個人信息保護合規(guī)審計是監(jiān)督與評估個人信息處理者切實履行個人信息保護義務的重要制度。《個人信息保護合規(guī)審計管理辦法》（以下簡稱《辦法》）的制定是以《中華人民共和國個人信息保護法》等法律法規(guī)為依據，清晰且全面地規(guī)定了個人信息保護合規(guī)審計制度的具體實施方式，有效平衡了個人信息安全保護和個人信息合理利用的雙重立法目標。《辦法》的出臺有利于推動個人信息保護義務的充分履行，顯著提升個人信息處理活動的透明性和合規(guī)性，推動我國個人信息保護工作進入全新階段，為全球個人信息保護治理實踐提供了有益的中國方案。

　　在世界范圍內，各國正在普遍推進個人信息保護合規(guī)審計制度的立法進程。歐盟《通用數據保護條例》（GDPR）第二十八條、第三十九條等條款均有提及數據保護審計制度的具體實施方式和義務主體范圍。美國各州在各自立法權限內也設置了不同的審計要求，如《加州消費者隱私法》（CCPA）針對存在重大風險的企業(yè)，明確每年應當進行一次網絡安全審計。英國《數據保護法案》（DPA）和《信息專員辦公室（ICO）審計指南》中也提及了自愿性審計和強制性審計等數據保護審計的具體實施流程。

　　九游體育平臺app 九游體育網址

　　然而，個人信息保護合規(guī)審計與各國的個人信息保護體系密切相關，目前并未形成完全統(tǒng)一的合規(guī)審計模式?！掇k法》以中國的個人信息保護實踐問題為導向，立足于中國的個人信息保護制度特點，提供了不同于任何一個國家的“中國答案”?？偨Y而言，該《辦法》的創(chuàng)新之處主要表現為以下四個方面。

　　九游體育平臺app 九游體育網址

　　個人信息保護合規(guī)審計制度適用于所有類型的個人信息處理者，然而這些主體的業(yè)務合規(guī)能力有所差別，并且其所處理的個人信息數量、類型也不盡相同，所以，《辦法》設置了外部審計和內部審計兩種審計模式。外部審計是指個人信息處理者委托外部的專業(yè)機構進行合規(guī)審計；內部審計是指個人信息處理者自行開展個人信息保護合規(guī)審計。當國家網信部門和其他履行個人信息保護職責的部門（以下統(tǒng)稱為保護部門）發(fā)現個人信息處理活動存在較大風險，可能侵害眾多個人的權益或者發(fā)生個人信息安全事件時，可以要求個人信息處理者采用外部審計模式。此外，《辦法》明確規(guī)定處理超過1000萬人個人信息的個人信息處理者，應當每兩年至少開展一次個人信息保護合規(guī)審計。這將有助于對個人信息處理者的安全風險狀況進行全方位、短周期地評估和審查。

　　個人信息保護合規(guī)審計制度最重要的環(huán)節(jié)是確保合規(guī)審計活動的獨立性和客觀性，這樣才能確保依據合規(guī)審計活動作出的審計結論能夠真實地反映個人信息處理者的業(yè)務合規(guī)情況，進而對個人信息處理者提出針對性的審計建議。在專業(yè)機構方面，《辦法》設置了“同一專業(yè)機構及其關聯機構、同一合規(guī)審計負責人不得連續(xù)三次以上對同一審計對象開展個人信息保護合規(guī)審計”的要求，背后的原因正是為了預防專業(yè)機構在多次的合規(guī)審計活動中疏忽審計對象可能出現的新問題新情況，也能夠有效避免專業(yè)機構與審計對象之間形成“黑幕交易”。在審計人員方面，《辦法》對審計人員的審計行為和職業(yè)操守作出了詳細規(guī)定，包括專業(yè)機構主要負責人、合規(guī)審計負責人應當在審計報告上簽字并加蓋專業(yè)機構公章，專業(yè)機構不得泄露或者非法向他人提供在履行個人信息保護合規(guī)審計職責中獲得的個人信息、商業(yè)秘密、保密商務信息等。

　　該《辦法》的一大亮點在于配套設置了個人信息保護合規(guī)審計的具體審查事項，這些審查事項的設置以《中華人民共和國個人信息保護法》的具體規(guī)則作為上位法依據，指明了個人信息保護業(yè)務合規(guī)的核心內容。以知情同意規(guī)則為例，在實踐中，社會公眾對人臉識別技術應用背后的個人信息處理規(guī)則不甚了解，部分原因是個人信息處理者未能履行事前告知義務，并獲取用戶單獨同意。那么按照該《辦法》所提出的合規(guī)審計標準，即便個人信息處理者采用了用戶協(xié)議的形式予以告知，但是倘若用戶協(xié)議內容冗長晦澀，這類行為不符合“以顯著方式、清晰易懂的語言真實、準確、完整地向個人告知個人信息處理規(guī)則”審查要求，屬于典型的業(yè)務合規(guī)不到位。

　　該《辦法》明確要求個人信息處理者按照保護部門要求開展個人信息保護合規(guī)審計的，應當對合規(guī)審計中發(fā)現的問題進行整改，在整改完成后15個工作日內，向保護部門報送整改情況報告。該要求凸顯了合規(guī)審計的核心功能之一是通過客觀公正的審計活動評估風險、發(fā)現問題，并為個人信息處理者提供更好的整改優(yōu)化建議。因此，個人信息處理者不應當將此種制度視為額外的義務負擔，而是另一種形式的業(yè)務合規(guī)優(yōu)化機制。并且，為了實現個人信息保護合規(guī)的透明化，該《辦法》還依據《中華人民共和國個人信息保護法》的規(guī)定將大型網絡平臺的個人信息保護社會責任報告納入審計事項，形成了個人信息保護從落地實施到事后評估監(jiān)督的制度閉環(huán)，也讓社會公眾能夠更為直觀地了解到自己的個人信息究竟如何被處理和安全保護。

　　個人信息保護合規(guī)審計制度的優(yōu)點在于，通過獨立客觀的審計活動，以《中華人民共和國個人信息保護法》等法律法規(guī)作為審計依據，“逐條逐項”地確保個人信息保護制度落地落實。個人信息保護是一項長期性、系統(tǒng)性和動態(tài)性的現代化治理活動，需要結合產業(yè)模式、科技創(chuàng)新的實踐情況進行同步規(guī)劃、同步監(jiān)管、同步更新。該《辦法》是我國個人信息保護立法工作的又一創(chuàng)新成果，有助于督促個人信息處理者切實保障好公民的個人信息權益，高效促進個人信息的合理利用和充分流動，夯實個人信息保護成效。（作者：北京航空航天大學法學院副教授、院長助理 趙精武）