个人信息保护合规审计要点与流程

前言

个人信息保护合规审计作为《个人信息保护法》的一项重要制度，从制度确立到最终落地，还需有明确、权威的管理和执行规范，在此背景下，国家网信办发布了《个人信息保护合规审计管理办法（征求意见稿）》（简称“《征求意见稿》”）。

本文将围绕《征求意见稿》的具体内容进行解读，介绍个人信息保护合规审计的具体落地要求，分析其重点关注项，同时结合一般合规审计和个人信息保护的特点设计提出审计流程，以期为企业实施个人信息保护合规审计提供参考和指引。

一、基于《征求意见稿》的合规要求

《征求意见稿》正文部分

《征求意见稿》正文部分共16条，除目的与依据、适用范围、概念定义、法律责任、解释施行条款外，其余条款主要针对规范个人信息处理者和规范专业机构两方面。其中需要重点关注的包括：

个人信息保护合规审计参考要点

根据《征求意见稿》附件《个人信息保护合规审计参考要点》（以下简称“《参考要点》”），个人信息保护合规审计的要点可按照一般规则、涉第三方个人信息处理者的情形、个人信息生命周期处理行为、个人信息处理者主体变动、特殊主体和情形的个人信息处理、个人信息权利保障、个人信息处理者、大型互联网平台运营者分为八类：

重点关注一：涉及自动化决策处理个人信息的合规审计

《个人信息保护法》将自动化决策的定义为“通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等，并进行决策的活动”[3]，在自动化决策应用的场景中，最容易引起争议的，就是“大数据杀熟”。个人信息处理者通过收集个人信息，并构建用户画像，分析用户个人的消费习惯、偏好、经济状况和支付意愿，预测消费者对价格的敏感度和接受程度，从而实现差异化定价，而这种自动化决策产生不平等的过程往往是无法预知、不可控的。从结果上看，“大数据杀熟”违反了《消费者权益保护法》，涉嫌侵害消费者的知情权和公平交易权，应给予必要的法律规制。从规范自动化决策处理个人信息的过程来看，《电子商务法》第18条明确电子商务经营者应当向消费者提供不针对其个人特征的选项（即关闭“个性化推荐”的入口，切断自动决策、推送的完整过程），对自动化决策处理个人信息行为本身进行规范也是一条路径，从这个角度来看，有必要对其进行合规审计。

《参考要点》针对自动化决策处理个人信息，强调应当对自动化决策的执行程序、操作规程、算法模型、权利保障等方面进行审计评价。其中特别强调，接受合规审计的算法模型，应当进行安全评估并备案，并进行科技伦理审查，针对算法和参数模型，应当采取必要措施进行保护。相关合规审计工作，应依照《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》《互联网信息服务算法推荐管理规定》《互联网信息服务深度合成管理规定》《生成式人工智能服务管理暂行办法》《科技伦理审查办法（试行）》等相关规定开展。

重点关注二：对处理已公开个人信息情形的合规审计

《参考要点》针对个人信息处理者处理已公开个人信息的规定了四类重点审查的违规行为，即：

（1）未经同意发送与公开目的无关信息的；（2）利用公开个人信息从事网络暴力活动的；（3）处理个人明确拒绝处理的已公开个人信息；及（4）未经同意处理对个人权益造成重大影响的。其中利用公开个人信息从事网络暴力活动，无疑是更值得关注的，因为该行为不仅会严重侵害特定主体的合法权益，而且会危及社会公共利益，造成恶劣的社会影响。

个人信息处理者在收集个人信息方面具备一定程度的便利条件。对争议事件当事人而言，即便是已公开的个人信息，如果处理者出于引流、炒作等不正当目的，未对当事人已公开信息进行恰当地保护性处理，而任由其在互联网平台上传播，甚至被人用以编造谣言、人肉搜索、社会工程、网络霸凌、深度合成等，对当事人的合法权益造成重大侵害的，处理者应当承担相应的法律责任。

针对几类情节恶劣的实施网络暴力的行为，2023年9月，最高人民法院、最高人民检察院、公安部联合印发了《关于依法惩治网络暴力违法犯罪的指导意见》，其中个人信息处理者可能涉及的行为，包括：

针对这一部分的个人信息保护合规审计，应重点关注个人信息处理者既往收集处理已公开个人信息的行为，特别是热点网络舆情事件的产生、处置情况，关注其处置过程中的细节，包括是否对关键个人信息（如姓名、性别、地址、形象、特定身份等）进行必要的匿名化、模糊化处理等。如果该个人信息处理者曾发生过较大舆情风险且造成了当事人受到网络暴力侵害合法权益的情况，并造成恶劣社会影响的，应当在合规审计的过程中如实记录并在报告中体现。

重点关注三：大型互联网平台运营者的个人信息保护合规审计

《参考要点》第28-31条是针对大型互联网平台运营者的个人信息保护合规审计要求。但《参考要点》并未对“大型互联网平台运营者”的定义和范围进行明确。此处的“大型互联网平台运营者”可参考《网络数据安全管理条例（征求意见稿）》（简称“《网数条例》”）中对于大型互联网平台运营者的定义：

“大型互联网平台运营者是指用户超过五千万、处理大量个人信息和重要数据、具有强大社会动员能力和市场支配地位的互联网平台运营者。”

大型互联网平台运营者具有用户和数据规模庞大、数据级别高、社会动员力强和市场支配地位等特点，基于此，部分大型互联网平台还可能构成关键信息基础设施。《参考要点》特别强调了对这类主体的个人信息保护合规审计的重要性，要求审计流程更细致、审计标准更高、审计独立性更强。

二、个人信息保护合规审计流程

审计流程

合理科学地设计实施审计程序，其最终的目的是为了确保收集到充分适当的审计证据，并对审计事项进行审查、评价，最终实现审计目标，进一步推动企业自身组织和能力建设。根据合规审计的一般流程并结合审计对象的特点，个人信息保护合规审计可大致按照时间顺序以审计计划、审计准备、审计实施、审计报告、问题整改、归档整理六个阶段设计为如下流程：

审计对象和范围

前述流程包含审计前调查这一环节，鉴于调查的内容涉及组织架构、处理活动、信息系统、管理制度、技术措施、事件处置等多个方面，牵涉众多管理和业务部门，可能使得审计对象和范围难以确定，继而造成后续工作开展困难。对此，审计对象和范围的确定，可依照业务开展和个人信息处理环节的逻辑，从实体对象、业务场景、业务形态、处理环节、特殊类型五方面梳理：

参考资料

[1] 参见《中央企业财务决算审计工作规则》第十二条“同一会计师事务所承办企业年度财务决算审计业务不应连续超过5年。”

[2] 参见《国有金融企业选聘会计师事务所管理办法》第三十一条“金融企业连续聘用同一会计师事务所（包括该会计师事务所的相关成员单位）原则上不超过5年。”

[3] 参见《中华人民共和国个人信息保护法》第七十三条。

本文作者

刘能斌

赛博研究院 咨询顾问&助理研究员

刘境棠

赛博研究院 咨询总监&高级研究员

声明：本文来自赛博研究院，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。