《个人信息保护合规审计要求（征求意见稿）》亮点解析

自2021年《个人信息保护法》建立个人信息保护合规审计制度以来，个人信息合规审计的落地实施一直是业界十分关注的问题。2023年8月3日，国家互联网信息办公室发布的《个人信息保护合规审计管理办法（征求意见稿）》，初步细化了个人信息保护合规审计的触发情形、参考要点等事项。

2024年7月12日，全国网络安全标准化技术委员会秘书处进一步发布了推荐性国家标准《数据安全技术 个人信息保护合规审计要求（征求意见稿）》（以下简称“《个人信息保护合规审计要求（征求意见稿）》”），在上述立法基础上从国家标准层面提出开展个人信息保护合规审计的审计过程规范、审计开展的具体步骤等要求，为企业开展个人信息保护合规审计提供了更为详细的指引。

有问题 Q 小治，在《小治Q&A：个人信息保护合规审计国标公开征求意见》中针对征求意见稿全文由生成式 AI 做出的核心解答，国标涵盖个人信息保护合规审计的原则、实施要求、流程、技术方法、风险识别、处置、监测、预防等各个方面，为个人信息处理者开展个人信息保护合规审计工作提供参考。

一 、《个人信息保护合规审计要求（征求意见稿）》有何亮点？

（一）突出个人信息保护合规审计的“监督”性质

个人信息保护合规审计是一项独立的监督活动，是对个人信息处理者的个人信息处理活动是否遵守法律、行政法规的情况进行审查和评价的监督。个人信息保护合规审计的“监督”性质意味着合规审计并不等同于一般意义的风险评估、风险监测，其不是在判断企业潜在的个人信息保护合规风险，而是在监督企业开展的个人信息保护工作是否符合法律法规要求。

同时，个人信息保护合规审计与基于《个人信息保护法》合规自查（health check）亦有不同。合规自查是企业在《个人信息保护法》实施初期的自查和合规差距弥补、合规框架搭建；个人信息保护合规审计则是，在《个人信息保护法》实施多年后，个人信息保护合规审计制度即将落地时，从企业整体层面做的客观“监督”检查。

《个人信息保护合规审计要求（征求意见稿）》提出合规审计的合法性、独立性、客观性、全面性、公正性、保密性原则。其中，“独立性”、“客观性”、“全面性”、“公正性”鲜明地体现出合规审计的监督性质。

原则	具体要求
独立性	强调“审计人员”应独立于审计活动，与被审计方无利益冲突。具体体现在： 内部机构审计人员应回避自身负责的业务内容，不应直接参与被审计对象的日常业务运营、个人信息安全保护工作，且其工作不受被审计对象的约束； 外部专业机构审计人员同被审计对象及其工作人员不得存在亲属关系、利益往来、法律纠纷等可能影响其做出公正、独立审计结论的利害关系； 不应参加可能影响其独立履行审计职责的活动，不应接受任何可能影响其独立性判断的财物； 审计人员产生影响审计独立性行为的，应立即向审计组提交书面说明，审计组应暂时回避或终止其审计工作。
客观性	重点对“审计证据”提出要求，包括审计人员收集和记录的审计证据应保证其可信性，应采取科学、透明的方式获得审计证据，应保证审计证据的真实、完整、有效。具体体现在： 应保证收集和使用审计证据的可信性、真实性、有效性、完整性，应采用合法、科学、透明的方式获取审计证据； 应依据充分、客观、完整的审计证据出具审计结论，不应歪曲事实、隐瞒审计发现，不应做出有误导性或含糊的陈述； 不应参加可能影响其做出客观判断的活动，不应利用职权接受任何可能影响其做出客观判断的财物； 应主动、及时向审计组书面报告所获得的审计证据，避免影响到审计工作整体的客观评价。
全面性	强调“多渠道”收集审计证据，对审计对象进行全面、系统的审计，确保证据充分。合规审计方法包括查阅相关文件或资料，访谈与个人信息处理活动有关的人员，调查相关业务活动及所依赖的信息系统等，调取、查阅个人信息处理活动相关数据或信息等多种形式。 企业需要注重审计方法的“全面性”，不能仅通过一种或者两种审计方法就得出审计结论。例如，如果个人信息保护合规审计仅通过查阅资料就得出审计结论，没有经过访谈、调查信息系统等的方式，那么该审计很难是全面的。
公正性	要求审计发现、审计结论和审计报告应真实和准确地反映审计活动；审计人员应报告在审计过程中遇到的重大障碍，以及审计组和被审计方之间没有解决的分歧。沟通必须真实、准确、客观、及时、清楚和完整。 基于“公正性”的要求，合规审计的实施流程会包括确认审计发现阶段的沟通协商、异议解决等的程序。

