2023年8月3日，国家网信办发布《个人信息保护合规审计管理办法（征求意见稿）》（下称“管理办法”），这在个人信息密集的行业与企业中引起极大关注。业内企业除普遍关注管理办法规定的个人信息保护合规审计（下称”个信审计”）的触发条件、审计方式、审计要求外，更关注管理办法所预示的个人信息保护监管趋势及其给企业带来的影响。

从域外个信审计立法与执法的实践，并结合我国相关监管执法的惯常做法来看，我们认为个人信息保护合规审计可能成为监管部门常态化使用的执法方式；在数据跨境传输等高风险的合规场景下，这种倾向尤为明显。

有鉴于此，企业应了解与应对管理办法的要求，及早构建个人信息保护合规审计制度。为此，我们将管理办法及其所借鉴的域外立法的重点内容进行梳理分析，以期对企业的相关工作有所助益。

由于管理办法借鉴了国外重要法域通行的做法，了解这些法域的立法与执法状况将有助于我们理解管理办法的立法意图与预测监管趋势。从某些法域的个人信息保护监管举措中可以看到，个信审计常态化的趋势已然非常明显。这种常态化的做法甚至具体措施都可能在我国日后的监管执法中被借鉴和参考。

1、欧盟

1）欧盟个信审计立法

作为欧盟最重要个人信息保护立法的GDPR（General Data Protection Regulation，《通用数据保护条例》）较早提出以数据保护审计（Data Protection Audit，即中国的个人信息保护合规审计）作为评价数据控制者与处理者是否遵循GDPR处理个人信息的手段。数据保护审计既是作为数据控制者或处理者的企业自证合规的方式，也是监管部门履职执法的方式。GDPR相关条款内容如下：

2021年12月，欧盟数据保护监管机构EDPS（European Data Protection Supervisor）发布了《EDPS审计指南》（EDPS Audit Guidelines），进一步为成员国的监管提供了数据保护审计的触发条件、基准、步骤、救济、结果公开等方面的指引。

2）欧盟个信审计行政执法与司法

A. 审计发现违反GDPR的重大处罚

根据IAPP（International Association of Privacy Professionals国际隐私专业人士协会）的全球隐私与数据保护执法数据库（Global Privacy and Data Protection Enforcement Database ），自2018年5月25日GDPR生效以来，欧盟区至少发生了六起与审计相关的重大行政执法或司法案件。以下为其中一个典型案件的举例：

2019年11月5日，柏林数据保护和信息自由专员宣布，德国房地产公司Deutsche Wohnen SE因违反GDPR被罚款1450万欧元。这笔罚款与2017年6月和2019年3月的审计有关，这些审计发现了不当的数据存储和保留。根据DPA（Data Protection Authority）的调查，一些不再需要用于商业目的的个人数据仍存储在该公司的档案中。

B. 行政执法中的常态化GDPR合规审计

早在2018年GDPR刚生效后，德国下萨克森（Lower Saxony）省及巴伐利亚（Bavaria）省即宣布开展随机的GDPR合规审计，审计以问卷方式进行。审计问卷类似中国监管执法中的企业自查清单，内容涵盖数据处理活动的合法性基础、数据主体权利、数据安全、数据泄露的通知、数据处理活动的记录、数据保护影响评估（DPIA，Data Protection Impact Assessment）等。

此后，德国联邦数据保护监管机构BfDI（Federal Commissioner for Data Protection and Freedom of Information）及多个州的DPA发起了就数据跨境传输的专项GDPR合规审计。审计仍以审计问卷方式进行，内容涵盖数据跨境传输的合法性基础、履行SCC项下合规义务的情况、数据跨境传输的安全保障措施等。企业答复、处理不当可能触发行政调查程序。

2、美国

美国仅在州立法中提出了数据保护审计的要求，审计适用范围相对欧盟而言较为狭窄且模糊。我们以美国最具影响力的州层面个人信息保护立法CCPA （California Consumer Privacy Act 《加州消费者隐私法案》，已修订为CPRA California Privacy Rights Act 《加州隐私权利法案》）为例加以说明。该法案要求“对消费者隐私或安全构成重大风险”的企业应当进行每年一次的网络安全审计，即审计的内容仅限于网络安全审计。就如何界定“对消费者隐私或安全构成重大风险”，应考虑的因素包括企业的规模及业务的复杂性、信息处理活动的性质和范围，但并无细化、可操作的标准和指引。

2、附件：《个人信息保护合规审计参考要点》