21世纪经济报说念记者王俊 冯恋阁 钟雨欣 郑雪  北京、广州报说念

8月3日，中央网信办就《个东说念主信息保护合规审计经管办法》（简称《办法》）及配套的《个东说念主信息保护合规审计参考要点》（简称《要点》）公开征求观点。

不少受访人人合计，这是监管机构常态化监管和个东说念主信息处理者自我规制的要道一环。况兼，或者灵验弥补监管资源的弥留，进展全面的社会监督的作用，是监管的灵验补充。

凭证《办法》要求，处理进步100万东说念主个东说念主信息的个东说念主信息处理者，应当每年至少开展一次个东说念主信息保护合规审计；其他个东说念主信息处理者应当每二年至少开展一次个东说念主信息保护合规审计。

也即是说企业均需如期作念个东说念主信息保护“体检”。

值得夺目标是，配发的《要点》对个东说念主信息处理的各个体式齐一一划出了审计要点，比如对个东说念主信息处理功令应要点审计：存储期限竟然定方法、到期后的处理样式以及刊出账号、忌惮甘心的门道和方法；奉告是否以权贵样式、明晰易懂的言语信得过、准确、完竣地向个东说念主奉告个东说念主信息处理功令。

利用自动化有筹划处理个东说念主信息的，要要点审计是否事先对算法模子进行安全评估，是否事先对算法模子进行科技伦理审查；处理已公开信息的，要审计是否利用已公开的个东说念主信息从事集中暴力行动等。

《办法》和《要点》征求观点稿发布，意味着《个东说念主信息保护法》中轨则的个东说念主信息处理者的审计义务将进一步走向落实，将成为法律落实的又一要紧捏手。

个保合规审计全隐蔽 

个东说念主信息保护合规审计依然成为国外通行作念法。

北京师范大学法学院博士生导师、中国互联网协会考虑中心副主任吴沈括深度参与了《办法》的制定就业，他暗意，个保合规审计办法本人是贯彻个保法的具体举措，个保法中筹商于个保合规审计的挑升轨则，是以这是法定的轨制要求。

“在实务层面，个保合规审计或者灵验弥补监管资源的弥留，进展全面的社会监督的作用，是监管的灵验补充。《要点》本人是个保合规审计开展的业务指点和中枢要求，行动一个参考性的文献，具有很强的实务指点意旨。”吴沈括说。

北京大成讼师事务所高档联合东说念主邓志松合计，接纳如期审计，或者对个东说念主信息处理者起到及时监督的作用，以幸免一次性审查所导致的后续监督缺位的情况，是常态化监管的要紧构成部分。

《办法》细化了《个东说念主信息保护法》中的自我合规评估以及强制合规评估的要求。在《个东说念主信息保护法》中，合规审计包括两种类型，一种是第54条轨则的由个东说念主信息处理者发起的自我合规评估，另一种是第64条轨则的强制合规评估。

对于自我合规评估，《办法》第四条轨则，处理进步100万东说念主个东说念主信息的个东说念主信息处理者，应当每年至少开展一次个东说念主信息保护合规审计；其他个东说念主信息处理者应当每二年至少开展一次个东说念主信息保护合规审计。

吴沈括暗意，这两种不同的审计要求将会杀青个保合规审计的全面隐蔽。“在这个过程当中，领有100万东说念主以上个东说念主信息的被审计主体需要承担更高的主体使命。往常跟着企业主动审计和监管审计职责的开展，个保合规审计将会进展越来越大的作用，使个东说念主信息保护各项要求内嵌到主体的业务经过当中，成为合规和治理体系的要紧构成部分。”

一牛体育集团资深法律参谋人甘青锋告诉21世纪经济报说念记者，从企业角度起程，会更热心定性内容，如对于“处理进步100万东说念主个东说念主信息的个东说念主信息处理者”的贯通。对于“处理”“100万东说念主”的认定，之前《集中安全审查办法》、《数据出境安全评估办法》中齐有关联轨则，那时就存在一些争议。数据处理是一个动态过程，认定“处理”以及“100万东说念主”等界说，较为腌臜。“推行中，不错参考平台用户数进行判断，但并不虞味着总共行业和场景齐是以用户数为判断基准。”她暗意。

在资深数据法讼师袁忻悦看来，推行中，触遭逢100万门槛的企业不在少数。这条功令若是干涉推行，意味着好多企业——包括大型平台、中袖珍科技企业以及许多大型传统企业等齐可能濒临一年一次的合规审计，即使数据量够不上100万东说念主的个东说念主信息，两年一度的审计也基本无法幸免。

合规审计全面隐蔽各项个东说念主信息保护义务，有着督促其他各项轨制落实的成果，个东说念主信息保护力度普及的另一面，合规老本的全面拉升也简直是势必赶走。“若是按照这一法度严格奉行，老本普及极有可能对中小企业的蓄意带来一定压力。”袁忻悦直言。

“我敕令应为中小企业提供相应豁免轨制或浅易步伐。”袁忻悦暗意，以“100万”为基准规矩不同的合规义务很可能不适用于交易推行。这么粗放的“一刀切”极有可能将过重的合规义务划到中小企业的头上，并不利于阛阓营商环境。在他看来，往常监管侧不错尝试针对中小企业裁减法度、加多豁免的例外情况，比如将业务不依赖大限制数据处理的传统企业摒除，或者将处理个东说念主信息量较多但数据类型较少且不敏锐的企业摒除，或者为顺应条件的企业提供浅易审计步伐，比如饱读动中小企业自行审计，只审计要点合规事项，或者对聚首多年无违章的企业裁减审计频次。“在功令、法度负责落地前，这些问题应该获得心疼和究诘。”

