2023年8月3日,国家网信办发布了《个人信息保护合规审计管理办法(征求意见稿)》(以下简称“个人信息审计办法”),由此揭开了实务界对于个人信息保护合规审计(以下简称“个人信息审计”)的热议。个人信息审计办法草案公布近一年后,2024年7月12日,全国网络安全标准化技术委员会公布了国家标准《数据安全技术 个人信息保护合规审计要求(征求意见稿)》(以下简称“国标草案“),再一次引发了人们关于个人信息审计相关法律和标准是否即将出台的猜测。个人信息审计其实并不是新生事物,现阶段也绝非无法可依。2021年生效的《个人信息保护法》即要求企业对个人信息处理活动进行定期审计,只是因为缺乏具体的事实细则,所以大部分企业观望至今。许多想要进行个人信息审计的企业向我们“抱怨”个人信息审计相关的规定过于复杂和冗长,企业有些无所是从。事实确实如此,个人信息审计办法中包含了125条个人信息审计要点,而国标草案更是洋洋洒洒50多页,让人望而生畏。但仔细研读相关规定不难发现,无论是个人信息审计办法还是国标草案,其核心仍然是《个人信息保护法》和其他个人信息保护相关法律法规的具体要求,再辅以借鉴传统财务审计的流程和方式。抓住这一点,就抓住了个人信息审计的核心脉络。为了帮助大家更好地理解个人信息审计,本文以图表的方式,将个人信息审计中的要点问题呈现如下:
