在数字化浪潮席卷全球的今天，个人信息作为数字经济的核心要素之一，其安全性与隐私保护日益成为社会各界关注的焦点。为了进一步加强个人信息保护，构建安全可信的数字环境，全国网络安全标准化技术委员会秘书处近期发布了《数据安全技术 个人信息保护合规审计要求》（征求意见稿），面向全社会公开征求意见。这一举措不仅标志着我国在个人信息保护合规审计领域迈出了坚实的一步，也为个人信息处理者及相关机构提供了明确的行动指南。

一、标准规定个人信息保护合规审计流程

个人信息保护合规审计，是指对个人信息处理者的个人信息处理活动是否遵守法律、行政法规的情况进行审查和评价的监督活动。作为个人信息保护体系中的重要一环，其重要性不言而喻。它不仅是对个人信息处理者法律遵从性的直接检验，也是推动个人信息处理活动规范化、透明化的重要手段。

本标准规定了依据《个人信息保护法》开展个人信息保护合规审计的审计原则、审计总体要求。适用于个人信息处理者内部机构或委托专业机构开展的个人信息保护合规审计工作。个人信息处理者按照履行个人信息保护职责的部门要求委托专业机构对其个人信息处理活动进行合规审计时可作为参考。个人信息保护合规审计流程包含审计准备、审计实施、审计报告、问题整改、归档管理5个阶段。

二、政策推动个人信息安全发展

自《个人信息保护法》于2021年实施以来，国家层面的监管力度显著增强，不仅提升了社会各界的安全意识，更促进了具体防护措施的落地生根。

《个人信息保护法》第54条规定，个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计；第64条规定，履行个人信息保护职责的部门在履行职责中，发现个人信息处理活动存在较大风险或者发生个人信息安全事件的，可以按照规定的权限和程序对该个人信息处理者的法定代表人或者主要负责人进行约谈，或者要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。

2023年8月3日，国家互联网信息办公室发布了《个人信息保护合规审计管理办法（征求意见稿）》及配套的《个人信息保护合规审计参考要点》。《办法》首次从部门规范性文件层面明确提出了个人信息处理者的审计频次要求及相关审计规则，使得合规审计的执行更具有实操性，也提出了更为严格和详细的要求。《参考要点》则提供了企业开展审计的合规要点。

《数据安全技术 个人信息保护合规审计要求》（征求意见稿）直接关联《个人信息保护法》及《个人信息保护合规审计管理办法（征求意见稿）》的规定，强调了对个人信息处理活动合法性的监督与评估。这意味着，任何组织都必须建立完善的审计机制，确保其处理个人信息的行为符合国家法律法规要求，维护公民的隐私权益。

三、个人信息安全具有多维挑战

在数据成为经济社会发展重要资源的当下，对个人信息的保护已成为行业刚需和社会共识。个人信息保护的道路上，敏感信息泄露、合规性挑战、外部威胁等因素也同样不容忽视。

1.个人信息安全合规挑战

我国已基本形成以《个人信息保护法》《网络安全法》《数据安全法》《密码法》等法律为核心，行政法规、部门规章为依托，地方性法规、地方规章为抓手，国家标准为指南的网络和个人信息安全法规保障体系，必须确保个人信息处理活动符合法律法规要求，否则将面临法律制裁和信誉损失。

2.个人信息安全保障不全面

许多系统缺乏先进的安全技术和工具，如数据加密、入侵检测系统、数据泄露防护等，难以有效防止外部攻击和内部泄露。发生个人信息数据泄露时，缺乏快速响应和有效应对的机制。

3.新技术应用带来众多威胁

虽然人工智能与大数据等众多技术能提升效率和服务个性化，但是也带来了众多威胁，如黑客攻击、信息泄露、恶意软件等

四、构建安全防护体系保护个人信息安全

面对复杂的个人信息保护形势，道普信息风险管控专家提出，除了合规审计成为了确保个人信息安全不可或缺的一环，构建全面的构建动态安全防护体系也必不可少。

多规管理融合加强安全合规

基于网络安全责任制、等级保护、关基保护、密码应用、数据安全、个人信息保护等监管要求，开展等保、密码、关保等多规测评，针对风险提出改进建议，帮助完成合规整改。

健全数据安全治理体系保障数据安全

通过数据治理体系建设，不断开发创新的数据服务，融合目标、流程、方法、工具，建立覆盖数据全生命周期的"数据管理机制、数据管理平台、数据开放平台“框架，实现数据的资产化、可视化、服务化，保障数据的核心价值。

强化数据安全风险评估，对数据全生命周期进行风险识别和评估，提升数据安全保障能力、风险发现能力，确保数据安全风险可控。

构建安全防护体系保护信息安全

从运营管理、运营运行、运行技术三方面，构建具备一体化的分析识别、安全防护、监测评估、监测预警、主动防御、事件处置功能的个人信息安全保障体系，形成终端防护、边界隔离与威胁监测的安全方案。

《数据安全技术 个人信息保护合规审计要求》（征求意见稿）的发布，不仅是一份技术指南，更是个人信息处理者、监管机构、第三方专业机构共同遵循的行动纲领。它不仅强化了法定义务，也为企业提供了自查自纠的有力工具，为监管部门提供了更具体的监督标准。道普信息风险管控专家强调，通过自查或借助专业的第三方安全评估机构等，来满足逐渐细化的监管要求，有效管理个人信息安全风险，完善组织的合规管理和风险管理工作机制，确保个人信息安全性，向着构建更加安全、规范、有价值的数字化社会迈进。