（二）借鉴境外数据安全审计要求并予以细化

《个人信息保护合规审计要求（征求意见稿）》编制说明3.1条指出：《个人信息保护合规审计要求（征求意见稿）》借鉴了欧洲数据保护主管（EDPS）的数据保护审计、英国ICO数据保护审计、法国CNIL数据合规审计等规则，充分吸收现有成熟的要求和方法。

由于欧洲、英国及法国的数据合规审计规则主要是向受监管机构展示政府如何开展数据合规审计，因此其规则主要是通过指南的形式撰写，并大量使用宽泛概括的语言对官方开展的数据合规审计进行宏观描述。相较于欧洲、英国及法国方针性的数据合规审计指南，《个人信息保护合规审计要求（征求意见稿）》则主要是面向个人信息处理者或第三方专业机构，提供具体的实操规则以便利个人信息处理者内部的数据合规审计机制的构建。

据此，《个人信息保护合规审计要求（征求意见稿）》在审计原则、审计程序、审计人员的要求及应具有的相应权力、审计内容、审计方式及审计证据方面做出更加细致全面的规定。更重要的是《个人信息保护合规审计要求（征求意见稿）》在其附录中将具体的审计内容、对应的审计方法及需要参考的审计证据及证据的效力一一对应，更清晰地向审计人员展示应该如何实际开展个人信息合规审计。

个人信息保护合规审计要求对比

审计主体
中国 《个人信息保护合规审计要求（征求意见稿）》	《个人信息保护合规审计要求（征求意见稿）》第5.1.1条要求所有的个人信息处理者定期开展个人信息保护合规审计（可委托专业机构进行）。 《个人信息保护合规审计要求（征求意见稿）》第5.2条规定了对审计人员的具体的要求。
欧洲数据保护主管 《EDPS审计指南》、 《EDPS审计政策》	《EDPS审计指南》指出EDPS可以依职权或依投诉对个人信息处理者进行审计。 《EDPS审计指南》明确EDPS将根据基于风险分析程序决定年度检查计划（AIP）并根据该计划有选择性地进行审计。 《EDPS审计指南》还概括地描述了EDPS在进行风险分析程序中考虑的因素。
英国信息专员办公室 《ICO审计指南》	《ICO审计指南》指出ICO有权进行强制性数据保护审计或与个人信息处理者在协商一致的情况下（ICO审计的主要形式）开展个人信息处理活动的审计。 ICO审计活动根据风险评估、适度和有针对性原则进行，且《ICO审计指南》详细阐述了ICO风险分析的考量因素。
法国国家信息自由委员会 《控制章程》、 《认证审核程序标准》	CNIL的《认证审核程序标准》对个人信息处理者如何进行内部审计做出详细规定并明确了审计人员的资质要求。 符合《认证审核程序标准》要求的主体可以向CNIL申请隐私封条（Privacy Seal）。 《控制章程》指出CNIL可以依职权对个人信息处理者采取审计。 《控制章程》明确CNIL主要根据其年度优先控制主题、投诉和申诉、视频监控系统以及封闭式监控程序、正式通知和制裁等决定是否进行审计。

审计形式
中国 《个人信息保护合规审计要求（征求意见稿）》	现场和非现场审计相结合
欧洲数据保护主管 《EDPS审计指南》、 《EDPS审计政策》	现场和非现场审计相结合
英国信息专员办公室 《ICO审计指南》	现场和非现场审计相结合
法国国家信息自由委员会 《控制章程》、 《认证审核程序标准》	《控制章程》明确CNIL可以通过以下四种方式进行审计： （1）现场检查； （2）邀请代表面谈； （3）对可公开获取的数据进行在线检查；或 （4）提交调查问卷。

