PIA与个人信息保护合规审计有哪些区别？

一、《个人信息保护合规审计管理办法》发布

2月14日，国家互联网信息办公室发布《个人信息保护合规审计管理办法》，将于2025年5月1日正式施行。

《个人信息保护合规审计管理办法》旨在为个人信息处理者开展个人信息保护合规审计提供系统性、针对性、可操作性的规范，提升个人信息处理活动合法合规水平，保护个人信息权益。

个人信息保护影响评估（PIA）和个人信息保护合规审计（PIPCA）是个人信息保护领域的两个重要工具，但两者在定义和目标、法律依据、触发条件、内容侧重点等方面存在显著差异。

二、PIA与PIPCA的主要差异

一、定义和目标不同

个人信息保护影响评估：

Personal Information Protection Impact Assessment (PIA)

定义：个人信息保护影响评估，也称个人信息安全影响评估，是针对个人信息处理活动，检验其合法合规程度，判断其对个人合法权益造成损害的各种风险，以及评估用于保护个人的各项措施有效性的过程。

目标：识别风险，优化流程设计，避免潜在侵权。个人信息保护影响评估是一种风险管理工具，它可以帮助个人信息处理者识别和分析其处理活动可能带来的法律、技术、组织等方面的风险，并采取相应的措施来降低或消除这些风险，从而提高个人信息处理的安全性和合规性。

主要作用：用于企业内部风险管理，并在安全事件中减轻或免除责任。

个人信息保护合规审计：

Personal Information Protection Compliance Audit（PIPCA)

定义：个人信息保护合规审计，是指对个人信息处理者的个人信息处理活动是否遵守法律、行政法规的情况进行审查和评价的监督活动。

目标：验证合规性，发现并整改现有违规行为。

主要作用：主要用于向监管机构证明合规性，并作为整改依据。

二、法律依据不同

个人信息保护影响评估：

《个人信息保护法》第五十五条

第五十五条　有下列情形之一的，个人信息处理者应当事前进行个人信息保护影响评估，并对处理情况进行记录：

（一）处理敏感个人信息；

（二）利用个人信息进行自动化决策；

（三）委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息；

（四）向境外提供个人信息；

（五）其他对个人权益有重大影响的个人信息处理活动。

个人信息保护合规审计：

《个人信息保护法》第五十四条、第六十四条

第五十四条　个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。

第六十四条　履行个人信息保护职责的部门在履行职责中，发现个人信息处理活动存在较大风险或者发生个人信息安全事件的，可以按照规定的权限和程序对该个人信息处理者的法定代表人或者主要负责人进行约谈，或者要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。个人信息处理者应当按照要求采取措施，进行整改，消除隐患。

《网络数据安全管理条例》第二十七条

第二十七条网络数据处理者应当定期自行或者委托专业机构对其处理个人信息遵守法律、行政法规的情况进行合规审计。

《个人信息保护合规审计管理办法》

三、实施时机和触发条件不同

个人信息保护影响评估：

实施时机：高风险场景。包括处理敏感信息、自动化决策、委托处理、向他人提供、公开个人信息、向境外提供数据、其他对个人权益有重大影响的活动等法定情况。

《个人信息保护法》第五十五条　有下列情形之一的，个人信息处理者应当事前进行个人信息保护影响评估，并对处理情况进行记录：

（一）处理敏感个人信息；

（二）利用个人信息进行自动化决策；

（三）委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息；

（四）向境外提供个人信息；

（五）其他对个人权益有重大影响的个人信息处理活动。

实施主体：通常由个人信息处理者内部团队主导，必要时引入外部专家机构。

个人信息保护合规审计：

实施时机：常规合规管理或违规事件发生后。自行审计：处理超过1000万人个人信息的机构需每两年至少开展一次合规审计。其他个人信息处理者根据自身情况合理确定定期开展个人信息保护合规审计的频次。监管要求审计：（1）发现个人信息处理活动存在严重影响个人权益或者严重缺乏安全措施等较大风险的；（2）个人信息处理活动可能侵害众多个人的权益的；（3）发生个人信息安全事件，导致100万人以上个人信息或者10万人以上敏感个人信息泄露、篡改、丢失、毁损的。即以发现较大风险或发生安全事件为触发条件。

