個(gè)人信息保護(hù)事關(guān)廣大人民群眾的切身利益，事關(guān)國家數(shù)據(jù)安全。黨的二十屆三中全會(huì)通過的《中共中央關(guān)于進(jìn)一步全面深化改革、推進(jìn)中國式現(xiàn)代化的決定》要求“提升數(shù)據(jù)安全治理監(jiān)管能力”。近日，國家網(wǎng)信辦公布《個(gè)人信息保護(hù)合規(guī)審計(jì)管理辦法》（以下簡(jiǎn)稱《辦法》），明確了個(gè)人信息保護(hù)合規(guī)審計(jì)的具體要求，對(duì)于完善我國個(gè)人信息保護(hù)制度體系、提高個(gè)人信息保護(hù)水平、提升數(shù)據(jù)安全治理監(jiān)管能力具有重要意義。

一、《辦法》體現(xiàn)了政府監(jiān)管和行業(yè)自律二者并重的治理思路

推動(dòng)政府監(jiān)管和行業(yè)自律形成合力，是提升數(shù)據(jù)治理能力的現(xiàn)實(shí)需要，也是《辦法》制定中著重考慮的問題。一方面，《辦法》明確了國家網(wǎng)信部門和其他履行個(gè)人信息保護(hù)職責(zé)的部門（以下統(tǒng)稱為保護(hù)部門）在個(gè)人信息保護(hù)合規(guī)審計(jì)中的監(jiān)管職責(zé)，即個(gè)人信息處理者有以下情形之一的：（一）發(fā)現(xiàn)個(gè)人信息處理活動(dòng)存在嚴(yán)重影響個(gè)人權(quán)益或者嚴(yán)重缺乏安全措施等較大風(fēng)險(xiǎn)的；（二）個(gè)人信息處理活動(dòng)可能侵害眾多個(gè)人的權(quán)益的；（三）發(fā)生個(gè)人信息安全事件，導(dǎo)致100萬人以上個(gè)人信息或者10萬人以上敏感個(gè)人信息泄露、篡改、丟失、毀損的，保護(hù)部門可以要求個(gè)人信息處理者委托專業(yè)機(jī)構(gòu)對(duì)個(gè)人信息處理活動(dòng)進(jìn)行合規(guī)審計(jì)。個(gè)人信息處理者應(yīng)當(dāng)為專業(yè)機(jī)構(gòu)正常開展個(gè)人信息保護(hù)合規(guī)審計(jì)工作提供必要支持，承擔(dān)審計(jì)費(fèi)用，在限定時(shí)間內(nèi)完成審計(jì)工作，并將專業(yè)機(jī)構(gòu)出具的審計(jì)報(bào)告報(bào)送保護(hù)部門。此外，《辦法》還明確，保護(hù)部門對(duì)個(gè)人信息處理者開展個(gè)人信息保護(hù)合規(guī)審計(jì)情況進(jìn)行監(jiān)督檢查。

另一方面，《辦法》規(guī)定，個(gè)人信息處理者自行開展個(gè)人信息保護(hù)合規(guī)審計(jì)的，應(yīng)當(dāng)由個(gè)人信息處理者內(nèi)部機(jī)構(gòu)或者委托專業(yè)機(jī)構(gòu)定期對(duì)其處理個(gè)人信息遵守法律、行政法規(guī)的情況進(jìn)行合規(guī)審計(jì)?！掇k法》明確要求，處理超過1000萬人個(gè)人信息的個(gè)人信息處理者，應(yīng)當(dāng)每?jī)赡曛辽匍_展一次個(gè)人信息保護(hù)合規(guī)審計(jì)；處理100萬人以上的個(gè)人信息的個(gè)人信息處理者應(yīng)當(dāng)指定個(gè)人信息保護(hù)負(fù)責(zé)人，負(fù)責(zé)個(gè)人信息處理者的個(gè)人信息保護(hù)合規(guī)審計(jì)工作。

