《企业聚焦：个保审计解读及高效应对方案》个保审计办法正式出台！

1.1、立法解读

细化与落地：2021年出台的《个人信息保护法》（简称个保法）首次从法律层面确定了个保合规审计制度。个保法第54、64条明确规定了企业开展自主审计与监管审计的法定义务。

国际化借鉴：我国个保审计的立法也借鉴了国际上的通行做法。例如，欧盟的GDPR（通用数据保护条例）较早提出了数据保护审计作为评价数据控制者与处理者是否遵循GDPR处理个人信息的手段。我国在立法过程中也参考了这些国际经验，以更好地适应全球个人信息保护的发展趋势。

1.2、监管趋势解读

常态化监管：此次《个保审计管理办法》的出台，意味着监管部门将对企业落实个保审计义务展开实际性监督，特别是在跨境传输、大体量处理、数据交易、敏感行业等高风险的场景下，这种倾向尤为明显。

对于违反个人信息保护法律法规的个人信息处理者，监管部门将依法进行处罚，并公开处罚结果。这种严格执法的趋势有助于维护个人信息的安全和权益，促进个人信息处理活动的合规发展。

社会监督：个保审计不仅是监管部门的职责，也是社会监督的重要组成部分。通过公开个人信息保护合规审计报告和审计整改情况，接受社会监督，有助于提升个人信息处理者的合规意识和水平，同时开展个保审计也是企业构建个保合规的最后一道防线。

综上可以看出，个保审计的立法与监管趋势呈现出常态化、精细化监管等特点，同时也体现出我国个人信息保护监管日趋成熟。

1、审计团队需要具备法律审计与技术审计的能力

执行个保审计的团队需要具备个人信息保护相关的法律、技术和管理等方面的专业知识和技能。传统的律所通常不具备技术审计能力，而安全技术公司通常不具备法律审计能力。因此企业在选聘审计团队时，应特别注意审查服务团队这两方面的资质能力，否则可能导致审计工作无法顺利开展、虎头蛇尾、审计报告不被认可等。盈科全球数据合规服务中心提供的法律+技术一站式审计服务能够满足上述要求，在实践中亦获得了客户的高度认可。

2、独立性：利冲回避

个保审计应当保持独立性和客观性，审计人员不应受到企业内部利益关系的影响，以确保审计结果的公正和准确。如果选择内部审计，应该严格遵守利冲回避原则，参与业务经营的所有相关人员均不能同时作为审计人员，例如法务合规同事平时负责个保合规工作，那么原则上应回避，再例如产品开发同事应对开发的产品进行回避。如果聘请外部审计机构，应当选择具有良好声誉和专业能力的机构，并签订保密协议，确保审计过程和结果的保密性。

3、客观性：整改与审计不可同时进行

个保审计工作本质上是一项事后监督制度，对企业被审计时期的真实合规水平进行评价的手段。因此，在出具最终审计报告之前，如果边整改边审计，将使审计的过程缺乏客观性。当然，在出具审计报告后，企业即可立即着手整改工作。但值得提醒的是，对于一些正在发生、紧急且重大的风险事项，服务团队应当建议企业视情况立即整改，并在审计报告中予以记录说明。

4.多部门沟通协作：这还是一项“沟通活”

个保审计涉及企业的多个部门和业务流程，需要审计人员与企业内部各部门进行有效的沟通与协作，因此不建议单个部门独立发起审计项目，发起项目时应尽量争取分管领导的支持，以及事先协调好各部门的负责人，防止审计项目无法实际推进，导致发起人“骑虎难下”。当然，选择富有经验的审计团队可以有效克服上述难题，从外部的力量来帮助跨部门沟通协作。

5.持续改进与合规留痕

个保审计不是一次性的工作，而是一个持续的过程。企业应当根据审计结果，不断完善个人信息保护制度和措施，加强内部管理和监督，定期进行复查和评估，以适应不断变化的法律法规和技术环境。

个保审计落地后对法务合规部门的合规工作要求更高，不仅要做合规工作还要留存合规证据。例如平时业务部门咨询数据委托、共享等场景，法务合规部门经过评估（PIA）后给出了合规的意见，但通常只是通过口头或邮件答复，这很可能不符合审计对于PIA的要求，因此需要在日常工作中注意规范PIA工作的流程严谨和形式完整。

6.综合运用多种审计方式手段

传统的合规工作，过多依赖人工、表格、文件，造成效率低下、项目混乱的情况。对此，我们开发了个保审计管理工具，可以有效解决这类问题。另外，根据审计要求，还需要综合运用技术手段对相关审计证据进行有效性验证，例如穿行测试、控制性测试等手段。