审计主体与开展审计有关的权力
中国 《个人信息保护合规审计要求（征求意见稿）》	《个人信息保护合规审计要求（征求意见稿）》第5.1.4条规定，审计主体应具有如下权限： （1）要求提供或者协助查阅相关文件或资料； （2）进入个人信息处理活动相关场所； （3）观察场所内发生的个人信息处理活动； （4）调查相关业务活动及所依赖的信息系统； （5）检查、测试个人信息处理活动相关设备设施； （6）调取、查阅个人信息处理活动相关数据或信息； （7）访谈与个人信息处理活动有关的人员； （8）就相关问题进行调查、质询和取证； （9）其他开展合规审计工作所必需的权限。
欧洲数据保护主管 《EDPS审计指南》、 《EDPS审计政策》	《EDPS审计指南》明确EDPS有如下权力： （1）从某一机构获取所有个人资料及其查询所需的任何其他信息； （2）在有合理理由推定任何机构正在开展法规所涵盖的活动时，进入该机构的场所。
英国信息专员办公室 《ICO审计指南》	《ICO审计指南》未明确阐述ICO与开展审计有关的权力，但提及： （1）ICO有开展强制数据保护审计的权力； （2）ICO有权查阅重要文件、记录和系统； （3）审计小组提出的问题应得到全面准确的答复。
法国国家信息自由委员会 《控制章程》、 《认证审核程序标准》	《控制章程》明确CNIL的审计人员有如下权力： （1）有权进入用于执行个人数据处理的所有场所、房舍、围墙、装置或机构； （2）有权要求提供完成审计任务所需的所有文件，但受《数据保护法》所列职业秘密保护的信息除外，并有权收集完成审计任务所需的所有相关信息和理由。

审查原则
中国 《个人信息保护合规审计要求（征求意见稿）》	《个人信息保护合规审计要求（征求意见稿）》第4条规定了具体的个人信息保护合规审计原则，即合法性、独立性、客观性、全面性、公正性、保密性原则。
欧洲数据保护主管 《EDPS审计指南》、 《EDPS审计政策》	《EDPS审计指南》未明确规定审计原则，但其具体的规定体现了合法性（比如，阐明了审查权力来源、审查范围以及审查过程的记录，公正性（比如，审查结果可以通过司法程序进行申诉），保密性（比如，审查人员严格遵守保密措施），独立性（比如，明确EDPS是独立成立的监管部门）以全面性（比如启动审查需要综合考虑不同因素）等原则。
英国信息专员办公室 《ICO审计指南》	《ICO审计指南》未明确规定审计原则，但是其具体规定也体现了合法性（比如，规定了ICO的审查权力来源以及审查步骤）、客观性（比如，列明被审查的范围）、全面性（比如，风险评估需要综合考虑多种材料来源）、独立性（比如，明确ICO是确保数据规则得到遵守的独立保障）、公正性（比如，审查报告主要结论的公开）及保密性（比如，审查人员有严格保密要求）等原则。
法国国家信息自由委员会 《控制章程》、 《认证审核程序标准》	《认证审核程序标准》要求个人信息处理者的审计程序中应要求其审计人员“遵守道德原则、公正地呈现结果、遵守职业道德、保持独立性和采用系统方法”。

