“治已病”更“防未病”，个人信息保护合规审计想解决啥

“个保合规审计”深解读

《个人信息保护合规审计管理办法》于近日公布，将自2025年5月1日起施行。作为落实个人信息保护治理体系的重要抓手之一，个人信息保护合规审计应如何开展，将为相关行业和个人带来哪些影响？南都大数据研究院推出系列解读报道，从办法背景、特色亮点、审计实务、行业影响等方面进行详细解读。

第一篇从治理背景出发，了解个保合规审计的治理目标，如何与其他法律法规、相关标准共同构筑我国个人信息保护治理体系。

历经多次征求意见，《个人信息保护合规审计管理办法》（以下简称《办法》）近日尘埃落定。为什么要开展个人信息保护合规审计（以下简称“合规审计”），旨在解决个人信息保护治理实践中的哪些难题？新规落地在即，多位专家接受南都大数据研究院采访时认为，在市场主体日益增多的当下，合规审计能推动个人信息处理者主动提高合规水平，筑牢个保防线，体现政府监管和行业自律二者并重的治理思路。

多份政策文件均提及合规审计

个人信息保护合规审计，是指对个人信息处理者的个人信息处理活动是否遵守法律、行政法规的情况进行审查和评价的监督活动。梳理相关法律法规可见，早在2021年11月1日起施行的《中华人民共和国个人信息保护法》,已在法律层面明确“个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计”，意味着合规审计成为个人信息处理者的一项法定义务。此外，近年出台的《网络数据安全管理条例》《未成年人网络保护条例》《工业和信息化部关于进一步提升移动互联网应用服务能力的通知》等均对数据处理者提出合规审计要求。

合规审计备受重视，多份政策文件中均可见其身影。中国电子技术标准化研究院副院长范科峰介绍，个人信息保护是一个持续性、迭代性、动态性的过程。开展合规审计，将有助于个人信息处理者和履行个人信息保护职责的部门（以下简称“保护部门”）在检查、评估、认证的基础上，构建以审计为监督抓手的多层次个人信息保护体系，通过合规审计事项有效衔接各项个人信息保护工作，并以独立视角审查和评价个人信息处理活动，极大提高个人信息处理合规水平。

合规审计是推动数字经济发展的必然选择

作为一种监督机制，审计在财务收支、企业经营管理等方面应用已久。为何要在个人信息保护领域提出审计这一要求？不少专家提到，合规审计制度的优点在于，通过独立客观的审计活动，以《个人信息保护法》等法律法规作为审计依据，“逐条逐项”地确保个人信息保护制度落地落实。

中国网络空间安全协会副秘书长杜阿宁介绍，在数据成为新生产要素的背景下，个人信息的安全利用有助于加速数据要素流通，深度释放数据价值，推动数字经济持续健康发展。依法依规进行的合规审计能提升个人信息处理者的安全保障能力，增强个人信息主体对个人信息安全的信心，从而愿意提供更多的数据资源，也积极支持个人信息处理者的深度挖掘、利用和共享等。加强合规审计工作，是确保个人信息保护工作落到实处、取得实效的重要举措，也是推动数字经济健康发展的必然选择。

那么，与公众熟知的财务审计相比较，个人信息保护合规审计有哪些区别？深圳市网络数据合规与流通促进会秘书长丁振赣表示，个人信息保护合规审计和财务审计的上位法不同、适用的方法和规则也不同，但二者的本质特征共通，均要求审计人员、审计组要有独立性和客观性。

广州数据交易所法务合规部孙薇、邓洪亮撰文认为，个人信息保护合规审计应属审计的特别分支，工作开展同样可分为审计准备、审计实施、审计报告、整改与复评、档案归档与保存等五大步骤。

旨在推动企业主动履行个保义务

多位专家接受南都大数据研究院采访时表示，合规审计一方面有助于推动企业等个人信息处理者主动履行相关义务，另一方面有助于缓解保护部门的执法压力。

丁振赣表示，在数字经济高速发展的当下，市场主体日益增多，客观上讲，保护部门全方位监管有难度，而且当企业常处于被检查的视角下，容易产生一定情绪。而合规审计更强调企业根据审计结果进行整改，主动提高合规水平。

中国信息通信研究院云计算与大数据研究所审计与治理部主任杨玲玲也指出，合规审计旨在通过要求企业建立独立监督机制，识别和发现自身个人信息处理活动存在的问题和风险，推动形成“审计发现问题-优化合规体系-落实合规要求”的螺旋机制，筑牢个人信息保护合规防线。

杨玲玲向南都记者表示，落实合规审计不但能识别和发现企业自身在个人信息保护方面存在的合规权责不对等、管理制度执行不落地、合规管控措施薄弱等现存问题，发挥“治已病”的基础作用，更能发挥“防未病”的长效作用，注重源头治理并提前预警，预防和发现可能存在的风险隐患，有效地避免问题发生，或将问题控制在萌芽状态，是企业积极主动履行社会责任的重要表现。

政府监管和行业自律二者并重

值得注意的是，《办法》出台不意味着其他监管方式的弱化，而是体现政府监管和行业自律二者并重的治理思路。多位专家向南都记者强调，我国法律、行政法规和部门规章等规定了个人信息保护的多种监管方式，不同的监管方式适用于不同的个人信息处理者和不同的应用场景，合规审计只是其中的一种。

中国人民大学法学院教授、中国法学会网络信息法学研究会副会长张新宝表示，将审计引入个人信息保护监管，有利于评估个人信息处理者在个人信息保护方面落实法律法规规定的情况和发现存在的问题，进而有针对性进行整改。这种“查账”和“对标”的监管方式，更便于将法律法规的规定落到实处，也有利于发挥企业自律方面的积极性。

从《办法》规定个人信息处理者开展合规审计的两种情形，也可看出这一思路。《办法》提出，个人信息处理者应自行开展合规审计，其中，处理超过1000万人个人信息的个人信息处理者，应当每两年至少开展一次合规审计。同时，保护部门发现个人信息处理活动存在较大风险、可能侵害众多个人的权益或者发生个人信息安全事件的，可以要求个人信息处理者委托专业机构对个人信息处理活动进行合规审计。

在中国信息通信研究院副院长魏亮看来，对于个人信息处理者，合规审计是推动内部持续完善个人信息保护合规体系的重要手段；对于保护部门，合规审计则是落实我国个人信息保护治理体系的一项重要监督举措。

国家网信办数据与技术保障中心副主任王志成也撰文表示，监管部门主导和社会力量参与的协同，是提高数据治理能力的客观需要，也贯穿于《办法》的始终。“推动政府监管和行业自律形成合力，是提升数据治理能力的现实需要，也是《办法》制定中着重考虑的问题”。