互联网时代，个人信息保护尤為(wèi)重要，个人信息一旦泄露将会对个人及社会带来极大不利。然而，更多(duō)时候，我们在使用(yòng)互联网时不得不让渡自己的信息，如電(diàn)话号码、姓名、出生日期等，还有(yǒu)一些平台则要求人脸、指纹、身份证号码甚至银行账号等。作為(wèi)互联网的使用(yòng)者，用(yòng)户在与平台博弈时处于非常弱势的地位，必须由监管者介入来保护弱势一方。

8月3日，國(guó)家网信办对《个人信息保护合规审计管理(lǐ)办法（征求意见稿）》公开征求意见。此前，我國(guó)已相继出台《个人信息保护法》《数据安全法》《网络安全法》等相关法律，其对于数据保护都作出了明确规定。如《个人信息保护法》第五十四条指出，个人信息处理(lǐ)者应当定期对其处理(lǐ)个人信息遵守法律、行政法规的情况进行合规审计。个人信息保护合规审计成為(wèi)个人信息处理(lǐ)者需履行的法定义務(wù)。

作為(wèi)个人信息处理(lǐ)者的企业，在严格的法律法规约束下，在开展业務(wù)的同时又(yòu)履行个人信息保护的义務(wù)并不是一件容易的事情。近日，由中國(guó)電(diàn)子技术标准化研究院发起成立的中國(guó)网络安全产业联盟数据安全工作委员会组织各方专家举行了研讨会，围绕“个人信息保护合规审计管理(lǐ)办法”，讨论企业如何结合当下监管要求，落地个人信息保护合规审计工作。本报摘取研讨会上部分(fēn)专家的精彩观点，以飨读者。

问题1　审计的目的：个人信息保护合规审计与风险评估（影响评估）、风险监测（检测评价）、安全认证等工作的目的和侧重点分(fēn)别是什么？企业如何通过评估、监测、审计、认证等多(duō)道防線(xiàn)的配合和协调，从而有(yǒu)效控制风险，提升合规水平？

个人信息保护合规评估、监测、认证和自我审计属于运营、安全、审计三道防線(xiàn)中的不同防線(xiàn)，由于其目的、内容、评价方式有(yǒu)所不同，一般企业内这三道防線(xiàn)应相互独立，即使从企业规模和成本考虑，审计这道防線(xiàn)至少应当独立。

风险评估、监测都是内部管理(lǐ)的一种工作方法，主要目的是进行风险管理(lǐ)，其评估、监测可(kě)以由企业根据自身的特点进行，得出的结论是影响程度、风险高低，监测与评估相比，區(qū)别在于监测是持续的过程，其根本目标还是风险控制；认证则是第三方对企业内部體(tǐ)系的完备性、合规性等方面的评价，通过认证既可(kě)帮助企业提升合规水平，也可(kě)帮助企业展示合规能(néng)力。

评估工作是日常性工作，企业可(kě)以根据自身的风险情况开展，其重点在于分(fēn)析风险发生的可(kě)能(néng)性以及可(kě)能(néng)造成的影响，对于法律法规规定事项以外的要求，可(kě)以通过评估得出高、中、低风险等结论以完善安全措施。审计的依据需非常明确，比如以法律、行政法规為(wèi)依据的审计不能(néng)得出法律、行政法规以外的审计结论；除针对法律法规要求的审计以外，企业自我审计可(kě)以指定标准规范、内部管理(lǐ)制度等為(wèi)审计要点。

问题2　审计的工作范围：审计作為(wèi)符合性检查，其工作范围是针对企业还是具體(tǐ)业務(wù)，工作内容是否包含风险分(fēn)析、整改通知等环节？

通常来说，审计的工作范围既可(kě)以针对企业整體(tǐ)范围，也可(kě)以是具體(tǐ)的业務(wù)，其由审计目的所决定。对于个人信息保护合规审计而言，从开展审计的效率和成本出发，审计可(kě)以抽样业務(wù)的形式开展，对审计发现的问题举一反三，向所有(yǒu)业務(wù)提出自查自纠要求。

个人信息保护合规审计工作结论应為(wèi)符合性评价，而不是风险分(fēn)析结果。审计结果可(kě)以分(fēn)為(wèi)严重不符合、一般不符合、符合。个人信息保护合规审计是一种體(tǐ)系性的审计，符合的程度或水平，还可(kě)能(néng)取决于影响的范围、问题是否為(wèi)全局或单点，因此评判的过程可(kě)以适当借鉴风险分(fēn)析方法。

