我们在上一期文章《个人信息保护合规审计实施要点探析（一）——审计启动及专业机构选任》中主要就企业启动个人信息保护合规审计的类型、启动时间以及第三方专业机构的选任进行了介绍，本期我们将结合《信息安全技术 个人信息保护合规审计指南（草案）》（以下简称《指南草案》）中的相关内容，就企业开展合规审计的对象、方法、流程、内容以及审计结果运用进行分析和探讨，以期为企业实施合规审计提供参考和指引。

一、审计对象

在进行具有针对性的个人信息保护合规审计前，需要通过筛选和评估确定审计对象，尤其对于较大规模的集团公司而言，通过有条理地筛选评估精准定位审计对象，将有利于以更低成本更高效地推进审计。

首先，公司/专业机构可以根据需要审计的业务场景、信息种类、信息处理环节和主体类型圈定大致的审计范围，以互联网公司为例，可以针对不同的业务场景（旅游、美妆、生活、交通、即时通信、影音娱乐等）考虑审计必要性，选择对单一业务场景或多个业务场景甚至是全部业务场景进行审计。

其次，根据需要审计的信息类型，将审计信息分为一般个人信息和敏感个人信息两类，前者如一般的身份信息、上网记录、设备信息、位置信息等，而敏感个人信息则是一旦泄露可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息，如宗教信仰、特定身份、医疗健康和不满十四周岁的未成年人个人信息等。在对需审计的信息类型分类后分别对不同信息采取不同的审计标准。

其三，可以进一步根据信息处理环节、应用形态等将审计对象范围进一步限缩至最小必要范围。

此外，如果合规审计是基于个人信息保护监管部门的要求，则企业应当依照其指定的业务场景、信息类型、处理环节、应用形态等开展合规审计。

二、审计方法

在审计过程中，公司/专业机构可以综合采取多种不同的审计方法，尽量全面、准确、客观地组织收集需要审计的信息并对数据处理进行检视。简而言之，可以采用如访谈、文件检查、现场核查、日志分析、穿行测试等方法进行审计。

参考《指南草案》，合规审计中可以使用的审计方法包括：

（1）访谈：通过与访谈对象进行现场或线上访谈了解所需的信息保护政策内容、制定背景、实施情况等信息，评估相应信息风险控制制度是否有效。

（2）文件检查：通过审核纸质或电子版企业信息保护文件，包括信息保护政策、收集和处理的个人信息、应急处理情况等，评估被审计主体的个人信息保护情况。

（3）现场核查：通过派驻工作组去企业现场实地核查实际上的信息保护管理情况，包括查看物理保护措施、保护制度运行情况、备份环境、应急预案等等。

（4）日志分析：考虑到收集和处理个人信息必然会留下处理记录和日志，可以通过查看日志记录，审查是否存在违规信息保护操作或潜在的个人信息保护政策或制度风险。

（5）穿行测试：穿行测试参考了财务审计中的审查方法，通过追踪个人信息收集、存储、使用、传输、共享、销毁等处理活动全过程，分析经过所有流程和环节后的结果与设计要求的对比差异，从而确认个人信息保护制度的实际运行效果和潜在缺陷。

（6）控制性测试：通过输入模拟数据测试实际数据保护制度运行情况，确认相应信息保护目的是否达成。

 三、审计流程

审计的流程一般包括审计计划、审计准备、审计实施和审计后续工作四个阶段。

（1）在审计计划阶段：要全面评估个人信息处理者所处的内外部环境，综合考虑对于本次审计活动预期希望达成的目标和相应可提供的资源支持，结合执法趋势、监管活动、社会舆情、既往合规风险等背景进行综合评估后，决定自主进行审计或聘请第三方专业机构开展审计。

（2）在审计准备阶段，审计机构应当进行事前调查，确认审计的对象、范围和依据，识别审计的重点内容和方法，并据此制定相应的审计日程表。

（3）在审计实施阶段：审计人员可以在较为全面地收集审计证据后，采用前述的一种或多种方式依据相应法规和指导文件进行审计，就审计结果撰写审计合规报告，并针对相应的合规漏洞提出整改建议。

（4）在审计后续阶段：结合审计对象的整体合规需求，协助其进行后续合规整改，同时针对审计中发现的问题继续追踪调查，并协助审计对象健全合规审计制度，充分发挥个人信息保护合规审计的价值。

四、审计内容要点

《个人信息保护合规审计参考要点》（以下简称“《要点》”），作为《个人信息保护合规审计管理办法（征求意见稿）》的附件于2023年8月3日由国家网信办发布，其所罗列的审计内容不仅来自于《个人信息保护法》，还涉及《网络数据安全管理条例（征求意见稿）》《互联网信息服务算法推荐管理规定》《关于切实加强网络暴力治理的通知》《数据出境安全评估办法》《个人信息出境标准合同办法》《GB/T35273-2020信息安全技术个人信息安全规范》等多部法律法规及国家标准的内容。尽管《要点》尚未正式生效，但它为我们总结梳理了个人信息保护合规审计需要关注的重点内容，我们特将其总结梳理如下：

五、审计结果与运用

在完成审计后，审计机构应当编制审计报告，列明审计对象的基本情况和个人信息保护的合规情况（并在必要时进行评级），并指出潜在的合规风险，给出相应的合规建议。除审计报告外，审计机构还应对审计过程中收集的审计证据、过程性文件、其他材料进行记录存档，并保存一定期限。

对于审计得出的报告，可以应用于不同情景。就审计对象而言，可以根据审计报告更好地评估了解自身个人信息保护合规情况，并针对性地改进合规制度，且在面对监管机构时，审计对象可以提交审计报告作为合规证明和风险改进资料。就监管机构和其他组织机构而言，可以参考审计报告内容和结论作出进一步的监管决定，或引用审计报告作为其他监管/行政/司法程序中的材料，推动整体工作的顺利进行。

六、结语

信息时代，个人信息保护日益凸显其重要性，而个人信息审计则成为企业确保合规性、透明度的关键手段。通过审慎而细致的审计过程，企业得以审视和改善其个人信息管理体系，提高数据安全性，增强用户信任，最终为可持续发展奠定基石。个人信息审计不仅仅是法定责任的履行，更是企业积极响应社会对于隐私保护的呼声的表现。

特别声明

本文仅供参考，不构成律师的正式意见，不应被看作是采取任何法律行动或进行法律决策的依据。文中所述仅代表作者个人观点，并不反映作者所服务的任何机构或客户的立场。