近日，全国网络安全标准化技术委员会发布《数据安全技术 个人信息保护合规审计要求》征求意见稿（下称《征求意见稿》），意见反馈时间截止至9月11日前。

《个人信息保护法》明确规定，个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。此外，履行个人信息保护职责的部门发现个人信息处理活动存在较大风险或者发生个人信息安全事件的，可以要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。此后一段时间里，如何开展合规审计活动是学界、实务界共同探索的难题。

为推动上述规定落地，去年8月，国家网信办公开《个人信息保护合规审计管理办法（征求意见稿）》并附《个人信息保护合规审计参考要点》，拟对审计依据、审计目标、审计范围等作出要求，但规定仍存在细化空间。

在此基础上，《征求意见稿》拟从国家标准层面进一步提出个人信息保护合规审计的具体实施要求，为开展此项工作提供参考。

总体来看，《征求意见稿》拟明确，个人信息保护合规审计流程包含审计准备、审计实施、审计报告、问题整改、归档管理五个阶段，并要求审计人员保持专业性、独立性、客观性、公正性等。

个人信息保护合规审计工作流程图。

其中包括，内部机构审计人员应回避自身负责的业务内容，不应直接参与被审计对象的日常业务运营、个人信息安全保护工作，且其工作不受被审计对象的约束；外部专业机构审计人员同被审计对象及其工作人员不得存在亲属关系、利益往来、法律纠纷等可能影响其做出公正、独立审计结论的利害关系；审计人员产生影响审计独立性行为的，审计组应暂时回避或终止其审计工作。

个人信息保护合规审计内容和审计方法是《征求意见稿》最主要的部分，其依据《个人信息保护法》等法律法规，对审计对象、证据、方式拟作出详细规定。

处理个人信息应当遵循合法、正当、必要和诚信原则。在必要性方面，审计内容拟包括处理个人信息是否具有明确、合理的目的，是否与处理目的直接相关；是否采取对个人权益影响最小的方式处理个人信息；是否仅限于实现处理目的的最小范围收集个人信息；是否因个人信息主体不同意处理非必要个人信息或者撤回同意，拒绝个人信息主体使用其基本功能服务等。

审计对象则主要涉及个人信息处理的相关流程说明、隐私政策、个人信息处理过程实例。

南都记者注意到，《个人信息保护合规审计参考要点》将使用自动化决策、参与网络暴力、处理敏感信息等相关情况纳入审计范畴，首次针对外部独立监督机构职能和个人信息保护社会责任报告内容作出具体要求。上述内容在此次《征求意见稿》中也均有体现。

在利用自动化决策处理个人信息方面，是否事前对算法模型进行安全评估，并按国家相关规定进行备案，以尽可能减少自动化决策算法模型存在的缺陷，当应用场景和主要功能发生变化时，是否对算法模型重新进行评估；是否事前对算法模型进行科技伦理审查；是否对个人信息处理、标签管理、模型训练等自动化决策过程中的人工操作进行记录，防范人为恶意操纵自动化决策信息和结果等被包含在内。

公共场所摄像头的数据安全问题一直是人们担忧的重点。在公共场所安装图像采集、个人身份识别设备方面，《征求意见稿》要求就是否为维护公共安全所必需，是否存在为商业目的处理所采集信息的情况开展审计，以及收集的个人图像、身份识别信息用于维护公共安全以外用途的，是否取得个人单独同意。

近年来，网络暴力治理领域建章立制的步伐持续加快，重在治理网络暴力信息，打造全流程动态治理体系。在审计处理已公开个人信息情况时，是否利用已公开的个人信息从事网络暴力活动，是否未取得个人同意处理已公开的个人信息对个人权益造成重大影响是重点方向。

南都记者梳理发现，《征求意见稿》在《个人信息保护合规审计管理办法（征求意见稿）》基础上，还补充了有关未成年人个人信息保护的内容，涉及未成年人真实身份审核，收集、访问未成年人个人信息的最小必要原则，未成年人个人信息主体权利，未成年人私密信息保护等方面。

具体来看，是否存在强制要求未成年人或者其监护人同意非必要的个人信息处理的行为；是否设置不合理条件阻碍未成年人或者其监护人复制、更正、补充、删除未成年人个人信息的功能；是否设定了未成年人信息访问权限；发现未成年人私密信息或者未成年人通过网络发布的个人信息中涉及私密信息的，是否及时提示，并采取停止传输等必要保护措施，防止信息扩散等均为审计对象。

今年3月，《促进和规范数据跨境流动规定》公布施行，进一步明确数据出境的豁免情形及其合规路径。《征求意见稿》参考该规定，拟提出向境外提供个人信息的合规审计要求。

比如，关键信息基础设施运营者以外的个人信息处理者，自当年1月1日起累计向境外提供100万人以上个人信息或者1万人以上敏感个人信息是否经过国家网信部门组织的安全评估；是否按照国家相关规定申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证；是否存在违规向被列入限制或者禁止个人信息提供清单的组织和个人提供个人信息的情形。

值得一提的是，对外部独立监督机构进行合规审计时，独立机构的监督作用以及监督的独立性、外部独立监督机构成员的履职能力是重点部分。

为保证独立性，需查验独立机构成员的身份和背景信息，是否与个人信息处理者及其主要股东存在可能妨碍其进行独立客观判断的关系；查验独立机构人员构成情况，外部成员的比例是否不低于三分之二。成员是否能对个人信息处理者的合规制度体系、平台规则、隐私政策等发表监督意见，以及意见的采纳情况等。

采写：南都记者 樊文扬

编辑：李玲

对这篇文章有想法？跟我聊聊吧

樊文扬

李玲