从审计工作的跟踪闭环角度来说，审计结论中明确指出的不符合项，审计方有(yǒu)义務(wù)告知具體(tǐ)的问题所在，以便被审计方进行整改。為(wèi)保证审计的独立性，原则上审计过程不应提出具體(tǐ)整改建议。

问题3　如何开展审计：个人信息保护审计活动能(néng)否总结和提炼出一套标准流程和举证要求？

从大型企业的实践过程来看，个人信息保护审计难以短期内总结和提炼出一套通用(yòng)标准流程和举证要求，但是针对有(yǒu)相同特性的主體(tǐ)、业務(wù)可(kě)以尝试规范化一些环节，以提高个人信息保护合规审计的效率和效果。

个人信息保护合规审计工作与个人信息处理(lǐ)活动密切相关，大型企业的处理(lǐ)活动、业務(wù)复杂，同时内部的组织管理(lǐ)架构也有(yǒu)一定的差异性，因此其审计流程可(kě)能(néng)需要根据企业的实际情况制定，举证要求可(kě)以原则性要求為(wèi)指导，具體(tǐ)业務(wù)系统在原则下完善细则。不过，為(wèi)了提高审计效率，如果企业内的不同主體(tǐ)、业務(wù)線(xiàn)有(yǒu)一定的相似性，可(kě)以总结提炼出一套适用(yòng)于自身的通用(yòng)性模板、工具。

对于中小(xiǎo)型企业，特别是使用(yòng)第三方平台提供的业務(wù)系统的企业，其业務(wù)流程相对单一、固定，其个人信息的处理(lǐ)活动也相对简单。要确保个人信息保护合规审计工作能(néng)够長(cháng)期开展，需要在流程标准化和压缩成本上予以考虑。比如，尽可(kě)能(néng)使用(yòng)一些由第三方平台直接提供的通用(yòng)性的合规审计模板、工具（如SaaS工具），在此基础上由内部人员对未覆盖的内容进行补充完善。

问题4　审计的实施方式：审计作為(wèi)一项需要合规、法務(wù)、安全、业務(wù)等多(duō)部门参与的活动，企业应该如何组织协调？牵头方通常為(wèi)哪个部门，需要哪些人员参与，各部门如何分(fēn)工？如何使用(yòng)《个人信息保护合规审计管理(lǐ)办法（征求意见稿）》附件的参考要点？哪些行政法规、政策文(wén)件、國(guó)家标准对理(lǐ)解具體(tǐ)审计要求有(yǒu)帮助？

审计的组织架构优先考虑的是如何保障其独立性，优先考虑由组织内部成立独立的信息化审计部门牵头，如无法实现可(kě)以选定一个部门牵头，多(duō)部门配合，或者由多(duō)个部门联合组成审计工作组。由于内部审计人员独立性要求，企业内部有(yǒu)独立的合规审计部门最合适，大型互联网平台如有(yǒu)外部独立委员会可(kě)以考虑参与审计工作。

很(hěn)多(duō)中小(xiǎo)型企业因為(wèi)规模原因，没有(yǒu)独立的审计机构。建议根据企业内部实际架构，选择法務(wù)部门、合规部门或安全部门牵头，业務(wù)部门、技术部门配合开展审计工作。如无合适的牵头部门，企业可(kě)以指定具备审计能(néng)力的人员组成临时审计工作组。上述情形下的审计，审计牵头部门、审计工作组是否足够独立，是否具备相应的权限是审计能(néng)否有(yǒu)效开展的关键。

参考要点為(wèi)审计的内容提供了一定的确定性，便于统一标准开展审计工作，避免执行层面、多(duō)部门或不同人员产生争议。针对参考要点，建议对相应条款进一步明确，做到精准、合理(lǐ)，增加执行层面的可(kě)操作性，进一步减少由于审计人员认识不同导致审计结论出现偏差的可(kě)能(néng)。

问题5　审计所需的准备工作：目前企业梳理(lǐ)和记录个人信息处理(lǐ)活动的现状如何？是否有(yǒu)電(diàn)子化证据关联分(fēn)析等实践？是否能(néng)够提升审计效率和审计质量？哪些具體(tǐ)合规工作适合提前开展？

企业的合规管理(lǐ)水平与审计工作的效率关联度高，当下，企业应重视个人信息保护合规留痕以及证据保存工作，提升后续审计的工作效率。企业可(kě)考虑通过开展认证、评估以及梳理(lǐ)已开展的合规工作，方便后续开展个人信息保护合规审计工作。评估与认证不同，认证為(wèi)自愿行為(wèi)，而是否开展评估工作本身就是被审计的要点，只有(yǒu)开展评估才能(néng)满足审计关注的合规要求。　（文(wén)字整理(lǐ)：方正梁）