門統(tǒng)籌協(xié)調(diào)有關(guān)部門推進(jìn)針對(duì)小型個(gè)人信息處理者等制定專門的個(gè)人信息保護(hù)規(guī)則、標(biāo)準(zhǔn)。就第五十四條下的“定期”的頻率，小型個(gè)人信息處理者和非小型個(gè)人信息處理者是否會(huì)有所不同，有待網(wǎng)信部門后續(xù)的明確。

　　在未有明確規(guī)定及權(quán)威解釋“定期”前，對(duì)于一般的個(gè)人信息處理者，我們建議至少每年開展一次合規(guī)審計(jì)。

　　《個(gè)人信息保護(hù)法》作為我國(guó)第一部個(gè)人信息保護(hù)的專門法律，將于2021年11月1日起實(shí)施，就《個(gè)人信息保護(hù)法》確立的合規(guī)審計(jì)制度，我們給個(gè)人信息處理者提出以下幾點(diǎn)合規(guī)建議：

　　密切跟進(jìn)個(gè)人信息保護(hù)的立法、執(zhí)法、司法動(dòng)態(tài)并及時(shí)對(duì)照完善自身的合規(guī)管理。

　　1.此處定義參考自王春暉教授，《個(gè)人信息保護(hù)法（草案）》（二審稿）八大亮點(diǎn)解析，人民郵電報(bào)。

　　6. 《關(guān)于兩用物項(xiàng)出口經(jīng)營(yíng)者建立出口管制內(nèi)部合規(guī)機(jī)制的指導(dǎo)意見》第三條第（七）款。

　　7. 《互聯(lián)網(wǎng)個(gè)人信息安全保護(hù)指南》第5.2.2、5.2.3、5.2.4條。

　　10. 《第1101號(hào)-內(nèi)部審計(jì)基本準(zhǔn)則》第六條，《第1201號(hào)-內(nèi)部審計(jì)人員職業(yè)道德規(guī)范》第十一條，《中央企業(yè)內(nèi)部審計(jì)管理暫行辦法》第三十六條。4166am金沙