关于《个人信息保护合规审计管理办法》，企业合规落地的十问十答

主要观点总结

本文对企业理解及落地实操《个人信息保护合规审计管理办法》的十个焦点问题进行解读，以问答形式，聚焦企业合规落地视角，以期为企业全面理解、开展个保审计提供参考。

关键观点总结

关键观点1: 一问：企业需要立刻开展个保审计吗？如何确定审计频率？

针对定期审计，企业结合自身涉及的数据体量、业务模式（2B or 2C）、敏感程度（是否涉及敏感个人信息）等，基于实际合规风险程度来确定审计频率。处理超1000万人个人信息的个人信息处理者，每两年至少开展一次个保审计。

关键观点2: 二问：谁来开展审计工作？

企业有权选择由企业内部机构开展或委托专业机构开展。实践中基于中立性和专业性等因素的考量，企业选择外部专业机构协助开展合规审计成为普遍实践。

关键观点3: 三问：审计范围需要覆盖全公司、全场景吗？

《个保法》《办法》未对定期审计的审计范围作出明确规定，但建议企业在成本、便利性等综合因素的考虑下，逐步开展审计，最终实现在频率期限内的全面覆盖。

关键观点4: 四问：审计基准是什么？

审计对象为个人信息处理者的个人信息处理活动遵守法律、行政法规的情况，企业在开展个保审计时应参照《指引》进行，并审查《指引》所列要点。

关键观点5: 五问：企业如何选择专业机构？

企业可选择长期从事个人信息保护合规工作且在该领域有全面法律服务能力的机构作为专业机构，例如第三方律所。选择时应考虑机构的认证情况、专业能力、禁止性标准等。

关键观点6: 六问：开展审计的具体流程要求？

针对定期审计和监管审计，企业可基于审计准备、审计实施、审计报告、问题整改、归档管理5个阶段进行个保审计。监管审计还需遵循保护部门要求的流程，包括选定专业机构、必要支持、期限限制、审计报告报送和整改情况报告报送等。

关键观点7: 七问：“定期审计”也必须形成专门的审计报告吗？是否有固定模版和报送要求？

企业需以成文形式留存审计结果，并作为合规证明存档备查。可参考《审计国标》形成审计报告，结构包括审计依据、审计内容等。

关键观点8: 八问：企业如何落地审计工作？

企业自身开展定期审计时，需结合个人信息处理活动的风险程度，参照专业机构支持的方法论进行审计工作。对于监管审计，企业应遵循保护部门要求在专业机构协助下完成审计。

免责声明