近日，國家互聯(lián)網(wǎng)信息辦公室發(fā)布關(guān)于《個人信息保護合規(guī)審計管理辦法（征求意見稿）》（以下簡稱《辦法》）及配套的《個人信息保護合規(guī)審計參考要點》（以下簡稱《要點》）公開征求意見的通知。該《辦法》旨在為指導(dǎo)、規(guī)范個人信息保護合規(guī)審計活動，提高個人信息處理活動合規(guī)水平，保護個人信息權(quán)益。

《辦法》共計十六條，主要是針對《個人信息保護法》第54條和第64條所確定的個人信息保護合規(guī)審計機制的細化與補充，對合規(guī)審計的觸發(fā)條件、開展要點、實施要求等做了明確規(guī)定。

個人信息保護合規(guī)審計流程涉及到個人信息處理者、專業(yè)機構(gòu)、履行個人信息保護職責的部門（以下簡稱“監(jiān)管部門“）三方，其中專業(yè)機構(gòu)的選取可根據(jù)監(jiān)管部門按照國家網(wǎng)信部門同公安機關(guān)等國務(wù)院有關(guān)部門建立的推薦目錄中進行選擇。

個人信息處理者可根據(jù)自身實際情況和需求，自行或委托專業(yè)機構(gòu)，按照個人信息合規(guī)審計流程開展個人信息合規(guī)審計工作，并根據(jù)審計結(jié)果及時進行整改。

《要點》共計三十一條，列舉了個人信息保護處理活動在組織管理、全生命周期保護方面等基礎(chǔ)性合規(guī)義務(wù)的審查事項，協(xié)助個人信息處理者的內(nèi)部組織機構(gòu)或委托的專業(yè)機構(gòu)在進行個人信息保護合規(guī)審計時推進實施。

不難看出，《要點》中相關(guān)參考條例與《個人信息保護法》《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例（征求意見稿）》《GB/T 35273-2020 信息安全技術(shù) 個人信息安全規(guī)范》中相關(guān)要求均有對比映射關(guān)系，從不同條款中都與現(xiàn)存的國家法律法規(guī)、標準要求進行了銜接，為個人信息保護合規(guī)審計國家層面的標準要求落點提供了細化補充與深度擴展。

本次發(fā)布的《辦法》與《要點》作為個人信息保護領(lǐng)域的實際落點，填補了《個人信息保護法》有關(guān)規(guī)范合規(guī)審計機制的下位規(guī)范空白，具有里程碑式的意義。

個人信息保護合規(guī)審計不僅僅是一項法定義務(wù)，也是個人信息處理者的自查自糾的重要手段，更是監(jiān)管部門監(jiān)督個人信息處理活動和專業(yè)機構(gòu)開展合規(guī)審計工作的執(zhí)行指引。