中國信通院魏亮：多措并舉體系化推進(jìn)合規(guī)審計(jì)，全面提升電信和互聯(lián)網(wǎng)行業(yè)個(gè)人信息保護(hù)水平

審計(jì)是黨和國家監(jiān)督體系的重要組成部分，也是企業(yè)合規(guī)治理體系不可或缺的重要舉措。2021年11月1日正式實(shí)施的《中華人民共和國個(gè)人信息保護(hù)法》首次在法律層面明確個(gè)人信息處理者應(yīng)當(dāng)對(duì)個(gè)人信息處理活動(dòng)開展合規(guī)審計(jì)，這意味著審計(jì)作為具備獨(dú)立性的監(jiān)督活動(dòng)，已成為落實(shí)個(gè)人信息保護(hù)治理體系的重要抓手。

根據(jù)《中華人民共和國個(gè)人信息保護(hù)法》《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》等法律、行政法規(guī)，國家互聯(lián)網(wǎng)信息辦公室于2025年2月14日正式發(fā)布《個(gè)人信息保護(hù)合規(guī)審計(jì)管理辦法》（以下簡(jiǎn)稱《辦法》），為個(gè)人信息處理者開展合規(guī)審計(jì)提供了系統(tǒng)性、針對(duì)性、可操作性的規(guī)范。《辦法》的出臺(tái)標(biāo)志著個(gè)人信息保護(hù)合規(guī)審計(jì)工作邁入新階段。

一、明確合規(guī)審計(jì)定位，助力堅(jiān)守個(gè)人信息保護(hù)合規(guī)防線

對(duì)于個(gè)人信息處理者，合規(guī)審計(jì)是推動(dòng)內(nèi)部持續(xù)完善個(gè)人信息保護(hù)合規(guī)體系的重要手段�！掇k法》要求個(gè)人信息處理者自行開展個(gè)人信息保護(hù)合規(guī)審計(jì)的，由個(gè)人信息處理者內(nèi)部機(jī)構(gòu)或者委托專業(yè)機(jī)構(gòu)自行開展合規(guī)審計(jì)，并要求涉及大規(guī)模個(gè)人信息處理的情況，應(yīng)指定個(gè)人信息保護(hù)負(fù)責(zé)人負(fù)責(zé)合規(guī)審計(jì)工作，由大型平臺(tái)外部獨(dú)立機(jī)構(gòu)對(duì)合規(guī)審計(jì)進(jìn)行監(jiān)督，促進(jìn)個(gè)人信息處理者健全個(gè)人信息保護(hù)合規(guī)治理架構(gòu)，完善個(gè)人信息保護(hù)內(nèi)部管理機(jī)制。

對(duì)于保護(hù)部門，合規(guī)審計(jì)是落實(shí)我國個(gè)人信息保護(hù)治理體系的一項(xiàng)重要監(jiān)督舉措。《辦法》細(xì)化了個(gè)人信息處理者按照保護(hù)部門的要求開展合規(guī)審計(jì)的執(zhí)行主體、觸發(fā)條件、整改報(bào)送要求等。同時(shí)，提出保護(hù)部門對(duì)個(gè)人信息處理者開展合規(guī)審計(jì)情況進(jìn)行監(jiān)督檢查，后續(xù)保護(hù)部門將通過合規(guī)審計(jì)監(jiān)督檢查督促開展合規(guī)審計(jì)的企業(yè)內(nèi)部機(jī)構(gòu)和專業(yè)機(jī)構(gòu)規(guī)范執(zhí)行審計(jì)程序，提升審計(jì)質(zhì)量。

二、細(xì)化合規(guī)審計(jì)實(shí)施要求，促進(jìn)規(guī)范化、高質(zhì)量落地執(zhí)行

《辦法》明確差異化的合規(guī)審計(jì)頻率，提升合規(guī)監(jiān)督成效。細(xì)化個(gè)人信息處理者自行開展合規(guī)審計(jì)的頻率，要求處理超過1000萬人個(gè)人信息的個(gè)人信息處理者應(yīng)當(dāng)每兩年至少開展一次個(gè)人信息保護(hù)合規(guī)審計(jì)。充分考慮了企業(yè)處理個(gè)人信息的規(guī)模與其合規(guī)資源投入的適應(yīng)性，最大化地降低合規(guī)成本、提升合規(guī)成效�！掇k法》給出了詳細(xì)的合規(guī)審計(jì)指引，從合規(guī)審計(jì)的角度明確了二十七條審查要點(diǎn)，為合規(guī)審計(jì)實(shí)施提供操作指引，有助于促進(jìn)合規(guī)審計(jì)規(guī)范化執(zhí)行。

