处理超过1000万人个人信息的个人信息处理者，应当每两年至少开展一次合规审计；处理100万人以上个人信息的个人信息处理者应当指定个人信息保护负责人；同一机构、同一负责人不得连续三次以上对同一对象开展合规审计……《个人信息保护合规审计管理办法》（以下简称《办法》）明确了个人信息保护合规审计（以下简称“合规审计”）的多项具体要求。新规施行在即，《办法》相关要求的界定标准考虑到哪些因素？哪些要点应当关注？

现行要求兼顾安全风险与企业负担

《办法》明确了个人信息处理者开展合规审计的两种情形。一是由个人信息处理者自行或委托专业机构开展合规审计。其中，处理超过1000万人个人信息的个人信息处理者，应当每两年至少开展一次合规审计。二是履行个人信息保护职责的部门（以下简称“保护部门”）发现个人信息处理活动存在较大风险、可能侵害众多个人的权益或者发生个人信息安全事件的，可以要求个人信息处理者委托专业机构对个人信息处理活动进行合规审计。

南都大数据研究院留意到，相较于征求意见稿，正式发布的《办法》将合规审计频率要求从“超过100万人每年至少开展一次”调整为“超过1000万人每两年至少开展一次”。对此，中国人民大学法学院教授、中国法学会网络信息法学研究会副会长张新宝表示，这是考虑到大量处理个人信息的企业，面临的个人信息保护风险也较大，既有适时进行审计以发现和排除风险的现实要求，也有承担定期审计成本的能力。每两年一次的审计，不会不合理加重此等企业的经济负担。

中国信息通信研究院云计算与大数据研究所审计与治理部主任杨玲玲也表示，这是在充分考虑了处理个人信息的规模与合规资源投入适配性基础上作出的进一步优化。她同时提醒，每两年至少开展一次的合规审计，应保证全面覆盖企业所有的个人信息处理活动场景，即实施全面审计。企业应在根据自身风险状况、管理需要和审计资源的配置情况，合理安排具体审计项目及时间表，以保证合规审计覆盖全部业务场景。

特定领域有更严格审计要求

值得注意的是，对于未达到1000万人量级的个人信息处理者，《办法》虽未明确规定其审计频率，但这不意味着此类个人信息处理者不需要开展合规审计工作。国家网信办有关负责人在接受媒体采访时明确表示，其他个人信息处理者应根据自身情况合理确定定期开展个人信息保护合规审计的频次。

在一些特定行业和领域，还有专门政策文件提出更细致的审计要求。比如，《未成年人网络保护条例》规定“个人信息处理者应当自行或者委托专业机构每年对其处理未成年人个人信息遵守法律、行政法规的情况进行合规审计”；《银行保险机构数据安全管理办法》规定“银行保险机构应当每年开展一次数据安全风险评估。审计部门应当每三年至少开展一次数据安全全面审计，发生重大数据安全事件后应当开展专项审计”。

南都大数据研究院还留意到，《个人信息保护法》提出“处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人”，《办法》将此标准正式确定为100万。同时，针对“提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”，应当成立主要由外部成员组成的独立机构，对合规审计情况进行监督。换言之，对不少大型网络平台而言，其负担着指定个人信息保护负责人和成立独立个人信息保护监督机构的“双重义务”。

此外，《网络数据安全管理条例》还要求处理1000万人以上个人信息的网络数据处理者应当明确网络数据安全负责人和网络数据安全管理机构。个人信息保护负责人的指定同时也需要考虑企业的业务以及其他行业规定。

多个细化场景审计标准即将出台

国家网信办有关负责人在接受媒体采访时建议，个人信息处理者开展合规审计，应当参照《办法》中的附件《个人信息保护合规审计指引》（以下简称《指引》）。南都大数据研究院留意到，《指引》对个人信息保护相关法律、行政法规的关键要点作了梳理，分别从26个方面列举了应当重点审查或评价的事项清单。中国电子技术标准化研究院副院长范科峰表示，《指引》明确了合规审计重点审查事项，对上位法要求进行了细化，涵盖面全、实施性强。

