8月3日，国家网信办公开《个人信息保护合规审计管理办法（征求意见稿）》（下称《办法》），并附《个人信息保护合规审计参考要点》（下称《要点》）。意见反馈截止时间为2023年9月2日。

《办法》拟规定，处理超过100万人个人信息的个人信息处理者，应当每年至少开展一次个人信息保护合规审计；其他个人信息处理者应当每二年至少开展一次个人信息保护合规审计。《要点》则将使用自动化决策、参与网络暴力、处理敏感信息等相关情况纳入审计范畴，首次针对外部独立监督机构职能和个人信息保护社会责任报告内容作出具体要求。

专家指出，上述文件可被看作是《个人信息保护法》有关合规审计规定的落地细则，但在审计依据、审计目标、审计范围等方面仍存在细化空间。

根据《办法》，个人信息保护合规审计，是指对个人信息处理者的个人信息处理活动是否遵守法律、行政法规的情况进行审查和评价的监督活动。

北京理工大学法学院教授洪延青撰文指出，《办法》可以看作是《个人信息保护法》第54条“个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计”以及第64条“履行个人信息保护职责的部门在履行职责中，发现个人信息处理活动存在较大风险或者发生个人信息安全事件的，可以按照规定的权限和程序对该个人信息处理者的法定代表人或者主要负责人进行约谈，或者要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计”的落地执行细则。

针对处理超100万人个人信息的个人信息处理者，《办法》拟要求每年至少开展一次个人信息保护合规审计；其他个人信息处理者则应当每两年至少开展一次。个人信息保护合规审计报告应当由合规审计负责人、专业机构负责人签字并加盖专业机构公章，并报送履行个人信息保护职责的部门。

北京高勤律师事务所合伙人王源解析，在个人信息保护法律领域，按照数量进行规定的要求仅见于《数据出境安全评估办法》，处理100万人以上个人信息的数据处理者向境外提供个人信息，应当向网信部门申报数据出境安全评估。由此可见，处理100万个人信息在我国是个门槛，从监管的视角为风险较大的个人信息处理行为。

对于个人信息保护合规审计的执行主体，《办法》拟要求，个人信息处理者自行开展的，可根据实际情况，由本组织内部机构或者委托专业机构按照本办法要求开展。但如果履行个人信息保护职责的部门发现个人信息处理活动存在较大风险或者发生个人信息安全事件的，可以要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。为保证独立性和客观性，《办法》拟要求，执行个人信息保护合规审计的专业机构连续为同一审计对象开展个人信息保护合规审计不得超过三次。

洪延青在其文章中举例说明，个人信息保护合规审计可以被看成对个人信息处理者的“体检”。和针对个人健康的体检一样，针对个人信息处理者的“体检”可以是自查，也可以是特定情形下按照规定和要求开展的检查，比如入职体检。

哪些情况属于“存在较大风险”？王源认为，可以参考国际通行的实践，从风险来源的主体、风险行为、行为对象、风险环境四个维度判断。例如，针对敏感个人信息的来源于境外高风险地区的自动化决策类风险属于高风险个人信息处理行为，需要个人信息处理者在内部制度设计时对风险进行分类分级。但无论是《个人信息保护法》还是《办法》，都没有对“存在较大风险”进行细化解释，因此有可能个人信息处理者自行划定的风险等级和监管理解不一致。

洪延青从自身经验出发，撰文罗列了监管部门可能认为存在较大风险的因素，包括个人信息处理者的合规“历史”、对个人信息保护合规的认知和掌控、公众舆论等。

另外，《办法》还拟定国家网信部门会同公安机关等国务院有关部门按照统筹规划、合理布局、择优推荐的原则建立个人信息保护合规审计专业机构推荐目录，鼓励个人信息处理者优先选择推荐目录中的专业机构开展个人信息保护合规审计活动。

对此王源表示，个人信息保护合规审计更多的是一种内部管理要求，审计也是一种市场化行为。《个人信息保护法》仅赋予网信部门推荐或者指定认证机构的权利，并没有赋予网信部门设立审计推荐机构目录的权利。等级保护领域已经取消了推荐等级保护认证机构制度，在个人信息保护合规审计领域恢复该制度与趋势不符，且网信部门推荐的依据与标准也并不明确。

