专业解读

《个人信息保护合规审计管理办法》（简称《办法》）的通过标志着我国个人信息保护工作再次迈出了重要一步，进一步健全了个人信息保护治理体系，为加强对个人信息处理行为的监管提供了明确指引。《办法》明确了个人信息处理者的合规审计义务，规范了审计流程和专业机构管理，细化了审计重点，推动了个人信息保护合规水平的提升。它不仅为企业提供了具体的合规审计要求，也加强了公众隐私保护的法律保障，有助于提升全社会的信息安全和隐私保护意识。《办法》已经于2024年5月20日国家互联网信息办公室2024年第15次室务会会议审议通过，将自2025年5月1日起施行。在此，我们将通过以下几个问题对《办法》进行解读。

一、审计针对的对象是谁？

《办法》针对的对象是所有在中华人民共和国境内开展个人信息处理活动的个人信息处理者，根据《个人信息保护法》（简称《个保法》）第七十三条，个人信息处理者是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。具体来说，涵盖了包括互联网公司、金融机构、医疗机构、教育平台等在内的各类企业与组织。其制定的目的是为了监督个人信息处理者在处理个人信息活动时遵守法律、行政法规的情况，不包含对国家机关和法律、法规授权的具有管理公共事务职能的组织的个人信息保护合规的审计。

二、在何情况下需要进行审计？

根据《个保法》第五十四条规定，个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计；第六十四条规定，履行个人信息保护职责的部门在履行职责中，发现个人信息处理活动存在较大风险或者发生个人信息安全事件的，可以按照规定的权限和程序对该个人信息处理者的法定代表人或者主要负责人进行约谈，或者要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。个人信息处理者应当按照要求采取措施，进行整改，消除隐患。

根据《网络数据安全管理条例》第二十七条规定，网络数据处理者应当定期自行或者委托专业机构对其处理个人信息遵守法律、行政法规的情况进行合规审计。

而《办法》进一步解释了上述规定，要求：（1） 当个人信息处理者处理超过1000万人个人信息时，应当每两年至少开展一次个人信息保护合规审计；（2） 国家网信部门和其他履行个人信息保护职责的部门（以下统称为保护部门）在发现个人信息处理活动存在严重影响个人权益或者严重缺乏安全措施等较大风险、个人信息处理活动可能侵害众多个人的权益的或发生个人信息安全事件，导致100万人以上个人信息或者10万人以上敏感个人信息泄露、篡改、丢失、毁损的情况下可以要求个人信息处理者委托专业机构对个人信息处理活动进行合规审计。

三、对进行审计的主体有什么要求？

根据《办法》第七条规定，专业机构作为审计主体需要具备一系列条件才能进行合规审计：

▪ 能力要求：专业机构应具备开展个人信息保护合规审计的专业能力，要求有与审计任务相匹配的审计人员、场所、设施、资金等资源。

▪ 认证鼓励：鼓励专业机构进行认证，且认证程序应依照《中华人民共和国认证认可条例》进行。

▪ 独立性要求：专业机构不得将审计工作转委托给其他机构，也不得连续三次以上对同一审计对象进行审计，避免利益冲突和审计结果的失真。

此外，专业机构需要保证工作过程中的保密性，依法对个人信息和商业秘密保密，审计结束后应删除相关信息。

综上所述，我们认为，中国企业可以委托律师事务所、会计师事务所、认证机构、审计机构或具备5名以上个人信息合规审计人员的法人组织作为其专业机构。而从《办法》中《个人信息保护合规审计指引》（简称《指引》）部分的要求来看，所需要出具的报告大多内容需要在准确解读相关法律法规、识别隐私保护风险的前提下进行判断并给出结论，律师事务所凭借其法律专业性，相信在未来可以作为专业的审计机构为企业提供更高质量的服务。

