社会的数字化转型和智能化发展深刻改变着各行各业的运行模式，收集、处理和共享个人信息日益频繁，全球各国和地区都高度关注如何在数字化时代保护个人信息，防止数据滥用和泄露。2021年9月，我国《个人信息保护法》颁布，建立了我国个人信息保护制度框架。2023年8月3日，《个人信息保护合规审计管理办法（征求意见稿）》（以下简称《合规审计办法》）及《个人信息保护合规审计参考要点》发布，标志着我国个人信息保护制度体系进一步完善。

划定个人信息流通的保护基线

《合规审计办法》高度重视个人信息流通过程中的保护。数据的流通可以推动创新，带来商业机会，促进经济增长。但是，个人信息在流通过程中可能发生泄露、非法访问、滥用等风险，从而对个人信息主体权益产生不利影响。对此，办法明确了个人信息处理者公开、转移、与他人共同处理、委托处理等流通环节中的审计内容。这有助于个人信息处理者在个人信息流通过程中遵守法规、落实个人信息保护工作，从而促进个人信息在安全流通中释放价值。

实现个人信息跨境处理闭环管理

我国采取了基于风险的数据跨境管理制度，因此非常重视事前评估，即数据出境风险自评估和个人信息保护影响评估。这两大评估制度有助于各方提前识别数据跨境风险，采取适当措施，保障数据跨境流通安全。

个人信息保护合规审计与事前评估制度相呼应，能够帮助个人信息处理者在事后回顾个人信息跨境处理活动的风险管理和工作落实情况、分析合规差距并持续优化工作方案，从而实现个人信息跨境处理活动的闭环管理。具体而言，《合规审计办法》特别对个人信息跨境处理活动提出了三大审计要点，包括个人信息处理者是否具备个人信息跨境条件、是否了解境外法规、是否违规出境个人信息等。

推动我国个人信息保护制度的国际衔接

《合规审计办法》的出台推动了我国个人信息保护制度与国际规则的衔接。欧盟、英国等国家的个人信息保护制度都包含个人信息保护合规审计，且其制度架构与我国个人信息保护合规审计基本一致。例如，我国与欧盟的合规审计制度都包括自我审计和监督审计两种模式。这在宏观层面为我国与不同国家或地区就个人信息保护领域达成共识、建立合作机制、实现互利共赢奠定了基础。

实施建议：智能技术赋能个人信息保护合规审计

随着云计算、人工智能等技术的快速发展，数据的体量正在爆炸式增长，并且呈现出多源异构的特征，这给个人信息保护合规审计的实施带来了取证难度大和工作程序繁琐等挑战。

对此，应加强个人信息保护合规审计技术手段和智能工具的创新、研发和应用，实现对多个业务系统、终端设备数据处理活动的自动化记录检测和智能分析，实现审计流程的自动化执行，以适应技术的快速迭代发展。

结语

个人信息保护合规审计是当前数字化发展背景下，保护个人信息、保障个人主体权益的关键举措。个人信息保护合规审计能够帮助个人信息处理者全面评估其个人信息处理活动的合规性和安全性，完善数据治理机制。这不仅有利于实现技术创新与用户权益的平衡，还能促进数据产业和数字经济健康、可持续发展，从而构建可信赖的数字经济生态系统。

来源：本文来自数据信任与治理