中国电子技术标准化研究院、中国信息通信研究院等机构专家接受南都采访时均表示，《指引》之外，更多面向具体行业的审计标准细则也在路上。据了解，目前在研标准包括国家标准《数据安全技术 个人信息保护合规审计要求》，行业标准《电信和互联网个人信息保护 合规审计实施方法》，以及团体标准《移动分发场景个人信息保护合规审计操作指南》等。这些标准将作为《办法》的重要支撑，确保审计工作的规范性和有效性。

计划制定、问题定性是主要难点

具体到审计实务，个人信息处理者在开展合规审计时，可能会遇到哪些实际困难和挑战，如何确保审计工作的顺利进行？

“第一个难题是如何科学制定合规审计计划，合理配置审计资源并保证审计的全面性”，杨玲玲认为，对于提供重要互联网平台服务、用户数量巨大、业务类型复杂的企业而言，每两年开展一次全面审计，覆盖所有业务处理场景是存在实践难度的。她建议，企业考虑业务场景的重要性和对个人信息权益的影响程度，确定合理的审计计划和优先级顺序，确保合规审计的全面性覆盖。

站在企业侧，数篷科技品牌市场总监周丹也坦言，目前不少企业数据多分散存储于不同系统、不同地区、不同部门之间，全面的合规审计可能需跨部门协调，存在一定的难度。

其次是如何对审计所发现问题进行定性。杨玲玲强调，审计人员应对审计发现问题导致或可能导致的影响及风险进行客观、准确的评价。这依赖于审计人员对法律法规及监管要求的深度理解和把握。

周丹则指出，合规审计需要结合技术手段（如系统日志分析、数据流追踪）和管理措施（如制度建设、人员培训），部分企业可能缺乏专业的审计团队或技术能力，这对企业的技术能力和管理水平提出了较高要求。

不可连续三次以上委托同一机构审计

多名专家在接受南都大数据研究院采访时建议，若企业内部的审计团队和人员暂不具备合规审计能力，在首次开展审计时可优先选择与第三方专业机构联合开展，以更好地落实《办法》要求，为后续审计活动打下良好基础。同时，《办法》也规定，保护部门要求个人信息处理者进行的合规审计，应由专业机构开展。

如何选择合适的专业机构开展审计？南都大数据研究院留意到，相较于征求意见稿，正式发布的《办法》删除了有关建立合规审计专业机构推荐目录的条款，只要具备合规审计能力和配套资源的专业机构均可开展审计活动，并且鼓励专业机构通过认证，但同时也对专业机构在保密性、独立性、公正性以及客观性等方面提出了严格要求。

北京航空航天大学法学院副教授、院长助理赵精武提醒，《办法》设置了“同一专业机构及其关联机构、同一合规审计负责人不得连续三次以上对同一审计对象开展个人信息保护合规审计”的要求，背后的原因正是为了预防专业机构在多次的合规审计活动中疏忽审计对象可能出现的新问题新情况，也能够有效避免专业机构与审计对象之间形成“黑幕交易”。

南都大数据研究院还留意到，全国网络安全标准化技术委员会已发布《网络安全标准实践指南——个人信息保护合规审计 专业机构服务能力要求（征求意见稿）》，面向社会公开征求意见。此外，中国网络空间安全协会近期也开始组织个人信息保护合规审计员培训与考试，促进合规审计人员准确理解和运用相关法律法规、履行合规审计职责。

出品：南都大数据研究院

策划：邹莹

统筹：凌慧珊

采写：李伟锋 陈袁 唐静怡 （杨易鑫对本文亦有贡献）

设计：林泳希

更多报道请看专题：个保合规审计深解读

本文作者

李伟锋

南方都市报记者

陈袁

南方都市报记者

唐静怡

南方都市报记者

林泳希

南方都市报编辑