在數字化浪潮席卷全球的今天，個人信息作(zuò)為(wèi)數字經濟的核心要素之一，其安(ān)全性與隐私保護日益成為(wèi)社會各界關注的焦點。為(wèi)了進一步加強個人信息保護，構建安(ān)全可(kě)信的數字環境，全國(guó)網絡安(ān)全标準化技(jì )術委員會秘書處近期發布了《數據安(ān)全技(jì )術 個人信息保護合規審計要求》（征求意見稿），面向全社會公(gōng)開征求意見。這一舉措不僅标志(zhì)着我國(guó)在個人信息保護合規審計領域邁出了堅實的一步，也為(wèi)個人信息處理(lǐ)者及相關機構提供了明确的行動指南。

一、标準規定個人信息保護合規審計流程

個人信息保護合規審計，是指對個人信息處理(lǐ)者的個人信息處理(lǐ)活動是否遵守法律、行政法規的情況進行審查和評價的監督活動。作(zuò)為(wèi)個人信息保護體(tǐ)系中(zhōng)的重要一環，其重要性不言而喻。它不僅是對個人信息處理(lǐ)者法律遵從性的直接檢驗，也是推動個人信息處理(lǐ)活動規範化、透明化的重要手段。

本标準規定了依據《個人信息保護法》開展個人信息保護合規審計的審計原則、審計總體(tǐ)要求。适用(yòng)于個人信息處理(lǐ)者内部機構或委托專業機構開展的個人信息保護合規審計工(gōng)作(zuò)。個人信息處理(lǐ)者按照履行個人信息保護職責的部門要求委托專業機構對其個人信息處理(lǐ)活動進行合規審計時可(kě)作(zuò)為(wèi)參考。個人信息保護合規審計流程包含審計準備、審計實施、審計報告、問題整改、歸檔管理(lǐ)5個階段。

二、政策推動個人信息安(ān)全發展

自《個人信息保護法》于2021年實施以來，國(guó)家層面的監管力度顯著增強，不僅提升了社會各界的安(ān)全意識，更促進了具(jù)體(tǐ)防護措施的落地生根。

《個人信息保護法》第54條規定，個人信息處理(lǐ)者應當定期對其處理(lǐ)個人信息遵守法律、行政法規的情況進行合規審計；第64條規定，履行個人信息保護職責的部門在履行職責中(zhōng)，發現個人信息處理(lǐ)活動存在較大風險或者發生個人信息安(ān)全事件的，可(kě)以按照規定的權限和程序對該個人信息處理(lǐ)者的法定代表人或者主要負責人進行約談，或者要求個人信息處理(lǐ)者委托專業機構對其個人信息處理(lǐ)活動進行合規審計。

2023年8月3日，國(guó)家互聯網信息辦(bàn)公(gōng)室發布了《個人信息保護合規審計管理(lǐ)辦(bàn)法（征求意見稿）》及配套的《個人信息保護合規審計參考要點》。《辦(bàn)法》首次從部門規範性文(wén)件層面明确提出了個人信息處理(lǐ)者的審計頻次要求及相關審計規則，使得合規審計的執行更具(jù)有(yǒu)實操性，也提出了更為(wèi)嚴格和詳細的要求。《參考要點》則提供了企業開展審計的合規要點。

《數據安(ān)全技(jì )術 個人信息保護合規審計要求》（征求意見稿）直接關聯《個人信息保護法》及《個人信息保護合規審計管理(lǐ)辦(bàn)法（征求意見稿）》的規定，強調了對個人信息處理(lǐ)活動合法性的監督與評估。這意味着，任何組織都必須建立完善的審計機制，确保其處理(lǐ)個人信息的行為(wèi)符合國(guó)家法律法規要求，維護公(gōng)民(mín)的隐私權益。

三、個人信息安(ān)全具(jù)有(yǒu)多(duō)維挑戰

在數據成為(wèi)經濟社會發展重要資源的當下，對個人信息的保護已成為(wèi)行業剛需和社會共識。個人信息保護的道路上，敏感信息洩露、合規性挑戰、外部威脅等因素也同樣不容忽視。

