个人信息保护法下的“合规审计”

引   言

2021年8月20日颁布的《个人信息保护法》第五十四条和第六十四条规定了针对个人信息处理活动的合规审计制度，本文分别从合规审计概念、主体、内容、原则和频率角度讨论《个人信息保护法》下的合规审计，最后给个人信息处理者提出几点实务合规建议。

《个人信息保护法》

第五十四条　个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。

第六十四条　履行个人信息保护职责的部门在履行职责中，发现个人信息处理活动存在较大风险或者发生个人信息安全事件的，可以按照规定的权限和程序对该个人信息处理者的法定代表人或者主要负责人进行约谈，或者要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。个人信息处理者应当按照要求采取措施，进行整改，消除隐患。

履行个人信息保护职责的部门在履行职责中，发现违法处理个人信息涉嫌犯罪的，应当及时移送公安机关依法处理。

一

合规审计的概念

我们暂未获悉现行法律、行政法规层面“合规审计”的概念，和“合规审计”相似的概念有“合规性审计”“合规审查”和“安全审计”。

审计通常可分为财务报表审计、经营审计和合规性审计三个类别。合规性审计一般指审计机构和审计人员依据国家法律、法规和财经制度对被审计单位的生产经营管理活动及其有关资料是否合规所进行的一种监督活动。^[1]早在1992年审计署《关于对金融机构贷款合规性审计的意见》中就提到“合规性审计”。后审计署办公厅于2004年1月18日发布的《汉英审计常用词汇218条》规范“合规性审计”的英文翻译为“compliance audit”。我们认为“合规审计”和“合规性审计”属于同一概念。

国务院国资委于2018年11月2日发布《中央企业合规管理指引（试行）》，规定所称合规管理包括制度制定、风险识别、合规审查、风险应对、责任追究、考核评价、合规培训等，第11条规定业务部门负责本领域的日常合规管理工作，组织合规审查，第20条规定应当建立健全合规审查机制。我们认为此处的“合规审查”可以包含于“合规审计”概念，但“合规审查”并不必然适用审计相关的流程和规定。

安全审计，根据国家推荐标准《信息安全技术 信息系统安全审计产品技术要求和测试评价方法》（GB/T 20945-2013）的定义，是指“对事件进行记录和分析，并针对特定事件采取相应比较的动作”。^[2]个人信息保护本身有对个人信息安全的要求，我们认为此处的“安全审计”和“合规审计”有部分重合。

综上，我们理解《个人信息保护法》下的“合规审计”指审计机构和审计人员通过审计以确定被审计单位的个人信息处理活动是否遵循我国相关法律法规，属于被审计单位合规管理体系的重要构成要素。

我们检索到有部分规范性文件提及到“合规审计”。如国家发改委、外交部、商务部等七部门于2018年12月26日联合发布的《企业境外经营合规管理指引》和商务部于2021年4月28日发布的《关于两用物项出口经营者建立出口管制内部合规机制的指导意见》（2021年第10号公告）。

二

合规审计的主体

《个人信息保护法》第五十四条规定履行主动定期合规审计的义务主体为个人信息处理者，第六十四条规定被动临时性合规审计由个人信息处理者委托专业机构进行。

《企业境外经营合规管理指引》第二十六条规定合规审计由企业审计部门独立进行。《关于两用物项出口经营者建立出口管制内部合规机制的指导意见》第三条第（七）款规定合规审计可以由企业内部专人进行，也可以聘请外部第三方机构进行。

公安部网络安全保卫局、北京网络行业协会、公安部第三研究所2019年4月联合发布的《互联网个人信息安全保护指南》及国家推荐标准《信息安全技术 网络安全等级保护基本要求》（GB/T 22239-2019）皆规定应当设立审计管理员岗位。^[3]此外，国家推荐标准《信息安全技术 个人信息安全规范》（GB/T 35273-2020）规定个人信息保护负责人和个人信息保护工作机构的职责之一为进行安全审计。^[4]

我们认为《个人信息保护法》第五十四条规定的个人信息处理者主动定期合规审计可以由个人信息处理者内部部门或人员进行，如审计部门、法务部门、合规部门、监察部门等，也可以委托第三方机构进行，如律师事务所、会计师事务所等。对于被动临时性合规审计下的“专业机构”，还有待于法律法规或权威解释的进一步明确。

三

合规审计的内容

《企业境外经营合规管理指引》规定合规审计的内容为“企业合规管理的执行情况、合规管理体系的适当性和有效性等”。^[5]

《关于两用物项出口经营者建立出口管制内部合规机制的指导意见》规定审计内容主要包括“各项两用物项交易过程中是否遵循了审查流程、组织机构运行是否顺畅、可疑事项调查是否有效以及合规事务是否出现需要改进的地方等”。^[6]

