8月3日，国家网信办发布《个人信息保护合规审计管理办法（征求意见稿）》（下称《办法》）以及配套的《个人信息保护合规审计参考要点》（下称《要点》），即日起至9月2日向社会公开征求意见。
　　《办法》是对《个人信息保护法》第五十四条“个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计”的细化。《要点》则直接列明个人信息保护法中各情形下的合规审计要点，为企业提供了实操性指引，并首次明确外部独立监督机构、个人信息保护社会责任报告的具体要求。
处理超100万人个人信息者应每年开展信息保护合规审计
　　《办法》提出，个人信息处理者定期开展个人信息保护合规审计，或者按照履行个人信息保护职责的部门要求委托专业机构对其个人信息处理活动进行合规审计，以及对个人信息保护合规审计活动的监督管理适用本办法。
　　在审计频率与审计时长方面，《办法》明确，处理超过100万人个人信息的个人信息处理者，应当每年至少开展一次个人信息保护合规审计；其他个人信息处理者应当每二年至少开展一次个人信息保护合规审计。
　　个人信息处理者按照履行个人信息保护职责部门要求委托专业机构开展个人信息保护合规审计的，应当在90个工作日内完成个人信息保护合规审计；情况复杂的，报经履行个人信息保护职责的部门批准后可适当延长。
　　同时，《办法》对专业机构的权限、资质也做出相应规定，如，执行个人信息保护合规审计的专业机构应当保持独立性和客观性，连续为同一审计对象开展个人信息保护合规审计不得超过三次。
　　国家网信部门会同公安机关等国务院有关部门每年组织开展个人信息保护合规审计专业机构评估评价，并根据评估评价情况动态调整个人信息保护合规审计专业机构推荐目录。并鼓励个人信息处理者优先选择推荐目录中的专业机构开展个人信息保护合规审计活动。
　　对外经济贸易大学数字经济与法律创新研究中心主任许可指出，《办法》的制定出台，不仅丰富了我国个人信息保护的规则与实践，这也将成为监管机构常态化监管和个人信息处理者自我规制的关键一环。
首次明确对外部独立监督机构要求
　　此次发布的《要点》，在对照《个人信息保护法》条款顺序的基础上，明确了个人信息处理活动每个环节的审计要点。
　　值得关注的是，为切实加强网络暴力信息治理力度，营造良好网络生态，近日，国家网信办发布《网络暴力信息治理规定（征求意见稿）》。《要点》则在个人信息保护法要求的基础上，将“利用已公开的个人信息从事网络暴力活动”新增为处理已公开个人信息时的违规行为。
　　《要点》首次明确对外部独立监督机构要求，提出，大型互联网平台运营者应当成立主要由外部成员组成的独立机构对个人信息保护情况进行监督。审计时，应当对独立机构的独立性、履职能力、监督作用等进行评价。
　　1、评价独立机构对个人信息保护情况进行监督的独立性，重点审查外部成员与个人信息处理者及其主要股东是否存在可能妨碍其进行独立客观判断的关系；
　　2、评价外部成员的履职能力，重点审查外部成员是否具备相应的专业知识、能力和经验，能否对个人信息处理者的个人信息保护情况进行监督、指导，发表客观公正的意见建议；
　　3、评价独立机构的监督作用，重点审查独立机构在个人信息处理者合规制度体系建设、平台规则制定、重大个人信息安全事件处置、督促企业履行社会责任等方面发挥的作用。
　　北京师范大学法学院博士生导师、中国互联网协会研究中心副主任吴沈括接受证券时报采访时表示，虽然《个人信息保护法》规定，提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，应当成立主要由外部成员组成的独立机构对个人信息保护情况进行监督。但是此前各大互联网平台对此规定的探索和执行仍存在短板。
　　公开资料显示，蚂蚁集团于2022年下半年设立个人信息保护监督委员会，腾讯、携程曾公开招募“个人信息保护外部监督员”。《要点》进一步明确了独立机构对个人信息保护情况进行监督的要求。
　　此外，《要点》首次明确个人信息保护社会责任报告内容，要求，大型互联网平台运营者应当每年发布个人信息保护社会责任报告。审计时，应当重点审查社会责任报告中个人信息保护组织架构和内部管理情况、个人信息保护能力建设情况、个人信息保护措施和成效等内容的披露情况。
　　对此，吴沈括指出，尽管《个人信息保护法》已要求，提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，应当定期发布个人信息保护社会责任报告，接受社会监督。但此前少有平台以个人信息保护为主题发布报告，《要点》首次明确了报告内容框架。
（文章来源：证券时报）