二、《辦法》體現(xiàn)了部門主導(dǎo)和社會(huì)參與協(xié)同推進(jìn)的治理方式

監(jiān)管部門主導(dǎo)和社會(huì)力量參與的協(xié)同，是提高數(shù)據(jù)治理能力的客觀需要，也貫穿于《辦法》的始終?！掇k法》明確開展個(gè)人信息保護(hù)合規(guī)審計(jì)，是對(duì)個(gè)人信息處理者的個(gè)人信息處理活動(dòng)是否遵守法律、行政法規(guī)的情況進(jìn)行審查和評(píng)價(jià)的監(jiān)督活動(dòng)，系為了保護(hù)個(gè)人信息權(quán)益。一方面，《辦法》規(guī)定，個(gè)人信息處理者按照保護(hù)部門要求開展個(gè)人信息保護(hù)合規(guī)審計(jì)的，應(yīng)當(dāng)按照保護(hù)部門要求選定專業(yè)機(jī)構(gòu)。同時(shí)，《辦法》也對(duì)保護(hù)部門的權(quán)限提出要求。例如，對(duì)同一個(gè)人信息安全事件或者風(fēng)險(xiǎn)，保護(hù)部門不得重復(fù)要求個(gè)人信息處理者委托專業(yè)機(jī)構(gòu)開展個(gè)人信息保護(hù)合規(guī)審計(jì)。

另一方面，《辦法》明確第三方專業(yè)機(jī)構(gòu)可參與個(gè)人信息保護(hù)合規(guī)審計(jì)，并對(duì)其提出明確要求，如應(yīng)當(dāng)具備開展個(gè)人信息保護(hù)合規(guī)審計(jì)的能力，有與服務(wù)相適應(yīng)的審計(jì)人員、場(chǎng)所、設(shè)施和資金等。要求專業(yè)機(jī)構(gòu)在從事個(gè)人信息保護(hù)合規(guī)審計(jì)活動(dòng)時(shí)，遵守法律法規(guī)，誠信正直，公正客觀地作出合規(guī)審計(jì)職業(yè)判斷，對(duì)在履行個(gè)人信息保護(hù)合規(guī)審計(jì)職責(zé)中獲得的個(gè)人信息、商業(yè)秘密、保密商務(wù)信息等應(yīng)當(dāng)依法予以保密，不得泄露或者非法向他人提供，在合規(guī)審計(jì)工作結(jié)束后及時(shí)刪除相關(guān)信息。要求專業(yè)機(jī)構(gòu)不得轉(zhuǎn)委托其他機(jī)構(gòu)開展個(gè)人信息保護(hù)合規(guī)審計(jì)。同時(shí)，《辦法》還明確應(yīng)引入個(gè)人信息處理者外部人員參與監(jiān)督的要求，提供重要互聯(lián)網(wǎng)平臺(tái)服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的個(gè)人信息處理者，應(yīng)當(dāng)成立主要由外部成員組成的獨(dú)立機(jī)構(gòu)對(duì)個(gè)人信息保護(hù)合規(guī)審計(jì)情況進(jìn)行監(jiān)督。此外，《辦法》還鼓勵(lì)社會(huì)大眾積極參與，任何組織、個(gè)人有權(quán)對(duì)個(gè)人信息保護(hù)合規(guī)審計(jì)中的違法活動(dòng)向保護(hù)部門進(jìn)行投訴、舉報(bào)。

值得注意的是，《辦法》明確提出，鼓勵(lì)個(gè)人信息保護(hù)合規(guī)審計(jì)專業(yè)機(jī)構(gòu)通過認(rèn)證，專業(yè)機(jī)構(gòu)的認(rèn)證按照《中華人民共和國認(rèn)證認(rèn)可條例》的有關(guān)規(guī)定執(zhí)行，這將為個(gè)人信息保護(hù)合規(guī)審計(jì)相關(guān)認(rèn)證的創(chuàng)新和發(fā)展提供廣闊的空間。

