作者:唐丽子 孙及 周凡尧 唐小博
2023年8月,国家网信办颁布《个人信息保护合规审计管理办法(征求意见稿)》(以下简称《审计办法征求意见稿》),拟对个人信息处理活动的合规审计进行规制。《审计办法征求意见稿》将合规审计分为定期审计和专项审计。定期审计是指处理超过100万人个人信息的个人信息处理者,应当每年至少开展一次个人信息保护合规审计;其他个人信息处理者应当每二年至少开展一次个人信息保护合规审计。除了定期审计外,履行个人信息保护职责的部门在履行职责中,发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,可以要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计,即专项审计。
《审计办法征求意见稿》附件《个人信息保护合规审计参考要点》(以下简称《审计参考要点》)列举了在实施个人信息保护合规审计时需要覆盖的审计要点,但对部分重点审计事项如何开展、应该达到何种合规标准,并未做进一步详细说明,如“个人信息处理者告知、取得个人同意相关义务的具体要求”、“个人信息保护影响评估的具体要求及内容”等。本文拟结合《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)以及个人信息处理的相关国家标准和指南的规定,对于重点审计事项对应的法规要求、个人信息处理者应达到的合规标准予以详细介绍及分析。