审查主要流程
中国 《个人信息保护合规审计要求（征求意见稿）》	《个人信息保护合规审计要求（征求意见稿）》附录A详细阐述了审计流程，概括如下： （1）审计准备：个人或委托机构组建审计组；审计组开展审前调查；审计人员应根据审计对象，选择合适的审计方式；审计人员应结合审计对象和审计方式编制审计方案； （2）审计实施：正式实施审计前应通知被审计对象负责人；审计人员应多渠道、广泛收集审计证据；审计人员应仅采信符合要求的审计证据；撰写审计底稿。其内容应完整、记录清晰、结论明确，客观地反映审计方案的编制及实施情况，以及与形成审计结论、意见和建议有关的所有重要事项。审计人员应对取得的审计证据进行评价分析，对发现的问题进行定性，并对照审计依据形成审计发现。审计人员应通过会议等机制，将审计发现及审计结论通报给个人信息处理者管理层，并进行沟通和确认； （3）审计报告：撰写审计报告前，审计人员与审计对象之间应建立异议解决机制，对审计对象提出异议的审计结论应及时进行沟通确认，并将沟通结果和审计结论归档保存。审计人员应在审计完成后撰写审计报告，并提交给组织负责人或个人信息保护负责人； （4）问题整改：审计人员应对审计中发现的不合规项进行跟踪，督促被审计方在规定期限内整改。必要时，审计人员可对整改措施的完成情况及有效性进行跟踪审计； （5）归档管理：个人信息处理者和第三方专业机构应妥善保管个人信息保护合规审计底稿、报告等档案资料。
欧洲数据保护主管 《EDPS审计指南》、 《EDPS审计政策》	《EDPS审计指南》概括地描述EDPS进行审计的流程： （1）年度审计计划：EDPS基于对个人信息处理者的风险评估决定审计计划及相应的审计手段和审计所用的资源，并事先公布审计计划，通知将被EDPS审计的主体； （2）准备阶段：EDPS要求个人信息处理者或者其数据安全负责人提供审查所需信息及材料； （3）现场审计：被审查机构工作人员和管理人员向EDPS的审计人员提供审计所要求的信息。如需要，EDPS审计人员会进行局部的现场搜查； （4）记录程序和事实：EDPS将审计过程中的会议、面谈、审计方法和收集的证据予以记录； （5）审计报告：EDPS在审计后的合理时间内向被审计主体提供适当的反馈； （6）检查后续行动：EDPS对被审查主体是否遵守EDPS推荐的改进意见进行持续监控并在必要时行使其基于 Regulation 2018/1725第58条以及Regulation 2016/794第43条第（3）项下的权力。
英国信息专员办公室 《ICO审计指南》	根据《ICO审计指南》，ICO审计流程概括如下： （1）审计计划和风险评估：ICO对审计活动采取了基于风险、适度和有针对性的方法，对个人自由和权利的潜在影响或风险可能性对个人信息处理者的风险进行评估，制定审计计划； （2）介绍性会议或电话会议：一旦审核得到确认，ICO将安排一次介绍性会议或电话会议，讨论审核流程。在介绍性电话会议上，将与被审计主体协商商定审核范围；审核范围将考虑当前已知的任何风险、一般数据保护问题，以及任何组织特定的数据保护政策和程序问题； （3）文件审查：在审计之前，ICO将要求被审计组织提供与商定范围相关的必要政策和程序。这些文件将用于指导审计工作，并在预定审计日期之前在 ICO 办公室进行审查； （4）审计：ICO可以利用现场工作和远程技术（在适合或有必要进行虚拟审计的情况下进行访谈）。在审核期间，审计团队将主要与商定范围内的关键员工或主题专家进行个别访谈，以了解程序和政策在实践中是如何运作的，评估其运作效果。除了这些访谈之外，ICO将进行潜在的数据分析，审查关键绩效指标和组织内选定的个人数据处理实例，并在适当的情况下对控制措施进行测； （5）起草最终审计报告并公开：报告草案通常会在预定审计日后的 10 个工作日内发布。被审计主体需要接受、部分接受或拒绝接受建议，并完成一份行动计划，说明如何、何时以及由谁实施建议。随后将发布最终报告并公布执行摘要； （6）后续审计：被审计组织向ICO 展示在最初审核后为落实商定建议所做的工作。ICO将特别注意确保紧急和高度优先的建议已经（或正在）得到处理。如果没有，ICO可能会考虑根据ICO的Regulatory Action Policy采取进一步行动。
法国国家信息自由委员会 《控制章程》、 《认证审核程序标准》	根据《控制章程》CNIL现场审计包括如下步骤： （1）被审查主体通常不会被提前告知要被CNIL审计，但审计任务会事先告知当地主管检察官； （2）CNIL审计人员到达审计现场后进行自我介绍，并要求与被审计组织负责人联系。在初步接触并确定了由数据控制者指定的场所负责人后，CNIL审计人员要求与能够介绍审计所涉及的处理活动的人员取得联系，并/或在适用情况下与数据保护官（DPO）取得联系。在整个审计任务期间，场所负责人必须随时陪同审计人员； （3）CNIL审计人员向场所负责人告知审计任务的合法依据以及场所负责人的相应权利； （4）CNIL审计人员进行访谈以收集有关被审计组织和所实施流程的信息（活动、组织的法律结构、运营、流程、信息系统架构等）； （5）CNIL审计人员观察和收集证据，以评估所进行的数据处理是否符合法律和GDPR的规定； （6）在观察结束后，CNIL审计人员起草一份报告。该报告如实记录了向审计团通报的所有信息以及代表团提出的意见。报告还具体说明与代表团交谈过的个人的身份和作用。报告还可提及在规定时限内提供补充文件（合同、数据库摘录等）的要求。报告需要明确规定补充文件必须以确保安全和保密的方式送交 CNIL。CNIL拥有自己的安全文件存放平台，必要时可提供给该组织用于传输。会议纪要的附件中包含了审计任务期间收集的文件清单； （7）审计涉及的记录须经场所负责人和CNIL审计人员审核和签字。场所负责人或组织代表可在为此目的提供的空白处提出书面意见。审计结束后，将向其亲自递交一份会议记录副本； （8）CNIL可能会开展进一步的核查或检查，以确保被审计组织遵守数据合规要求。

