个人信息保护合规审计研究

2022年我国数字经济规模为50万亿元，2023年上升为53.9万亿元，较上年提升1.3个百分点。可以看出数字经济在国民经济中的地位和作用愈发凸显。随着数字经济的蓬勃发展，其创造的经济价值逐步上升，这一过程中也伴随着诸多数据安全问题的浮现，很多问题已经引起了社会各界的广泛关注。我国于2021年通过了《个人信息保护法》，旨在对我国国民个人信息进行保护，2023年发布了《个人信息保护合规审计管理办法（征求意见稿）》，说明我国对于个人信息保护审计制度正在进行探索实践。本文旨在深入探讨个人信息保护合规审计的核心要素，为审计实践者提供有价值的参考与指导。通过深入剖析与对于解决方案的探究，体现出个人信息保护合规审计在内部审计实践中的重要性。

一、个人信息保护合规审计内容和程序

（一）个人信息保护合规审计的概念界定

个人信息保护合规审计，是指审计机构和审计人员依据个人信息保护相关的法律、规则及准则，对被审计单位及其员工在个人信息保护方面的行为进行全面审查，以监督其合规性。个人信息兼具公共与私有双重属性。从公共属性来看，个人信息需要完成对于社会需求的调配，促进个人信息社会价值的实现。从私有属性来看，加强个人信息保护与相关制度规范完善。所以个人信息保护合规审计要对个人信息两种属性统一考虑，达到私有和公共两种属性相互促进，以发挥个人信息对于社会利益的提升，同时保护个人信息在私有属性领域内不受侵犯。

（二） 个人信息保护合规审计重点内容

个人信息保护合规审计应从个人信息处理者的义务，个人信息处理活动的合规审计，以及个人信息跨境提供活动的合规审计。

1.对于个人信息处理者义务的合规审计。信息处理者有义务对个人信息资源进行合理使用以及保护，确保其行为不违反相关法律法规以及个人信息保护制度并查看其执行情况。还应查看个人信息处理者是否处于监管环境当中，我相关企业为互联网数据企业则应查看是否按照平台规则对个人信息进行处理，检查在平台录入个人信息中是否有个人信息主体知晓同意，确保获取个人信息主体对自身信息使用途径的同意。

2.对个人信息处理活动的合规审计。审计重点内容包括：一是在个人信息的收集过程中是否经过个人信息主体知晓并且同意，个人信息收集频率是否能够达到对于个人信息价值实现的最低要求，保证收集过程中符合相关法律法规以及规章制度。二是个人信息储存中是否在信息收集之后第一时间进行存储，存储方式的选择以及是否经过加密处理，相关人员的对于存储设施的使用权限。三是在个人信息调取过程中是否对敏感信息进行处理，类似于敏感信息的抹去，确定不同人员不同职级不同部门对于相关个人信息的调取权限。四是个人信息在提供给合规审计过程中是否判断相关信息可以提供，是否得出公开结果，透明审计过程，对于审计过程中相关材料的提供进行记录。五是对于个人信息的删除，在相关人员离职或是其他方式需要删除其个人信息资料时，确保其个人信息真实在数据当中删除，符合其相关制度建设情况，达到个人信息主体合理诉求。

3.个人信息跨境提供活动的合规审计。跨境提供个人信息，需要对个人信息内容进行复核确保不包含敏感信息，对相关人员个人身份进行查看，获取个人信息主体的知晓和同意，是否经过国家相关机构或者部门的批准，查看是否属于禁止向海外机构或组织提供的清单。

二、个人信息保护合规审计面临的困境

（一） 个人信息保护合规审计实践不足

信息保护合规审计面临的时间不足问题，主要体现在以下两大方面：

首先，在相关制度的构建上，我们尚缺乏一套完善的、可供参考的个人信息保护合规审计法律法规体系。无论是现行的《国家审计准则》《中国注册会计师审计准则》，还是《个人信息保护法》，均未能充分明确个人信息保护合规审计的具体工作要点。这导致审计人员在执行审计任务时，常常感到无据可依，只能转而寻求相关领域法律法规和规章制度的支持来进行验证。二是在工作实践当中，审计人员没有相关的个人信息保护合规审计工作经验，对于审计重点无法很好把握，且在面临个人信息这样海量的数据来看，审计人员个人的数据分析能力还有待提高。《个人信息保护法》的施行给一些企业对个人信息保护合规审计的重视度不够，缺少内在动力。

（二） 数字化审计辅助工具应用不足

个人信息系统范围很广，涉及APP，区块链，微信小程序等各种场景，涉及的各种底层代码也不同，数据量也往往很大，目前有许多数字化审计辅助工具被开发，但是没有被审计人员很好的应用，导致审计效率较低，还在通过传统的审计方法进行审计。使用传统的审计方法甚至还会由于数据量过大进行审计抽样无法具有很好的代表性，导致审计效果受到影响。

（三） 个人信息保护合规审计的协同机制缺失

个人信息保护合规审计往往涉及三方，企业内部审计部门，第三方独立机构以及相关政府部门。由于个人信息资料的敏感性往往无法使得三方进行有效沟通，相关资料的权限问题成为审计过程中的一大难点。企业内部审计部门一般没有把个人信息保护看作一个重点工作项目，第三方独立机构虽可能有较为专业的审计模式，但是碍于企业对于其自身个人信息资料的权限制度无法达到较好的审计效果，国家审计对于这类个人信息保护合规审计的关注程度也不高。

三、个人信息保护合规审计的对策建议

（一）加强个人信息保护合规审计实践

对于审计人员而言，必须不断提升自身在个人信息保护合规审计方面的专业知识和技能。同时，应将个人信息保护合规审计正式纳入内部审计准则体系之中，通过邀请来自不同领域的专家加入到审计工作当中，制定出一套相关法规。将已有的具有代表性的案例进行推广，吸取经验，发掘在各种情形下的面临的困境进行总结。

（二）建立个人信息保护合规审计的协同联动机制

在协同联动机制方面应当设置相关信息交流负责人，提高各方面对于信息的交流效率，科学处理内部信息处理者与外部信息处理者的相互协同作用，实现定期第三方或者政府机构对于内部审计部门的强制性协同与一些日常的自愿性协同，实现在对信息的监管与防范条件下更好地实现个人信息的公共属性即社会价值与使用价值。

作者简介：宋昀翔（2001.4-），河南省新乡市卫滨区，汉族，研究生，南京审计大学，内部审计。