《要点》显示，其依据《个人信息保护法》等法律、行政法规和国家标准的强制性要求制定，为开展个人信息保护合规审计提供参考。具体至审计的内容，《要点》的31条内容拟将使用自动化决策、图像采集、处理敏感信息等情况纳入审计范围。

针对个人信息处理者利用自动化决策处理个人信息的，审计应评价相关算法是否事前对算法模型进行安全评估并按规定备案；是否向用户提供删除或者修改用于自动化决策服务的针对其个人特征的用户标签功能；向个人进行信息推送、商业营销时，是否同时提供不针对个人特征的选项，或者提供便捷的拒绝自动化决策服务的方式；是否采取了有效措施，防止自动化决策根据消费者的偏好、交易习惯等对个人在交易条件上实行不合理的差别待遇，也即所谓“大数据杀熟”。

针对个人信息处理者在公共场所安装图像采集、个人身份识别设备的，审计内容需包括是否设置了显著的提示标志；若收集的信息用于维护公共安全以外用途的，是否取得个人单独同意。

值得注意的是，针对个人信息处理者处理已公开个人信息的，审计的重点还需包括个人信息处理者是否利用已公开的个人信息从事网络暴力活动。

在处理敏感个人信息方面，《要点》拟明确需重点审查个人信息处理者在处理生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等敏感个人信息时，是否事前取得个人的单独同意；处理不满十四周岁未成年人的个人信息，是否事前取得未成年人的父母或者其他监护人的同意等。

此外，针对大型互联网平台运营者，《要点》第28条、31条分别首次拟针对外部独立监督机构职能和个人信息保护社会责任报告内容作出具体要求。

根据《个人信息保护法》第58条，提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，应当按照国家规定建立健全个人信息保护合规制度体系，成立主要由外部成员组成的独立机构对个人信息保护情况进行监督，并且定期发布个人信息保护社会责任报告，接受社会监督。

《要点》则拟要求针对大型互联网平台经营者的个人信息保护合规审计应当对独立机构的独立性、履职能力、监督作用等进行评价。且个人信息保护社会责任报告需包含个人信息保护组织架构和内部管理情况、个人信息保护措施和成效、独立监督机构履职情况、重大个人信息安全事件处理情况等内容。

值得注意的是，洪延青提出，不同于《办法》出台后的强制性，《要点》为参考性质，审计是否完全按照《要点》开展，需要进一步裁量判断。他举例称，“部门委托审计”完全可以在《要点》的基础上，针对特定的个人信息处理者及其可能产生的个人信息安全风险“量体裁衣”，以力求对具体的风险“吃准摸透”。只有这样“刨根问底”，提出的整改或改进措施才会“有的放矢”。

接受采访时，王源也补充道，《要点》还有许多可细化的地方，主要集中在审计依据、审计目标、审计范围过于宽泛的方面。

首先，《个人信息保护法》之外，国务院没有制定专门保护个人信息的行政法规，各层级部门规章、规范性文件、国家标准、团体标准等根据《个人信息保护法》的规定，不是审计的法律依据。同时，这些效力相对较弱或者没有强制力的规则由网信、工信等部门制定，内容粗细不一、规则之间难以协调统一。因此，在针对个人信息处理者的某项操作实践是否符合法律和行政法规进行主观判定时，缺乏客观权威的标准和尺度，导致审计的真实效果存疑。

其次，《管理办法》和已经出台的《数据出境安全评估办法》、《关于实施个人信息保护认证的公告》一起细化了《个人信息保护法》规定的评估、认证、审计三项制度。但是，《要点》中原则性的审计要求和行业通行的个人信息保护影响评估要求区别不大，审计和评估的各自目的以及工作重点的区分并不清晰，可能导致制度出台的必要性和紧迫性降低。“现在个人信息保护领域的问题不是规定少，而是规定太多。规定不统一，规定不好落地——这是不利于数字经济整体发展的。”

此外，《办法》和《要点》的审计要求几乎涵盖了大型互联网企业全部业务活动的各个方面，比如针对个人信息处理全流程、内部管理制度和操作规程的审计等。然而，评价平台规则的公平公正性，是否存在恶意竞争等已超出个人信息保护范畴，一次审计、一份报告难以承载如此大的内容体量。

采写：南都记者黄慧诗 樊文扬

编辑：李玲

本文作者

樊文扬

3642W

南方都市报记者

李玲

3.64亿

南方都市报记者