审计证据
中国 《个人信息保护合规审计要求（征求意见稿）》	《个人信息保护合规审计要求（征求意见稿）》附录B对审计证据的类型，证据类型的举例以及不同类型的证据的有效性要求均做出详细规定。 主要的证据类包括：管理文件、协议文件、工作档案、网络日志、资质证明、检查记录、访谈笔录、案例材料、专家证言以及测试报告。
欧洲数据保护主管 《EDPS审计指南》、 《EDPS审计政策》	《EDPS审计指南》未明确EDPS在审计时可以收集的具体证据类型，仅概括的指出EDPS有权收集任何与其数据处理操作有关的文件、电子档案、记录或其他信息且不论这些材料的媒介为何。另外，EDPS审计过程中收集的会议及访谈记录也是其撰写报告的依据。
英国信息专员办公室 《ICO审计指南》	《ICO审计指南》仅概括地指出ICO可以要求个人信息处理者提供如下文件材料以供ICO进行文件审查： （1）数据保护政策文件； （2）工作人员处理敏感数据的操作指南或手册； （3）数据保护培训模块； （4）风险登记、信息资产登记册; （5）信息治理结构、处理活动记录等。 另外，ICO在审计过程中收集的访谈记录以及查阅的关键文件、记录和系统均是其撰写报告的依据。
法国国家信息自由委员会 《控制章程》、 《认证审核程序标准》	《认证审核程序标准》仅概括指出其在考虑个人信息处理者内部审计是否合规时，会考虑以下证据材料： （1）内部审计标准的相关摘录； （2）所用问卷或访谈情景的示例； （3）方法或程序说明； （4）有助于决策的软件或任何其他计算机化专家系统的说明； （5）说明信息技术或组织检查的截图； （6）审计人员在应用审计程序时可利用的任何其他记录要素 《控制章程》未明确CNIL在进行审计时依据的证据材料，仅笼统地指出CNIL可以根据在审计过程中收集的访谈，线上数据或CNIL要求被审计组织提供的文件材料进行审计。

审计内容
中国 《个人信息保护合规审计要求（征求意见稿）》	《个人信息保护合规审计要求（征求意见稿）》附录C详细描述了个人信息保护合规审计内容并根据不同内容给出相应的审计方法及审计的具体证据。
欧洲数据保护主管 《EDPS审计指南》、 《EDPS审计政策》	《EDPS审计政策》仅概括地指出EDPS数据审计是为了确保欧盟主体遵守欧洲议会和理事会2018年10月23日关于在欧盟机构、团体、办事处和机构处理个人数据方面保护自然人以及关于此类数据自由流动的第(EU)2018/172号条例以及欧洲议会和欧盟理事会 2016年5月11日关于欧洲联盟执法合作局（欧洲刑警组织）的第2016/794号条例。
英国信息专员办公室 《ICO审计指南》	《ICO审计政策》仅宽泛地表明ICO审计是使其能够评估任何组织对个人数据的处理是否遵循良好做法。审计通常会评估组织的程序、系统、记录和活动，以便： （1）确保制定了适当的政策和程序； （2）核实这些政策和程序是否得到遵守； （3）测试现有控制措施是否充分； （4）发现违反或可能违反合规性的行为；以及 （5）对控制、政策和程序提出任何必要的修改建议。
法国国家信息自由委员会 《控制章程》、 《认证审核程序标准》	《控制章程》指出CNIL审计旨在审查组织对数据的处理是否符合《数据保护法》和《GDPR》，包括： （1）确保所实施的处理不会侵犯个人的权利和自由； （2）确保组织遵守问责制原则，包括建立登记制度以列出所进行的处理操作，并在必要时进行数据保护影响评估。 在审计过程中，CNIL特别关注以下几点： （1）处理个人数据的目的及其法律依据； （2）所收集数据的性质； （3）通知相关个人的方法，尤其是有关其权利的通知； （4）个人数据的保存期限和更新； （5）经处理的个人数据的保留期限和更新； （6）个人资料的接收者； （7）为保护个人数据安全而采取的措施； （8）个人数据的转移（如适用）。

