《网数条例》施行后，企业如何开展个人信息保护合规审计

2024年9月24日，国务院总理李强签署国务院令，正式公布《网络数据安全管理条例》（以下简称“《网数条例》”），条例自2025年1月1日起施行。值此《个人信息保护法》施行三周年之际，《网数条例》的公布施行将进一步织牢、织密个人信息保护的“安全网”，为我国个人信息保护提供更有力的保障。

个人信息保护，在《网数条例》单独成章并居各章前列，足见其在网络数据安全管理整体当中的重要地位。《网数条例》第27条，在《个人信息保护法》（以下简称“《个保法》”）第54条、64条的基础上，重申了企业开展个人信息保护合规审计的法定义务，但《网数条例》在《个保法》的基础上进一步明确了开展合规审计的方式，即“自行或委托专业机构”，这也与此先国家网信办向社会公开征求意见的《个人信息保护合规审计管理办法（征求意见稿）》（以下简称“《管理办法》”）第2条的要求一致。

个人信息保护合规审计，是指对个人信息处理者的个人信息处理活动是否遵守法律、行政法规的情况进行审查和评价的监督活动。目前，已明确要求企业实施个人信息保护合规审计的法律法规及政策指导文件包括：

作为个人信息处理者应当履行的一项法定强制义务，企业应当如何落实和执行具体的个人信息保护合规审计工作？我国目前针对个人信息保护合规审计，并无强制统一执行的标准，但根据国家网信办此前面向社会公开征求意见的《个人信息保护合规审计管理办法（征求意见稿）》及其附件《个人信息保护合规审计参考要点》（以下简称“《参考要点》”），以及全国网络安全标准化技术委员会秘书处发布的《数据安全技术 个人信息保护合规审计要求（征求意见稿）》（以下简称“《审计要求》”），已经可以从中窥见，待上述办法、标准正式公布后，企业执行个人信息保护合规审计的标准、流程等具体内容。

个人信息保护合规审计的合规要求

《管理办法》正文部分共16条，除目的与依据、适用范围、概念定义、法律责任、解释施行条款外，其余条款主要针对规范个人信息处理者和规范专业机构两方面。其中需要重点关注的包括：

1.审计频次。《管理办法》第4条明确，处理超过100万人个人信息的个人信息处理者，应当每年至少开展一次个人信息保护合规审计；其他个人信息处理者应当每二年至少开展一次个人信息保护合规审计。但考虑到目前《网数条例》第28条明确，处理1000万人以上个人信息的，需要同时遵守《网数条例》中重要数据处理者的部分规定。以1000万为区分标准，处理1000万人以上个人信息的处理者应当承担更多、更高要求的法定义务，映射到个人信息保护合规审计当中，以100万人为界线区分不同处理者的审计频次在未来的条文修订中是否会做出调整，这一点仍有待后续观察。

2.强制审计要求。《管理办法》第6条明确，履行个人信息保护职责的部门在履行职责中，发现个人信息处理活动存在较大风险或者发生个人信息安全事件的，可以要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。本条与《个保法》第64条相对应，即监管部门要求特定个人信息处理者开展强制审计的，必须委托第三方机构。考虑到监管部门要求个人信息处理者进行强制审计时，可能已发现该个人信息处理者未遵守有关法律法规，并存在个人信息安全风险隐患或已发生个人信息安全事件。要求委托第三方机构进行合规审计，能够相对更准确、客观地审查相关主体个人信息处理活动的合规情况。

3.审计轮换要求。《管理办法》第12条明确，执行个人信息保护合规审计的专业机构应当保持独立性和客观性，连续为同一审计对象开展个人信息保护合规审计不得超过三次。为保证专业机构的独立性及审计结果的客观性，对审计机构要求审计轮换是有必要的，这在其他领域的审计管理要求中也有相应规定。

个人信息保护合规审计流程

合理科学地设计实施审计程序，其最终的目的是为了确保收集到充分适当的审计证据，并对审计事项进行审查、评价，最终实现审计目标，进一步推动企业自身组织和能力建设。根据合规审计的一般流程并结合审计对象的特点，个人信息保护合规审计可大致按照时间顺序以审计计划、审计准备、审计实施、审计报告、问题整改、归档整理六个阶段设计为如下流程：

个人信息保护合规审计内容要点

根据《管理办法》附件《参考要点》及《审计要求》，个人信息保护合规审计的要点可按照基础性规定、涉第三方个人信息处理者的情形、特定主体和情形的个人信息处理、个人信息跨境、未成年人个人信息处理、个人信息权利保障、个人信息处理者自身管理与监督、大型互联网平台运营者分为八类：

上述个人信息保护合规审计内容要点，结合了《参考要点》和国标《审计要求》共分为8大类，其中《审计要求》在《参考要点》的基础上进一步细化了针对未成年人个人信息处理的合规审计内容，尽管该国标未正式发布实施，但从国家加强对未成年人网络保护的监管趋势来看，针对未成年人个人信息处理的合规审计也将是企业开展个人信息保护合规审计的重点内容。

此外，大型互联网平台的定义，在《网数条例》中终于明确，在《网数条例》第62条用语含义的定义中，“大型网络平台是指注册用户5000万以上或者月活跃用户1000万以上，业务类型复杂，网络数据处理活动对国家安全、经济运行、国计民生等具有重要影响的网络平台。”对于符合上述要求的大型互联网平台运营者，其数据处理活动应当遵守更多、更高要求的个人信息保护义务，对其的个人信息保护合规审计也应当包括更多内容，这也是今后，在《网数条例》施行后，开展个人信息保护合规审计工作中需要重点关注的。

作者 / 赛博研究院咨询顾问 & 研究员 刘能斌

声明：本文来自赛博研究院，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。