《个人信息保护法》第五十四条规定合规审计的内容为“处理个人信息遵守法律、行政法规的情况”。我们理解此处的“法律、行政法规”包括但不限于：

其中，《互联网个人信息安全保护指南》针对区域边界安全、计算环境安全、应用和数据安全规定了安全审计具体内容，^[7]《信息安全技术 网络安全等级保护基本要求》针对安全区域边界、安全计算环境、安全管理中心规定了安全审计具体内容，^[8]《信息安全技术 个人信息安全规范》第11.7条规定个人信息控制者：

a) 应对个人信息保护政策、相关规程和安全措施的有效性进行审计；

b) 应建立自动化审计系统，监测记录个人信息处理活动；

c) 审计过程形成的记录应能对安全事件的处置、应急响应和事后调查提供支撑；

d) 应防止非授权访问、篡改或删除审计记录；

e) 应及时处理审计过程中发现的个人信息违规使用、滥用等情况；

f) 审计记录和留存时间应符合法律法规的要求。

中国科技技术法学会于2021年4月28日发布了团体标准《个人信息处理法律合规性评估指引》（T/CLAST 001—2021），分别从合法性基础、手段合法、目的明确、目的限制、公开透明、告知、选择、权益保障、质量、安全保护、权责一致、可问责性等十二个维度阐述个人信息处理通用法律合规性评估，^[9]对开展个人信息处理合规审计具有很好的参考价值。

四

合规审计的原则

参考《中央企业内部审计管理暂行办法》（国务院国资委令第8号）及中国内部审计协会于2013年8月20日发布的《中国内部审计准则》关于内部审计的原则，我们认为合规审计应当遵守独立性原则、客观性原则和公正性原则。

根据上述三项合规审计的原则，审计机构和审计人员不得负责被审计单位的业务活动、内部控制和风险管理的决策与执行；审计机构和审计人员应实事求是，不得由于偏见、利益冲突而影响职业判断；审计机构和审计人员与审计事项有利害关系的，应当回避。^[10]

需要特别提示的是，个人信息处理合规审计主体和审计事项有利害关系时，应尽量回避。如企业App隐私保护政策由企业的合规部门和法务部门联合制定，针对App隐私保护政策进行合规审计时，合规部门和法务部门都不再适合作为审计主体。

五

合规审计的频率

除《个人信息保护法》第六十四条规定的被动临时性合规审计，《个人信息保护法》第五十四条规定个人信息处理者应当“定期”进行合规审计。

《个人信息保护法》第六十二条规定，国家网信部门统筹协调有关部门推进针对小型个人信息处理者等制定专门的个人信息保护规则、标准。就第五十四条下的“定期”的频率，小型个人信息处理者和非小型个人信息处理者是否会有所不同，有待网信部门后续的明确。

在未有明确规定及权威解释“定期”前，对于一般的个人信息处理者，我们建议至少每年开展一次合规审计。

六

结      语

《个人信息保护法》作为我国第一部个人信息保护的专门法律，将于2021年11月1日起实施，就《个人信息保护法》确立的合规审计制度，我们给个人信息处理者提出以下几点合规建议：

• 设置企业内部的个人信息处理合规审计部门或审计管理员；

• 制定企业内部合规审计程序和方法；

• 企业每年自主开展或委托第三方机构开展一次合规审计；

• 加强合规审计全流程的“痕迹管理”；

• 密切跟进个人信息保护的立法、执法、司法动态并及时对照完善自身的合规管理。

1.此处定义参考自王春晖教授，《个人信息保护法（草案）》（二审稿）八大亮点解析，人民邮电报。

2. GB/T 20945-2013第3.2条。

3. 《互联网个人信息安全保护指南》第4.3.2条，GB/T 22239-2019第8.1.7.2条。

4. GB/T 35273-2020第11.4条。

5. 《企业境外经营合规管理指引》第二十六条。

6. 《关于两用物项出口经营者建立出口管制内部合规机制的指导意见》第三条第（七）款。

7. 《互联网个人信息安全保护指南》第5.2.2、5.2.3、5.2.4条。

8. GB/T 22239-2019第7.1.3、7.2.3、8.1.3、8.2.3、9.1.3、9.2.3、7.1.4、8.1.4、9.1.4、7.1.5、8.1.5、9.1.5条。

9. 该团体标准全文可见全国团体标准信息平台网站。

10. 《第1101号-内部审计基本准则》第六条，《第1201号-内部审计人员职业道德规范》第十一条，《中央企业内部审计管理暂行办法》第三十六条。

shlxwx@lawyers.org.cn欢迎来稿~