互聯網時代，個人信息保護尤為重要，個人信息一旦泄露將會對個人及社會帶來極大不利。然而，更多時候，我們在使用互聯網時不得不讓渡自己的信息，如電話號碼、姓名、出生日期等，還有一些平臺則要求人臉、指紋、身份證號碼甚至銀行賬號等。作為互聯網的使用者，用戶在與平臺博弈時處于非常弱勢的地位，必須由監管者介入來保護弱勢一方。

8月3日，國家網信辦對《個人信息保護合規審計管理辦法（征求意見稿）》公開征求意見。此前，我國已相繼出臺《個人信息保護法》《數據安全法》《網絡安全法》等相關法律，其對于數據保護都作出了明確規定。如《個人信息保護法》第五十四條指出，個人信息處理者應當定期對其處理個人信息遵守法律、行政法規的情況進行合規審計。個人信息保護合規審計成為個人信息處理者需履行的法定義務。

作為個人信息處理者的企業，在嚴格的法律法規約束下，在開展業務的同時又履行個人信息保護的義務并不是一件容易的事情。近日，由中國電子技術標準化研究院發起成立的中國網絡安全產業聯盟數據安全工作委員會組織各方專家舉行了研討會，圍繞“個人信息保護合規審計管理辦法”，討論企業如何結合當下監管要求，落地個人信息保護合規審計工作。本報摘取研討會上部分專家的精彩觀點，以饗讀者。

問題1　審計的目的：個人信息保護合規審計與風險評估（影響評估）、風險監測（檢測評價）、安全認證等工作的目的和側重點分別是什么？企業如何通過評估、監測、審計、認證等多道防線的配合和協調，從而有效控制風險，提升合規水平？

個人信息保護合規評估、監測、認證和自我審計屬于運營、安全、審計三道防線中的不同防線，由于其目的、內容、評價方式有所不同，一般企業內這三道防線應相互獨立，即使從企業規模和成本考慮，審計這道防線至少應當獨立。

風險評估、監測都是內部管理的一種工作方法，主要目的是進行風險管理，其評估、監測可以由企業根據自身的特點進行，得出的結論是影響程度、風險高低，監測與評估相比，區別在于監測是持續的過程，其根本目標還是風險控制；認證則是第三方對企業內部體系的完備性、合規性等方面的評價，通過認證既可幫助企業提升合規水平，也可幫助企業展示合規能力。

評估工作是日常性工作，企業可以根據自身的風險情況開展，其重點在于分析風險發生的可能性以及可能造成的影響，對于法律法規規定事項以外的要求，可以通過評估得出高、中、低風險等結論以完善安全措施。審計的依據需非常明確，比如以法律、行政法規為依據的審計不能得出法律、行政法規以外的審計結論；除針對法律法規要求的審計以外，企業自我審計可以指定標準規范、內部管理制度等為審計要點。

問題2　審計的工作范圍：審計作為符合性檢查，其工作范圍是針對企業還是具體業務，工作內容是否包含風險分析、整改通知等環節？

通常來說，審計的工作范圍既可以針對企業整體范圍，也可以是具體的業務，其由審計目的所決定。對于個人信息保護合規審計而言，從開展審計的效率和成本出發，審計可以抽樣業務的形式開展，對審計發現的問題舉一反三，向所有業務提出自查自糾要求。

個人信息保護合規審計工作結論應為符合性評價，而不是風險分析結果。審計結果可以分為嚴重不符合、一般不符合、符合。個人信息保護合規審計是一種體系性的審計，符合的程度或水平，還可能取決于影響的范圍、問題是否為全局或單點，因此評判的過程可以適當借鑒風險分析方法。

從審計工作的跟蹤閉環角度來說，審計結論中明確指出的不符合項，審計方有義務告知具體的問題所在，以便被審計方進行整改。為保證審計的獨立性，原則上審計過程不應提出具體整改建議。

問題3　如何開展審計：個人信息保護審計活動能否總結和提煉出一套標準流程和舉證要求？

從大型企業的實踐過程來看，個人信息保護審計難以短期內總結和提煉出一套通用標準流程和舉證要求，但是針對有相同特性的主體、業務可以嘗試規范化一些環節，以提高個人信息保護合規審計的效率和效果。

個人信息保護合規審計工作與個人信息處理活動密切相關，大型企業的處理活動、業務復雜，同時內部的組織管理架構也有一定的差異性，因此其審計流程可能需要根據企業的實際情況制定，舉證要求可以原則性要求為指導，具體業務系統在原則下完善細則。不過，為了提高審計效率，如果企業內的不同主體、業務線有一定的相似性，可以總結提煉出一套適用于自身的通用性模板、工具。

對于中小型企業，特別是使用第三方平臺提供的業務系統的企業，其業務流程相對單一、固定，其個人信息的處理活動也相對簡單。要確保個人信息保護合規審計工作能夠長期開展，需要在流程標準化和壓縮成本上予以考慮。比如，盡可能使用一些由第三方平臺直接提供的通用性的合規審計模板、工具（如SaaS工具），在此基礎上由內部人員對未覆蓋的內容進行補充完善。

問題4　審計的實施方式：審計作為一項需要合規、法務、安全、業務等多部門參與的活動，企業應該如何組織協調？牽頭方通常為哪個部門，需要哪些人員參與，各部門如何分工？如何使用《個人信息保護合規審計管理辦法（征求意見稿）》附件的參考要點？哪些行政法規、政策文件、國家標準對理解具體審計要求有幫助？

審計的組織架構優先考慮的是如何保障其獨立性，優先考慮由組織內部成立獨立的信息化審計部門牽頭，如無法實現可以選定一個部門牽頭，多部門配合，或者由多個部門聯合組成審計工作組。由于內部審計人員獨立性要求，企業內部有獨立的合規審計部門最合適，大型互聯網平臺如有外部獨立委員會可以考慮參與審計工作。

很多中小型企業因為規模原因，沒有獨立的審計機構。建議根據企業內部實際架構，選擇法務部門、合規部門或安全部門牽頭，業務部門、技術部門配合開展審計工作。如無合適的牽頭部門，企業可以指定具備審計能力的人員組成臨時審計工作組。上述情形下的審計，審計牽頭部門、審計工作組是否足夠獨立，是否具備相應的權限是審計能否有效開展的關鍵。

參考要點為審計的內容提供了一定的確定性，便于統一標準開展審計工作，避免執行層面、多部門或不同人員產生爭議。針對參考要點，建議對相應條款進一步明確，做到精準、合理，增加執行層面的可操作性，進一步減少由于審計人員認識不同導致審計結論出現偏差的可能。

問題5　審計所需的準備工作：目前企業梳理和記錄個人信息處理活動的現狀如何？是否有電子化證據關聯分析等實踐？是否能夠提升審計效率和審計質量？哪些具體合規工作適合提前開展？

企業的合規管理水平與審計工作的效率關聯度高，當下，企業應重視個人信息保護合規留痕以及證據保存工作，提升后續審計的工作效率。企業可考慮通過開展認證、評估以及梳理已開展的合規工作，方便后續開展個人信息保護合規審計工作。評估與認證不同，認證為自愿行為，而是否開展評估工作本身就是被審計的要點，只有開展評估才能滿足審計關注的合規要求。　（文字整理：方正梁）