記者 崔 爽

近日，國(guó)家網(wǎng)信辦公布《個(gè)人信息保護(hù)合規(guī)審計(jì)管理辦法》（以下簡(jiǎn)稱《管理辦法》）。該《管理辦法》自2025年5月1日起施行。

國(guó)家網(wǎng)信辦有關(guān)負(fù)責(zé)人介紹，《管理辦法》對(duì)個(gè)人信息保護(hù)合規(guī)審計(jì)活動(dòng)的開展、合規(guī)審計(jì)機(jī)構(gòu)的選擇、合規(guī)審計(jì)的頻次、個(gè)人信息處理者和專業(yè)機(jī)構(gòu)在合規(guī)審計(jì)中的義務(wù)等作出細(xì)化規(guī)定，旨在為個(gè)人信息處理者開展個(gè)人信息保護(hù)合規(guī)審計(jì)提供系統(tǒng)性、針對(duì)性、可操作性的規(guī)范，提升個(gè)人信息處理活動(dòng)合法合規(guī)水平。

“《管理辦法》是對(duì)《中華人民共和國(guó)個(gè)人信息保護(hù)法》審計(jì)要求的細(xì)化落實(shí)，為個(gè)人信息保護(hù)合規(guī)審計(jì)活動(dòng)提供重要依據(jù)，是個(gè)人信息保護(hù)工作的里程碑?！敝袊?guó)網(wǎng)絡(luò)空間安全協(xié)會(huì)副秘書長(zhǎng)杜阿寧表示。

個(gè)人信息保護(hù)合規(guī)審計(jì)是指對(duì)個(gè)人信息處理者的個(gè)人信息處理活動(dòng)是否符合法律、行政法規(guī)的規(guī)定進(jìn)行審查和評(píng)價(jià)的監(jiān)督活動(dòng)。

《管理辦法》明確了個(gè)人信息處理者開展合規(guī)審計(jì)的兩種情形。一是個(gè)人信息處理者自行開展合規(guī)審計(jì)的，應(yīng)當(dāng)由個(gè)人信息處理者內(nèi)部機(jī)構(gòu)或者委托專業(yè)機(jī)構(gòu)定期對(duì)其處理個(gè)人信息遵守法律、行政法規(guī)的情況進(jìn)行合規(guī)審計(jì)。處理超過1000萬人個(gè)人信息的個(gè)人信息處理者，應(yīng)當(dāng)每?jī)赡曛辽匍_展一次個(gè)人信息保護(hù)合規(guī)審計(jì)。二是履行個(gè)人信息保護(hù)職責(zé)的部門發(fā)現(xiàn)個(gè)人信息處理活動(dòng)存在較大風(fēng)險(xiǎn)、可能侵害眾多個(gè)人的權(quán)益或者發(fā)生個(gè)人信息安全事件的，可以要求個(gè)人信息處理者委托專業(yè)機(jī)構(gòu)對(duì)個(gè)人信息處理活動(dòng)進(jìn)行合規(guī)審計(jì)。

在國(guó)家網(wǎng)信辦數(shù)據(jù)與技術(shù)保障中心副主任王志成看來，這體現(xiàn)了政府監(jiān)管和行業(yè)自律二者并重的治理思路，“推動(dòng)政府監(jiān)管和行業(yè)自律形成合力，是提升數(shù)據(jù)治理能力的現(xiàn)實(shí)需要，也是《管理辦法》制定中著重考慮的問題”。

北京航空航天大學(xué)法學(xué)院副教授趙精武特別提到，為了實(shí)現(xiàn)個(gè)人信息保護(hù)合規(guī)的透明化，《管理辦法》將大型網(wǎng)絡(luò)平臺(tái)的個(gè)人信息保護(hù)社會(huì)責(zé)任報(bào)告納入審計(jì)事項(xiàng)，形成個(gè)人信息保護(hù)從落地實(shí)施到事后評(píng)估監(jiān)督的制度閉環(huán)，也讓公眾能夠更為直觀地了解自己的個(gè)人信息究竟如何被處理和安全保護(hù)。

“《管理辦法》的出臺(tái)是我國(guó)個(gè)人信息保護(hù)領(lǐng)域立法和監(jiān)管體系的重要補(bǔ)充，標(biāo)志著我國(guó)在個(gè)人信息保護(hù)合規(guī)治理方面邁出了實(shí)質(zhì)性的一步。”中國(guó)人民大學(xué)法學(xué)院教授、未來法治研究院副院長(zhǎng)丁曉東表示。

丁曉東介紹，合規(guī)審計(jì)已經(jīng)成為全球范圍內(nèi)個(gè)人信息保護(hù)領(lǐng)域的標(biāo)配，如美國(guó)聯(lián)邦貿(mào)易委員會(huì)在2010年代便通過行政和解協(xié)議的方式要求谷歌和臉書通過第三方進(jìn)行隱私審計(jì)，歐盟《通用數(shù)據(jù)保護(hù)條例》同樣較早引入數(shù)據(jù)保護(hù)審計(jì)制度。然而，全球范圍內(nèi)對(duì)個(gè)人信息保護(hù)領(lǐng)域?qū)徲?jì)制度的最佳實(shí)踐尚未獲得共識(shí)。在他看來，《管理辦法》首次系統(tǒng)性地構(gòu)建了個(gè)人信息處理活動(dòng)的合規(guī)審計(jì)框架，為個(gè)人信息處理者的合規(guī)實(shí)踐與監(jiān)管部門的執(zhí)法提供了具體指引，在明確審計(jì)的類型與形式、強(qiáng)化審計(jì)的獨(dú)立性與專業(yè)性、規(guī)范依部門要求開展的審計(jì)程序、避免審計(jì)對(duì)個(gè)人信息處理者造成不必要的負(fù)擔(dān)、建立全面的審計(jì)指引等方面給出了“中國(guó)方案”。

趙精武同樣認(rèn)為，《管理辦法》合理設(shè)置不同的審計(jì)模式，細(xì)化個(gè)人信息保護(hù)合規(guī)審計(jì)的重點(diǎn)審查事項(xiàng)等創(chuàng)新之處，均立足于我國(guó)個(gè)人信息保護(hù)制度特點(diǎn)，提供了不同于任何一個(gè)國(guó)家的“中國(guó)答案”。

“《管理辦法》的出臺(tái)是我國(guó)個(gè)人信息保護(hù)事業(yè)進(jìn)程中的重要節(jié)點(diǎn)，必將為提高我國(guó)個(gè)人信息保護(hù)水平、提升我國(guó)數(shù)據(jù)安全治理監(jiān)管能力發(fā)揮重要作用。”王志成說。