实施主体：自行审计可由内部完成或委托专业机构实施；但若是监管要求审计必须委托专业机构实施。专业机构需满足独立性，且禁止转委托。

四、内容侧重点不同

个人信息保护影响评估：

聚焦风险识别与防控。评估个人信息处理活动对个人权益的影响程度、安全措施有效性、风险等级判定及改进建议。

《个人信息保护法》第五十六条

个人信息保护影响评估应当包括下列内容：

（一）个人信息的处理目的、处理方式等是否合法、正当、必要；

（二）对个人权益的影响及安全风险；

（三）所采取的保护措施是否合法、有效并与风险程度相适应。

个人信息保护影响评估报告和处理情况记录应当至少保存三年。

个人信息保护合规审计：

聚焦合规性验证。《个人信息保护合规审计指引》详细列出了审计指引。重点审查事项包括：

一是，对个人信息处理的合法性基础、处理规则，处理敏感个人信息、不满十四周岁未成年人个人信息等个人信息处理规则要求提出了重点审查事项。

二是，对向境外提供个人信息的要求提出了重点审查事项。

三是，对个人信息删除权保障、个人行使权利的申请受理和响应、个人信息处理规则解释说明等个人在个人信息处理活动中的权利要求提出了重点审查事项。

四是，对管理制度、安全技术措施、培训计划、个人信息保护负责人、个人信息保护影响评估、个人信息安全事件应急预案及相应处置等个人信息处理者的义务要求提出了重点审查事项。

五、结果应用不同

个人信息保护影响评估：

输出风险清单和改进方案，可能调整处理活动设计。

高风险情况下需向监管部门报告，如2023年2月24日，国家网信办发布《个人信息出境标准合同办法》，申请标准合同备案必须提交《个人信息保护影响评估报告》。以及，个人信息保护合规审计中应用。

《个人信息保护合规审计指引》

六、对个人信息处理者委托处理个人信息进行合规审计的，应当重点审查下列事项：（一）个人信息处理者在委托处理个人信息前，是否开展个人信息保护影响评估；

个人信息保护合规审计：

提交整改报告、作为监管执法或诉讼证据。

《个人信息保护合规审计管理办法》

第十一条个人信息处理者按照保护部门要求开展个人信息保护合规审计的，应当按照保护部门要求对合规审计中发现的问题进行整改。在整改完成后15个工作日内，向保护部门报送整改情况报告。

六、法律责任不同

个人信息保护影响评估：

立即调整处理活动设计；主要追究企业及直接责任人：未开展PIA可能面临最高5000万元或年营业额5%的罚款。

《个人信息保护法》第六十六条

违反本法规定处理个人信息，或者处理个人信息未履行本法规定的个人信息保护义务的，由履行个人信息保护职责的部门责令改正，给予警告，没收违法所得，对违法处理个人信息的应用程序，责令暂停或者终止提供服务；拒不改正的，并处一百万元以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

有前款规定的违法行为，情节严重的，由省级以上履行个人信息保护职责的部门责令改正，没收违法所得，并处五千万元以下或者上一年度营业额百分之五以下罚款，并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款，并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。

个人信息保护合规审计：

限期整改；除了个人信息处理者，还会涉及第三方机构责任；行政处罚（如责令改正、罚款、停业整顿），或刑事责任。

《个人信息保护合规审计管理办法》

第十八条个人信息处理者、专业机构违反本办法规定的，依照《中华人民共和国个人信息保护法》、《网络数据安全管理条例》等法律法规的规定处理；构成犯罪的，依法追究刑事责任。