中國信通院魏亮：多措并舉體系化推進(jìn)合規(guī)審計，全面提升電信和互聯(lián)網(wǎng)行業(yè)個人信息保護(hù)水平

審計是黨和國家監(jiān)督體系的重要組成部分，也是企業(yè)合規(guī)治理體系不可或缺的重要舉措。2021年11月1日正式實施的《中華人民共和國個人信息保護(hù)法》首次在法律層面明確個人信息處理者應(yīng)當(dāng)對個人信息處理活動開展合規(guī)審計，這意味著審計作為具備獨(dú)立性的監(jiān)督活動，已成為落實個人信息保護(hù)治理體系的重要抓手。

根據(jù)《中華人民共和國個人信息保護(hù)法》《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例》等法律、行政法規(guī)，國家互聯(lián)網(wǎng)信息辦公室于2025年2月14日正式發(fā)布《個人信息保護(hù)合規(guī)審計管理辦法》（以下簡稱《辦法》），為個人信息處理者開展合規(guī)審計提供了系統(tǒng)性、針對性、可操作性的規(guī)范�！掇k法》的出臺標(biāo)志著個人信息保護(hù)合規(guī)審計工作邁入新階段。

一、明確合規(guī)審計定位，助力堅守個人信息保護(hù)合規(guī)防線

對于個人信息處理者，合規(guī)審計是推動內(nèi)部持續(xù)完善個人信息保護(hù)合規(guī)體系的重要手段。《辦法》要求個人信息處理者自行開展個人信息保護(hù)合規(guī)審計的，由個人信息處理者內(nèi)部機(jī)構(gòu)或者委托專業(yè)機(jī)構(gòu)自行開展合規(guī)審計，并要求涉及大規(guī)模個人信息處理的情況，應(yīng)指定個人信息保護(hù)負(fù)責(zé)人負(fù)責(zé)合規(guī)審計工作，由大型平臺外部獨(dú)立機(jī)構(gòu)對合規(guī)審計進(jìn)行監(jiān)督，促進(jìn)個人信息處理者健全個人信息保護(hù)合規(guī)治理架構(gòu)，完善個人信息保護(hù)內(nèi)部管理機(jī)制。

對于保護(hù)部門，合規(guī)審計是落實我國個人信息保護(hù)治理體系的一項重要監(jiān)督舉措�！掇k法》細(xì)化了個人信息處理者按照保護(hù)部門的要求開展合規(guī)審計的執(zhí)行主體、觸發(fā)條件、整改報送要求等。同時，提出保護(hù)部門對個人信息處理者開展合規(guī)審計情況進(jìn)行監(jiān)督檢查，后續(xù)保護(hù)部門將通過合規(guī)審計監(jiān)督檢查督促開展合規(guī)審計的企業(yè)內(nèi)部機(jī)構(gòu)和專業(yè)機(jī)構(gòu)規(guī)范執(zhí)行審計程序，提升審計質(zhì)量。

二、細(xì)化合規(guī)審計實施要求，促進(jìn)規(guī)范化、高質(zhì)量落地執(zhí)行

《辦法》明確差異化的合規(guī)審計頻率，提升合規(guī)監(jiān)督成效。細(xì)化個人信息處理者自行開展合規(guī)審計的頻率，要求處理超過1000萬人個人信息的個人信息處理者應(yīng)當(dāng)每兩年至少開展一次個人信息保護(hù)合規(guī)審計。充分考慮了企業(yè)處理個人信息的規(guī)模與其合規(guī)資源投入的適應(yīng)性，最大化地降低合規(guī)成本、提升合規(guī)成效。

《辦法》給出了詳細(xì)的合規(guī)審計指引，從合規(guī)審計的角度明確了二十七條審查要點，為合規(guī)審計實施提供操作指引，有助于促進(jìn)合規(guī)審計規(guī)范化執(zhí)行。

《辦法》強(qiáng)調(diào)合規(guī)審計獨(dú)立性，為保障審計質(zhì)量奠定基礎(chǔ)。要求個人信息處理者應(yīng)確定由具備獨(dú)立性的部門或崗位人員承擔(dān)合規(guī)審計職責(zé)，確保其能夠客觀公正地發(fā)表審計意見。處理100萬人以上個人信息的個人信息處理者應(yīng)當(dāng)指定個人信息保護(hù)負(fù)責(zé)人負(fù)責(zé)合規(guī)審計。同時，專業(yè)機(jī)構(gòu)受委托開展合規(guī)審計應(yīng)保持審計獨(dú)立性，《辦法》對同一專業(yè)機(jī)構(gòu)及其關(guān)聯(lián)機(jī)構(gòu)、同一合規(guī)審計負(fù)責(zé)人連續(xù)為同一審計對象開展合規(guī)審計的次數(shù)進(jìn)行了限制。