作者：金茂律师事务所  金文玮 律师

《个人信息保护法》第五十四条规定“个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。”但是如何进行合规审计，《个人信息保护法》没有详细说；8月3日，国家网信办发布了《个人信息保护合规审计管理办法（征求意见稿）》（以下简称“审计办法”），对如何进行合规审计管理进行了更为细致的规定。

单单“审计办法”的内容其实并不多——连同何时实施的附则总共才十六条，但和“审计办法”同时发布的附件《个人信息保护合规审计参考要点》（以下简称“审计要点”）却内容详实，实务操作性很强。如果从“审计要点即为合规要点”的角度解读，那么“审计要点”其实是国家网信办在给企业如何开展个人信息保护划出重点——如果处理个人信息的企业还不清楚合规要点的话，可以对照“审计要点”中的内容查漏补缺。“审计办法”和“审计要点”的重点解读有以下几点：

一、合规审计至少每两年一次

“审计办法”为《个人信息保护法》第五十四条的“定期”做了具体规定：处理超过100万人个人信息的，每年至少开展一次合规审计；其他每二年至少开展一次合规审计。

笔者在给企业讲解个人信息保护时，一直告诫企业不要在非必要的情况下收集个人客户的信息，以免承担不必要的法律责任——现在从“审计办法”的规定来看，至少每两年一次的合规审计某种程度上会劝退一部分在非必要的情况下收集客户个人信息的企业。

二、内部审计也可以，但网信办更重视外部审计

“审计办法”第五条规定“可根据实际情况，有本组织内部机构或者委托专业机构按照本办法要求开展”，也就是说立法并不否定企业内部审计——企业定期开展内部审计也算进行了合法的合规审计。但是，“审计办法”总共十六条，从第六条开始至第十四条整整九条都是外部审计的规定，所以从网信办的视角来看明显更加注重外部审计。

第五条规定虽然说了企业内部审计也需要按照“本办法要求开展”，也就是说理论上内审与外审的标准一致——但是从制度安排上没有对企业内审作出充分的规定，例如，“审计办法”第十条合规报告需要签章的制度是否同样适用于内部审计？第十二条规定外部审计机构“事不过三”原则是否不适用于企业内部审计？

但笔者认为，即便规定没有明确，但企业内审依然要尽最大可能贴近外部审计的要求，如果实践中内部审计不严格，很有可能会被按照《个人信息保护法》第六十六条的规定进行处罚。

《个人信息保护法》“第六十六条　违反本法规定处理个人信息，或者处理个人信息未履行本法规定的个人信息保护义务的，由履行个人信息保护职责的部门责令改正，给予警告，没收违法所得，对违法处理个人信息的应用程序，责令暂停或者终止提供服务；拒不改正的，并处一百万元以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

有前款规定的违法行为，情节严重的，由省级以上履行个人信息保护职责的部门责令改正，没收违法所得，并处五千万元以下或者上一年度营业额百分之五以下罚款，并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款，并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。”

三、“审完还得改”

“审计办法”第十一条规定企业应监管部门要求委托外部机构开展合规审计的，“应当按照专业机构给出的整改建议进行整改，经专业机构复核后将整改情况报送履行个人信息保护职责的部门”。

审计并不是关键，审计发现问题后整改才是关键。所以，虽然“审计办法”并未用太多篇幅强调整改的事项，但“经专业机构复核”几个字已经充分体现了整改的重要性。

四、外部审计“事不过三”

“审计办法”第十二条规定专业机构“连续为同一审计对象开展个人信息保护合规审计不得超过三次”——在制度安排上，“事不过三”原则能够尽可能避免同一机构因为思维惯性导致的视角盲点，可以让审计更加全面；但是这句话放在“专业机构应当保持独立性和客观性”这句话之后，仔细玩味一下还是别有深意的。