三、《辦法》體現(xiàn)了法律法規(guī)和政策舉措有效銜接的治理模式

實(shí)現(xiàn)法律法規(guī)和政策舉措的有效銜接是提升數(shù)據(jù)治理能力的必然要求，是我國數(shù)據(jù)治理的優(yōu)良傳統(tǒng)和成功經(jīng)驗(yàn)，也是《辦法》的鮮明特點(diǎn)。《中華人民共和國個(gè)人信息保護(hù)法》明確規(guī)定，“個(gè)人信息處理者應(yīng)當(dāng)定期對(duì)其處理個(gè)人信息遵守法律、行政法規(guī)的情況進(jìn)行合規(guī)審計(jì)”“履行個(gè)人信息保護(hù)職責(zé)的部門在履行職責(zé)中，發(fā)現(xiàn)個(gè)人信息處理活動(dòng)存在較大風(fēng)險(xiǎn)或者發(fā)生個(gè)人信息安全事件的，可以按照規(guī)定的權(quán)限和程序?qū)υ搨€(gè)人信息處理者的法定代表人或者主要負(fù)責(zé)人進(jìn)行約談，或者要求個(gè)人信息處理者委托專業(yè)機(jī)構(gòu)對(duì)其個(gè)人信息處理活動(dòng)進(jìn)行合規(guī)審計(jì)”。《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》明確規(guī)定，“網(wǎng)絡(luò)數(shù)據(jù)處理者應(yīng)當(dāng)定期自行或者委托專業(yè)機(jī)構(gòu)對(duì)其處理個(gè)人信息遵守法律、行政法規(guī)的情況進(jìn)行合規(guī)審計(jì)”。

為落實(shí)上述法律、行政法規(guī)規(guī)定，《辦法》在合規(guī)審計(jì)指引部分進(jìn)一步細(xì)化了相關(guān)要求，詳細(xì)列出了二十七個(gè)方面的審查重點(diǎn)，包括對(duì)個(gè)人信息處理活動(dòng)的合法性基礎(chǔ)進(jìn)行合規(guī)審計(jì)的重點(diǎn)審查事項(xiàng)，對(duì)個(gè)人信息處理規(guī)則進(jìn)行合規(guī)審計(jì)的重點(diǎn)審查事項(xiàng)，對(duì)個(gè)人信息處理者履行告知個(gè)人信息處理規(guī)則義務(wù)進(jìn)行合規(guī)審計(jì)的重點(diǎn)審查事項(xiàng)，對(duì)個(gè)人信息處理者與其他個(gè)人信息處理者共同處理個(gè)人信息進(jìn)行合規(guī)審計(jì)的重點(diǎn)審查事項(xiàng)，對(duì)個(gè)人信息處理者委托處理個(gè)人信息進(jìn)行合規(guī)審計(jì)的重點(diǎn)審查事項(xiàng)，對(duì)個(gè)人信息處理者利用自動(dòng)化決策處理個(gè)人信息進(jìn)行合規(guī)審計(jì)的重點(diǎn)審查事項(xiàng)，對(duì)個(gè)人信息處理者基于個(gè)人同意公開個(gè)人信息進(jìn)行合規(guī)審計(jì)的重點(diǎn)審查事項(xiàng)等，充分體現(xiàn)了法律法規(guī)與政策舉措的貫通和銜接。

《辦法》的出臺(tái)是我國個(gè)人信息保護(hù)事業(yè)進(jìn)程中的重要節(jié)點(diǎn)，必將為提高我國個(gè)人信息保護(hù)水平、提升我國數(shù)據(jù)安全治理監(jiān)管能力發(fā)揮重要作用。（作者：王志成，國家網(wǎng)信辦數(shù)據(jù)與技術(shù)保障中心副主任）