四、审计的具体要求是什么？

根据《个保法》《网络数据安全管理条例》以及相关法律法规，《指引》中将审计重点内容集中在解释个人同意的合法性、信息处理规则的透明度与完整性、委托和共同处理个人信息情况、敏感信息处理的合规性、个人信息跨境传输情况、个人信息安全与删除权、权利保障与响应机制、管理制度与员工培训、平台规则、技术措施与社会责任报告情况等。

根据《办法》规定，个人信息处理者在履行个人信息保护职责时，应遵循以下要求：

▪ 保障审计顺利进行：个人信息处理者应为专业机构提供必要的支持，确保合规审计顺利开展，并承担相应的审计费用。

▪ 选定专业机构并按时完成审计：个人信息处理者需根据履行个人信息保护职责的部门的要求，选择合适的专业机构进行合规审计，并确保在规定的时间内完成。若审计情况较为复杂，经批准后可适当延长审计时间。

▪ 报送审计报告并整改：完成审计后，个人信息处理者应将审计报告提交给相关部门，并根据审计中发现的问题进行整改。整改完成后，应在15个工作日内向相关部门报送整改情况报告。

五、没有审计的后果？

根据《办法》第十八条规定，对于未按照规定进行审计的个人信息处理者，相关主管部门将依照《个保法》及《网络数据安全管理条例》等法律法规进行处理，可能包括：

▪ 民事责任：给他人造成损害的，需要依法承担民事责任；

▪ 行政处罚：构成违反治安管理行为的，依法给予治安管理处罚。例如罚款、责令整改，甚至暂停业务。

▪ 刑事责任：构成犯罪的，依法追究刑事责任。涉及的公司及其责任人将面临刑事追责。

▪ 信用风险：未合规的企业可能面临公众信任危机，依照有关法律、行政法规的规定将该行为记入信用档案，并予以公示。甚至可能影响企业在投资、合作中的地位。

六、对中国企业的启示和建议

对中国企业的启示：

▪ 合规风险增加：对于个人信息保护的合规审计要求从2025年起将变得更加严格，企业如果没有及时建立合规机制，可能面临法律和财务上的巨大风险。

▪ 审计准备工作：企业需要为合规审计做好充分准备。这不仅仅是为了应对政府的监管，更是为了提升企业的透明度与社会责任感。

▪ 加强内部管理制度建设：企业应根据合规审计指引制定合理的内部管理规程，加强个人信息保护的内控措施，并明确职责。

▪ 关注审计周期和强制性：大规模企业特别是互联网平台应根据审计周期要求定期开展合规审计，否则可能面临合规风险与行政处罚。

我们的建议：

▪ 合规咨询：企业应当实时了解个人信息保护法律法规的最新动态，制定适合企业实际情况的合规方案，制定数据保护影响评估、数据处理协议等文件。

▪ 定期合规审计指导：企业应定期进行合规审计，确保企业的数据保护措施符合规定，特别是在人力资源、数据存储与传输、敏感信息处理等方面要注意合规性。

▪ 成本节流：企业在进行合规审计时，如有申请SOC 2、ISO 27001、ISO 27701等需求，在一定情况下可以同时进行，在审计方面可能可以节省费用。

▪ 制定应急响应机制：企业应当建立健全的个人信息安全事件应急预案，并对应急响应流程进行合规审查。

▪ 法律风险预警：企业应定期进行法律风险评估，特别是在个人信息保护领域，及时找出针对合规审计的薄弱环节，避免因为疏忽而造成合规问题。

▪ 跨境数据传输的合规建议：企业需要确保在向境外提供个人信息时符合国家网信部门的安全评估要求或签订标准合同等规定。

作者简介

张婷
北京办公室 高级合伙人

业务领域：境内外争议解决、海外上市、国际并购与国际工程、境内外并购与资本市场等
邮箱：zhangting@dtlawyers.com.cn

郭毅佳
北京办公室 律师

业务领域：境外上市、跨境投融资并购、数据出境业务、公司治理
邮箱：guoyijia@dtlawyers.com.cn