1.個人信息安(ān)全合規挑戰

我國(guó)已基本形成以《個人信息保護法》《網絡安(ān)全法》《數據安(ān)全法》《密碼法》等法律為(wèi)核心，行政法規、部門規章為(wèi)依托，地方性法規、地方規章為(wèi)抓手，國(guó)家标準為(wèi)指南的網絡和個人信息安(ān)全法規保障體(tǐ)系，必須确保個人信息處理(lǐ)活動符合法律法規要求，否則将面臨法律制裁和信譽損失。

2.個人信息安(ān)全保障不全面

許多(duō)系統缺乏先進的安(ān)全技(jì )術和工(gōng)具(jù)，如數據加密、入侵檢測系統、數據洩露防護等，難以有(yǒu)效防止外部攻擊和内部洩露。發生個人信息數據洩露時，缺乏快速響應和有(yǒu)效應對的機制。

3.新(xīn)技(jì )術應用(yòng)帶來衆多(duō)威脅

雖然人工(gōng)智能(néng)與大數據等衆多(duō)技(jì )術能(néng)提升效率和服務(wù)個性化，但是也帶來了衆多(duō)威脅，如黑客攻擊、信息洩露、惡意軟件等

四、構建安(ān)全防護體(tǐ)系保護個人信息安(ān)全

面對複雜的個人信息保護形勢，道普信息風險管控專家提出，除了合規審計成為(wèi)了确保個人信息安(ān)全不可(kě)或缺的一環，構建全面的構建動态安(ān)全防護體(tǐ)系也必不可(kě)少。

多(duō)規管理(lǐ)融合加強安(ān)全合規

基于網絡安(ān)全責任制、等級保護、關基保護、密碼應用(yòng)、數據安(ān)全、個人信息保護等監管要求，開展等保、密碼、關保等多(duō)規測評，針對風險提出改進建議，幫助完成合規整改。

健全數據安(ān)全治理(lǐ)體(tǐ)系保障數據安(ān)全

通過數據治理(lǐ)體(tǐ)系建設，不斷開發創新(xīn)的數據服務(wù)，融合目标、流程、方法、工(gōng)具(jù)，建立覆蓋數據全生命周期的"數據管理(lǐ)機制、數據管理(lǐ)平台、數據開放平台“框架，實現數據的資産(chǎn)化、可(kě)視化、服務(wù)化，保障數據的核心價值。

強化數據安(ān)全風險評估，對數據全生命周期進行風險識别和評估，提升數據安(ān)全保障能(néng)力、風險發現能(néng)力，确保數據安(ān)全風險可(kě)控。

構建安(ān)全防護體(tǐ)系保護信息安(ān)全

從運營管理(lǐ)、運營運行、運行技(jì )術三方面，構建具(jù)備一體(tǐ)化的分(fēn)析識别、安(ān)全防護、監測評估、監測預警、主動防禦、事件處置功能(néng)的個人信息安(ān)全保障體(tǐ)系，形成終端防護、邊界隔離與威脅監測的安(ān)全方案。

《數據安(ān)全技(jì )術 個人信息保護合規審計要求》（征求意見稿）的發布，不僅是一份技(jì )術指南，更是個人信息處理(lǐ)者、監管機構、第三方專業機構共同遵循的行動綱領。它不僅強化了法定義務(wù)，也為(wèi)企業提供了自查自糾的有(yǒu)力工(gōng)具(jù)，為(wèi)監管部門提供了更具(jù)體(tǐ)的監督标準。道普信息風險管控專家強調，通過自查或借助專業的第三方安(ān)全評估機構等，來滿足逐漸細化的監管要求，有(yǒu)效管理(lǐ)個人信息安(ān)全風險，完善組織的合規管理(lǐ)和風險管理(lǐ)工(gōng)作(zuò)機制，确保個人信息安(ān)全性，向着構建更加安(ān)全、規範、有(yǒu)價值的數字化社會邁進。