对审计提出异议的方式
中国 《个人信息保护合规审计要求（征求意见稿）》	《个人信息保护合规审计要求（征求意见稿）》附录A4.1指出撰写审计报告前，审计人员与审计对象之间应建立异议解决机制，对审计对象提出异议的审计结论应及时进行沟通确认，并将沟通结果和审计结论归档保存。
欧洲数据保护主管 《EDPS审计指南》、 《EDPS审计政策》	《EDPS审计指南》指出被审计人可根据第 2018/1725号条例第 64(2)条和/或第2016/794号条例第48条的规定，向卢森堡欧盟法院提起针对与审计有关的任何EDPS决定的诉讼。
英国信息专员办公室 《ICO审计指南》	《ICO审计政策》未写明被审计人对审计决定或报告提出异议的方式，但是被审计人可以部分拒绝接受ICO提出的审计意见。
法国国家信息自由委员会 《控制章程》、 《认证审核程序标准》	《控制章程》仅明确被审计人不能拒绝CNIL的审计，其并未明确审计人是否可以对审计结果提出异议。

（三）问题导向

《个人信息保护合规审计要求（征求意见稿）》作为我国首部个人信息保护合规审计的国家标准，以问题为导向，旨在填补个人信息保护合规审计的空白。个人信息处理者在开展个人信息保护合规审计前，一般都会提出类似的问题：个人信息保护合规审计由谁来做？具体实施流程如何？采取何种审计方法？如何撰写审计报告？《个人信息保护合规审计要求（征求意见稿）》对上述实践中可能遇到的问题均进行了回应：正文提出了个人信息保护合规审计的原则、实施要求；附录A明确了个人信息保护合规审计流程；附录B对审计证据的类型、审计证据有效性提出要求；附录C逐一列明个人信息合规审计的内容及方法；附录D和附录E分别给出合规审计的底稿模板及报告模板。上述做法为企业开展个人信息保护合规审计提供了有效的指引。

二、如何有效实施个人信息保护合规审计？

（一）审计机构

《个人信息保护合规审计要求（征求意见稿）》要求个人信息处理者董事会（审计委员会）、个人信息保护负责人或者主要负责人承担审计实施管理的最终责任。董事会（审计委员会）的引入是参考了原中国银监会发布的《商业银行内部审计指引》，在该指引项下，董事会应下设审计委员会，审计委员会对董事会负责，董事会对内部审计的独立性和有效性承担最终责任。

在具体的审计组建立上，需要综合考虑组织规模，业务种类，个人信息数量、种类、敏感程度，涉及系统的复杂程度等因素。如果组织内部有专职个人信息保护合规审计团队的，应从审计团队中选派相关审计人员；组织内未设置专职个人信息保护合规审计团队的，分别从内审团队、安全团队、法务团队等具有审计或个人信息保护相关专业能力的团队中选派人员（跨部门建立的合规审计团队也可以体现独立性）；也可以委托第三方专业机构组建审计组，进行个人信息保护合规审计。

（二）审计流程

《个人信息保护合规审计要求（征求意见稿）》的审计流程包含审计计划、审计准备、审计实施、审计报告、问题整改、归档管理等的阶段。

在上述个人信息保护合规审计的实施流程中，需要注意的是：

审计计划不等同于审计方案。审计计划是一个更宏观层面的审计工作计划，确定审计的目标和范围，确定审计的依据和重点；审计方案更为具体，是审计人员在实施审计时需要执行的一系列既定步骤，对每一步审计行动做出具体规定，以确保审计目标的实现。

