中国众多留存、处理、使用大量个人信息数据的企业和机构，未来将会面对每年至少一次个人信息保护合规审计。如无意外，阿里巴巴腾讯等主要互联网平台企业都在这一标准划定的范围以内。

　　8月3日，国家互联网信息办公室（以下简称“网信办”）就《个人信息保护合规审计管理办法（征求意见稿）》（以下简称“《办法》征求意见稿”）公开征求意见，明确提出“处理超过100万人个人信息的个人信息处理者，应当每年至少开展一次个人信息保护合规审计”。

　　个人信息处理者一般是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。中国互联网技术在各领域有广泛成熟应用，平台公司和大量非互联网企业都接触、留存JN江南体育、使用个人信息，它们是“个人信息处理者”的重要组成部分之一。

　　对于个人信息保护合规审计，中国在2021年已经做出顶层设计。时年8月由第十三届全国人民代表大会常务委员会第三十次会议审议通过的《中华人民共和国个人信息保护法》（以下简称“《个人信息保护法》”）第五十四条已经做出规定：“个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。”

　　但是，对于合规审计周期、标准等操作层面的内容，《个人信息保护法》未有涉及。此次《办法》征求意见稿是对这项制度在技术层面的落实与细化。

　　中国人口基数巨大，移动互联网深度介入居民生活，大量企业或机构所处理的个人信息都会“轻松”超过100万人。因此，大量互联网平台公司都将符合“每年至少一次个人信息保护合规审计”。处理个人信息不足100万人的，应当每两年至少开展一次个人信息保护合规审计。

　　合规审计首先审查个人信息处理活动的合法性基础条件，如是否取得个人同意，是否为个人提供便捷的撤回同意的方式，是否对个人同意的操作进行记录等；在此基础上，全面审计对个人信息处理规则，告知义务，共同、委托处理个人信息，转移、提供个人信息等情形下的操作合规性。

　　审计内容还包括涉及处理个人信息的算法模型，包括告知义务，是否进行了事前安全评估、事前科技伦理审查等。同时JN江南体育，“是否采取了有效措施，防止自动化决策根据消费者的偏好、交易习惯等对个人在交易条件上实行不合理的差别待遇”也在合规审计范围以内。此前，多家互联网平台公司多有“利用用户消费习惯数据杀熟”的情况，引起社会广泛关注。

　　值得注意的是，《办法》征求意见稿使用了“至少一次”的表述。这是因为除年度例行审计外，“个人信息保护职责的部门在履行职责中，发现个人信息处理活动存在较大风险或者发生个人信息安全事件的，可以要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计”。这意味着根据监管部门要求，可对企业或机构专门进行合规审计。

　　中国目前在企业财务领域推行审计制度，企业财务状况以年度单位进行审计，在公司上市、合并重组、融资等重要经营活动中，审计都是必要环节。出具审计报告的机构要对审计结果承担相关法律责任。

　　《办法》征求意见稿提出，在自行开展个人信息保护合规审计时，企业或机构可根据实际情况，由本组织内部机构或者委托专业机构按照相关法律法规开展工作。目前，中国境内部分会计师事务所、律师事务所提供涉数据安全合法合规咨询服务。

　　据了解，网信办将会同公安部门，建立个人信息保护合规审计专业机构推荐目录，动态调整个人信息保护合规审计专业机构推荐目录。鼓励相关企业或机构优先选择推荐目录中的专业机构开展个人信息保护合规审计活动。

　　未来将开展信息、数据合规审计工作的领域，不仅涉及个人信息保护。2021年网信办就《网络数据安全管理条例（征求意见稿）》征求意见，其中也明确提出，数据处理者应当委托数据安全审计专业机构定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。

　　同时，大型互联网平台运营者还被要求委托第三方以年度为单位，对数据安全、平台规则、自身承诺执行情况、个人信息保护情况、数据开发利用情况等进行年度审计，并披露审计结果。江南综合体育