《辦法》強(qiáng)調(diào)合規(guī)審計(jì)獨(dú)立性，為保障審計(jì)質(zhì)量奠定基礎(chǔ)。要求個(gè)人信息處理者應(yīng)確定由具備獨(dú)立性的部門或崗位人員承擔(dān)合規(guī)審計(jì)職責(zé)，確保其能夠客觀公正地發(fā)表審計(jì)意見。處理100萬人以上個(gè)人信息的個(gè)人信息處理者應(yīng)當(dāng)指定個(gè)人信息保護(hù)負(fù)責(zé)人負(fù)責(zé)合規(guī)審計(jì)。同時(shí)，專業(yè)機(jī)構(gòu)受委托開展合規(guī)審計(jì)應(yīng)保持審計(jì)獨(dú)立性，《辦法》對(duì)同一專業(yè)機(jī)構(gòu)及其關(guān)聯(lián)機(jī)構(gòu)、同一合規(guī)審計(jì)負(fù)責(zé)人連續(xù)為同一審計(jì)對(duì)象開展合規(guī)審計(jì)的次數(shù)進(jìn)行了限制。

三、引導(dǎo)電信和互聯(lián)網(wǎng)行業(yè)積極落實(shí)個(gè)人信息保護(hù)合規(guī)審計(jì)要求

電信和互聯(lián)網(wǎng)企業(yè)擁有海量的個(gè)人信息和復(fù)雜的業(yè)務(wù)處理場(chǎng)景，規(guī)范個(gè)人信息處理行為對(duì)保護(hù)用戶合法權(quán)益來說具有重要意義。近年來，在工業(yè)和信息化部信息通信管理局的指導(dǎo)下，中國信息通信研究院積極開展個(gè)人信息保護(hù)合規(guī)審計(jì)有關(guān)政策研究，組織制定合規(guī)審計(jì)行業(yè)標(biāo)準(zhǔn)和操作指南，取得積極成效。

一是加強(qiáng)政策宣貫，促進(jìn)APP開發(fā)運(yùn)營者落實(shí)合規(guī)審計(jì)要求。2023年工業(yè)和信息化部發(fā)布《關(guān)于進(jìn)一步提升移動(dòng)互聯(lián)網(wǎng)應(yīng)用服務(wù)能力的通知》，明確提出APP開發(fā)運(yùn)營者應(yīng)定期對(duì)個(gè)人信息保護(hù)措施及執(zhí)行情況等進(jìn)行合規(guī)審計(jì)。中國信息通信研究院連續(xù)兩年組織開展APP開發(fā)者個(gè)人信息保護(hù)公益培訓(xùn)宣講系列活動(dòng)，設(shè)置個(gè)人信息保護(hù)合規(guī)審計(jì)專題內(nèi)容，介紹合規(guī)審計(jì)的操作流程及方法，促進(jìn)APP開發(fā)者提升合規(guī)審計(jì)能力和意識(shí)。

二是加快標(biāo)準(zhǔn)建設(shè)，健全電信和互聯(lián)網(wǎng)行業(yè)個(gè)人信息保護(hù)合規(guī)審計(jì)標(biāo)準(zhǔn)體系。中國信息通信研究院聯(lián)合多家電信運(yùn)營商、互聯(lián)網(wǎng)企業(yè)、智能網(wǎng)聯(lián)汽車企業(yè)、移動(dòng)應(yīng)用分發(fā)平臺(tái)積極研制電信和互聯(lián)網(wǎng)領(lǐng)域合規(guī)審計(jì)實(shí)施方法、車聯(lián)網(wǎng)和移動(dòng)應(yīng)用分發(fā)場(chǎng)景合規(guī)審計(jì)操作指南等系列標(biāo)準(zhǔn)，為APP開發(fā)運(yùn)營者、分發(fā)平臺(tái)、新型智能終端等不同類型企業(yè)開展合規(guī)審計(jì)提供更加落地性、場(chǎng)景化的操作指導(dǎo)。

面向未來，中國信息通信研究院將按照工業(yè)和信息化部的部署要求，加快個(gè)人信息保護(hù)合規(guī)審計(jì)關(guān)鍵細(xì)分場(chǎng)景的標(biāo)準(zhǔn)制定，開展審計(jì)工具評(píng)估評(píng)測(cè)，推廣優(yōu)秀實(shí)踐案例，服務(wù)市場(chǎng)需求，持續(xù)縱深推進(jìn)電信和互聯(lián)網(wǎng)行業(yè)個(gè)人信息保護(hù)合規(guī)審計(jì)工作落實(shí)落細(xì)，促進(jìn)電信和互聯(lián)網(wǎng)行業(yè)企業(yè)的個(gè)人信息保護(hù)水平全面提升。