收集审计证据是审计实施的重点环节。审计底稿撰写、审计发现、审计报告都依赖于收集的审计证据，“审计证据”是个人信息保护合规审计的重中之重。审计人员应多渠道、广泛收集审计证据，降低审计风险，确保审计质量。

问题整改需在审计报告完成后才可进行，不能一边通过审计实施发现问题，一边进行问题整改。如果一边通过审计实施发现问题，一边进行问题整改，得出符合法律法规要求的结论，并记录在审计报告中，将有违个人信息保护合规审计的监督性质。

（三）审计证据

《个人信息保护合规审计要求（征求意见稿）》提出审计证据有效性的要求，这不仅关系到合规审计是否能够有效实施，也在一定程度上促进企业践行合规留痕。实践中，如果企业制定了个人信息保护相关制度，但是将其束之高阁，未经任何批准程序生效实施，那么该等制度将不会在合规审计中获得认可。

证据类型	证据材料举例	有效性要求
管理文件	组织章程、产品或服务合格认定制度、合规管理制度、保密制度、企业标准等	经过了正当的起草或批准程序并生效实施
协议文件	隐私协议、用户服务协议、雇员合同、数据提供协议、委托处理协议、个人信息出境合同等	获得了协议各方的有效同意并实际生效和执行
工作档案	职工人员表、系统开发档案、系统升级档案、工作会议档案、对外交流档案、个人信息处理活动记录、培训记录、应急演练记录、申请记录、审批记录、安全管控卡点记录等	能够反映真实情况的纸质或者电子记录
网络日志	访问日志、存储日志、传输日志、删除日志等	未被篡改的原始记录
资质证明	网络安全等级保护、个人信息保护认证、数据安全管理认证等	开展了有效的审查并出具了正式有效的证明，证明出具单位具有相应的证明能力且能够独立承担责任
检查记录	机房检查记录、产品或服务实际运行检查记录、安全保护措施有效性检查记录等	两名以上个人信息保护合规审计人员参加检查并在检查记录签字
访谈笔录	领导访谈笔录、一般雇员访谈记录、用户访谈记录等	两名以上个人信息保护合规审计人员参加访谈并签字，有被访谈人员签字的记录、访谈视频录制文件、审计人员记录的拒绝签字说明中的一项
案例材料	投诉举报案例、司法裁判案例、行政处罚案例、新闻舆论案例等	与被审计者有关，无证据可以证伪
专家证言	专家论证报告等	参与论证专家具备相应的专业知识，论证过程正当，论证意见具有说服力
测试报告	应用系统个人信息处理检测报告、漏洞检测报告、渗透测试报告等	由具备技术能力的机构通过真实环境或者近似真实的测试环境开展测试，测试机构加盖公章并对内容真实性做出负责任的承诺

审计证据是个人信息保护合规审计实施流程的难点，本次国家标准给出了较为详细的证据示例和有效性要求。但是，具体工作中，仍存在更为细节的审计证据的选择和留存问题，需要根据企业具体情况去做判断。

三、结 语

《个人信息保护合规审计要求（征求意见稿）》的出台，将为企业开展个人信息保护合规审计提供有效指引。由于个人信息保护合规审计仍是较为前沿且不断发展的领域，《个人信息保护合规审计要求（征求意见稿）》也尚未定稿，相信个人信息保护合规审计制度仍有会新的变化。我们将关注个人信息保护合规审计的立法进展及行业实践，为企业开展个人信息保护合规审计提供有益指引。

本文作者：世辉律师事务所 王新锐、卢璟、王嘉瑛

在此声明以上观点和内容，仅代表原作者和出处，与数治网DTZed 无关，如有出错或侵害到相关合法权益，请通过电邮与我们联系：cs@dtzed.com。

在文末扫码关注官方微信公众号“idtzed”，发送“入”直通相关数治x行业共建群、AIGC+X 成长营，@老邪 每周免费领取法规、标准、图谱等工具包。

欢迎先注册，登录后即可下载检索个人信息保护等相关标准、白皮书及报告。更多高质量纯净资料下载，在文末扫码关注官方微信公众号“idtzed”，进入公众号菜单“治库”。