互联网时代，个人信息保护尤为重要，个人信息一旦泄露将会对个人及社会带来极大不利。然而，更多时候，我们在使用互联网时不得不让渡自己的信息，如电话号码、姓名、出生日期等，还有一些平台则要求人脸、指纹、身份证号码甚至银行账号等。作为互联网的使用者，用户在与平台博弈时处于非常弱势的地位，必须由监管者介入来保护弱势一方。

8月3日，国家网信办对《个人信息保护合规审计管理办法（征求意见稿）》公开征求意见。此前，我国已相继出台《个人信息保护法》《数据安全法》《网络安全法》等相关法律，其对于数据保护都作出了明确规定。如《个人信息保护法》第五十四条指出，个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。个人信息保护合规审计成为个人信息处理者需履行的法定义务。

作为个人信息处理者的企业，在严格的法律法规约束下，在开展业务的同时又履行个人信息保护的义务并不是一件容易的事情。近日，由中国电子技术标准化研究院发起成立的中国网络安全产业联盟数据安全工作委员会组织各方专家举行了研讨会，围绕“个人信息保护合规审计管理办法”，讨论企业如何结合当下监管要求，落地个人信息保护合规审计工作。本报摘取研讨会上部分专家的精彩观点，以飨读者。

问题1　审计的目的：个人信息保护合规审计与风险评估（影响评估）、风险监测（检测评价）、安全认证等工作的目的和侧重点分别是什么？企业如何通过评估、监测、审计、认证等多道防线的配合和协调，从而有效控制风险，提升合规水平？

个人信息保护合规评估、监测、认证和自我审计属于运营、安全、审计三道防线中的不同防线，由于其目的、内容、评价方式有所不同，一般企业内这三道防线应相互独立，即使从企业规模和成本考虑，审计这道防线至少应当独立。

风险评估、监测都是内部管理的一种工作方法，主要目的是进行风险管理，其评估、监测可以由企业根据自身的特点进行，得出的结论是影响程度、风险高低，监测与评估相比，区别在于监测是持续的过程，其根本目标还是风险控制；认证则是第三方对企业内部体系的完备性、合规性等方面的评价，通过认证既可帮助企业提升合规水平，也可帮助企业展示合规能力。

评估工作是日常性工作，企业可以根据自身的风险情况开展，其重点在于分析风险发生的可能性以及可能造成的影响，对于法律法规规定事项以外的要求，可以通过评估得出高、中、低风险等结论以完善安全措施。审计的依据需非常明确，比如以法律、行政法规为依据的审计不能得出法律、行政法规以外的审计结论；除针对法律法规要求的审计以外，企业自我审计可以指定标准规范、内部管理制度等为审计要点。

问题2　审计的工作范围：审计作为符合性检查，其工作范围是针对企业还是具体业务，工作内容是否包含风险分析、整改通知等环节？

通常来说，审计的工作范围既可以针对企业整体范围，也可以是具体的业务，其由审计目的所决定。对于个人信息保护合规审计而言，从开展审计的效率和成本出发，审计可以抽样业务的形式开展，对审计发现的问题举一反三，向所有业务提出自查自纠要求。

个人信息保护合规审计工作结论应为符合性评价，而不是风险分析结果。审计结果可以分为严重不符合、一般不符合、符合。个人信息保护合规审计是一种体系性的审计，符合的程度或水平，还可能取决于影响的范围、问题是否为全局或单点，因此评判的过程可以适当借鉴风险分析方法。

从审计工作的跟踪闭环角度来说，审计结论中明确指出的不符合项，审计方有义务告知具体的问题所在，以便被审计方进行整改。为保证审计的独立性，原则上审计过程不应提出具体整改建议。

问题3　如何开展审计：个人信息保护审计活动能否总结和提炼出一套标准流程和举证要求？

从大型企业的实践过程来看，个人信息保护审计难以短期内总结和提炼出一套通用标准流程和举证要求，但是针对有相同特性的主体、业务可以尝试规范化一些环节，以提高个人信息保护合规审计的效率和效果。

个人信息保护合规审计工作与个人信息处理活动密切相关，大型企业的处理活动、业务复杂，同时内部的组织管理架构也有一定的差异性，因此其审计流程可能需要根据企业的实际情况制定，举证要求可以原则性要求为指导，具体业务系统在原则下完善细则。不过，为了提高审计效率，如果企业内的不同主体、业务线有一定的相似性，可以总结提炼出一套适用于自身的通用性模板、工具。

对于中小型企业，特别是使用第三方平台提供的业务系统的企业，其业务流程相对单一、固定，其个人信息的处理活动也相对简单。要确保个人信息保护合规审计工作能够长期开展，需要在流程标准化和压缩成本上予以考虑。比如，尽可能使用一些由第三方平台直接提供的通用性的合规审计模板、工具（如SaaS工具），在此基础上由内部人员对未覆盖的内容进行补充完善。

问题4　审计的实施方式：审计作为一项需要合规、法务、安全、业务等多部门参与的活动，企业应该如何组织协调？牵头方通常为哪个部门，需要哪些人员参与，各部门如何分工？如何使用《个人信息保护合规审计管理办法（征求意见稿）》附件的参考要点？哪些行政法规、政策文件、国家标准对理解具体审计要求有帮助？

审计的组织架构优先考虑的是如何保障其独立性，优先考虑由组织内部成立独立的信息化审计部门牵头，如无法实现可以选定一个部门牵头，多部门配合，或者由多个部门联合组成审计工作组。由于内部审计人员独立性要求，企业内部有独立的合规审计部门最合适，大型互联网平台如有外部独立委员会可以考虑参与审计工作。

很多中小型企业因为规模原因，没有独立的审计机构。建议根据企业内部实际架构，选择法务部门、合规部门或安全部门牵头，业务部门、技术部门配合开展审计工作。如无合适的牵头部门，企业可以指定具备审计能力的人员组成临时审计工作组。上述情形下的审计，审计牵头部门、审计工作组是否足够独立，是否具备相应的权限是审计能否有效开展的关键。

参考要点为审计的内容提供了一定的确定性，便于统一标准开展审计工作，避免执行层面、多部门或不同人员产生争议。针对参考要点，建议对相应条款进一步明确，做到精准、合理，增加执行层面的可操作性，进一步减少由于审计人员认识不同导致审计结论出现偏差的可能。

问题5　审计所需的准备工作：目前企业梳理和记录个人信息处理活动的现状如何？是否有电子化证据关联分析等实践？是否能够提升审计效率和审计质量？哪些具体合规工作适合提前开展？

企业的合规管理水平与审计工作的效率关联度高，当下，企业应重视个人信息保护合规留痕以及证据保存工作，提升后续审计的工作效率。企业可考虑通过开展认证、评估以及梳理已开展的合规工作，方便后续开展个人信息保护合规审计工作。评估与认证不同，认证为自愿行为，而是否开展评估工作本身就是被审计的要点，只有开展评估才能满足审计关注的合规要求。　（文字整理：方正梁）