《关于推进个人信息保护合规审计的若干建议》正式发布

为了助力企业有效开展合规审计工作，在中国内部审计协会、中国银行业协会、中国通信标准化协会互联网医疗健康标准推进委员会的指导下，由中国信息通信研究院云计算与大数据研究所牵头组织，“个人信息保护合规审计推进小组”（以下简称“推进小组”）中来自中国移动、中信银行、大家保险、中移信息、字节跳动、美团、易车、联想、贝壳找房、蚂蚁、世辉律所、小米、网商银行的近20位专家共同编制了《关于推进个人信息保护合规审计的若干建议》（以下简称“《若干建议》”）。

在编写和征求意见过程中，《若干建议》获得了来自推进小组成员单位、各领域行业专家、内外部专业人士的编写建议以及指导单位的专业性建议，经过不断打磨和修订，现于2021年12月6日正式发布。《若干建议》作为“推进小组”的阶段性成果，旨在助力企业有效落实《个人信息保护法》（以下简称“《个保法》”）合规审计要求，是企业开展个人信息合规审计的落地实施指南。

《若干建议》具有以下四大特点：

1、合规性：紧密围绕《个保法》及相关配套规则，提出个人信息保护合规审计总体要求。

《个保法》从法律层面规定了个人信息处理活动的合规审计制度。如何将此项要求融入企业现有的个人信息保护合规框架中是企业面临的当务之急。《若干建议》紧密围绕立法目标和原则，以《个保法》要求为框架，以相关配套规则为补充，进一步明确了个人信息处理者在开展个人信息保护合规审计工作中可重点参考的审计依据，支持企业有效开展个人信息保护工作。

2、专业性：依据审计准则和规范，为个人信息保护合规审计工作提供专业指导。

《若干建议》紧密结合《内部审计准则》《内部审计人员职业道德规范》等审计准则和规范，明确了个人信息处理者在开展个人信息保护合规审计时应遵循的审计目标、审计原则以及审计人员要求。针对个人信息保护合规审计特殊性，重点描述了审计计划、审计方案、审计通知、审计实施、沟通与报告五个重要审计程序，推动企业更加专业规范地开展审计工作。

3、全面性：梳理了四大重点审计领域，覆盖个人信息处理活动全生命周期。

《若干建议》梳理了个人信息处理者义务合规审计、个人权利实现方式合规审计、个人信息处理活动合规审计、个人信息跨境提供合规审计四大重点审计领域。其中个人信息处理活动合规审计覆盖了个人信息收集、存储、使用、提供、传输、公开、删除等全生命周期，有助于企业更全面地进行个人信息保护合规审计。

4、可操作性：识别了60余项主要风险点，并提出可操作的重点审计内容。

《若干建议》充分参考企业良好实践，梳理和识别了企业开展个人信息保护合规审计工作所面临的60余项主要风险点，提出了丰富的、有针对性的、可落地的重点审计内容，给予企业可操作的审计指导，推动企业切实可行地逐步落实审计工作。

如想获取报告，请联系liangye@caict.ac.cn。