邓志松补充说念，凭证《办法》，不仅大限制数据的个东说念主信息处理者进行如期合规审计，其他个东说念主信息处理者也相通负有合规审计义务。对于大型企业来说，由于其业务复杂、触及处理个东说念主信息的场景浩荡，审计就业又需要各部门之间的协吞并合营，怎么落实一年一度的合规审计就业还需要进一步摸索；而对于中小企业来说，他们很少有挑升东说念主员或者从事此类就业，持续需要依靠交付第三方机构来完成此项要求，从而客不雅上也会加多运营老本。

从合规与老本的均衡点来看，邓志松建议对个东说念主信息处理者过甚审计频率作念进一步的细分。他合计，当今草案仅分散“处理进步100万东说念主个东说念主信息的个东说念主信息处理者”和“其他个东说念主信息处理者”有些宽疏，不错勾搭交易推行作念进一步细化，以消弱企业合规背负。

对于强制合规评估，其触发条件即是《办法》轨则的：履行个东说念主信息保护职责的部门在履行职责中，发现个东说念主信息处理行动存在较大风险或者发生个东说念主信息安全事件的，不错要求个东说念主信息处理者交付专科机构对其个东说念主信息处理行动进行合规审计。

算法模子事先审查是要点

值得夺目标是，与《办法》一同配发的《要点》，忖度31条，涵盖了个东说念主信息处理的各个体式，并划出了审计要点，此前个东说念主信息处理中备受热心的单独甘心、自动化有筹划、守门东说念主条件等进行了细化。

“《要点》是个东说念主信息保护合规审计落地的要紧参考文献，起到辅导推行操作的作用。”邓志松暗意，诚然并非轨则的正文，但在个东说念主信息保护合规审计过程中，《要点》所列内容需要赐与逐个落实，进行审查与证据。 

《个东说念主信息保护法》构建以“奉告-甘心”为中枢的个东说念主信息处理功令。但奉告的灵验性一直是推行中相比难办的问题， 诡秘计策的用户友好度普遍不高。这次《要点》要求，要点审查：个东说念主信息处理者在处理个东说念主信息前，是否以权贵样式、明晰易懂的言语信得过、准确、完竣地向个东说念主奉告个东说念主信息处理功令；奉告文本的大小、字体和心思是否便于个东说念主完竣阅读奉告事项等。

《办法》还对共同处理、交付处理、个东说念主信息回荡等情形的审查要点作念出明确。

自动化有筹划关联条件联想是《个东说念主信息保护法》的要点。这次《办法》明确，要要点审查：是否事先对算法模子进行安全评估；是否事先对算法模子进行科技伦理审查；是否接纳必要措施对算法和参数模子进行保护等。

吴沈括指出，《要点》细化了对于自动化有筹划的关联合规要求，而在落地过程中，怎么杀青敏捷、灵验、精确审计是一个卓越紧要的挑战，需要有相应的器具、东说念主力和审计方法相匹配。 

邓志松也暗意，《要点》第九条的内容实质上是对此前洒落于各轨则中筹商自动化有筹划表率要求的细化与回归。对于企业来说，要杀青这些要求，需要在时代和表率两方面齐赐与完善。

“企业需要对每个触及自动化有筹划的算法和模子赐与评估，同期还要确保这些自动化有筹划过程的合规性和安全性。而不管是轨制的修复如故各个体式的时代联想，齐会为企业加多更多时代、东说念主力、物力和财富老本。但同期，数据合规是一个恒久而必要的过程，尽管合规轨制的配置过程可能是致力于的，一朝合规轨制灵验运作起来，后来续的合规老本可能会冉冉裁减。”邓志松说。

东说念主工智能是近期备受热心的热门话题，这些轨则是否会对大模子的考虑和商用产生影响？

袁忻悦合计，自动化有计合算法审计和大模子应用在这个问题上莫得太多近似部分。自动化有计合算法早在“百模大战”前就凡俗应用于互联网平台的居品与服务中，这次单列一条要求审计，仅仅个东说念主信息保护就业鼓励的遍及动作。而针对生成式东说念主工智能时代及大模子商用，袁忻悦不合计《立法》与《要点》会带来很大影响。“若是居品脱手中触及到对用户个东说念主信息的采集，企业依据功令遍及进行合规审计即可。”

是否利用已公开的个东说念主信息从事网暴或被要点审查

《个东说念主信息保护法》五十八条创设性提倡了“守门东说念主”条件，对大型互联网平台委以卓越义务。2022年11月，南财合规科技考虑院发布“守门东说念主”个东说念主信息保护社会使命测评阐扬，测评发现被测评的18家平台合规水准普遍相比高，但仍存寂然监督机构有待落地、无数大型平台没出出具寂然的个东说念主信息保护企业社会使命阐扬等问题。

彼时，针对“守门东说念主”条件尚未有具体实施详情，这次《办法》中划出了不少要点，不错行动落实的标的。

《个东说念主信息保护法》要求大型平台应“成立主要由外部成员构成的寂然机构对个东说念主信息保护情况进行监督”。但上述测评发现，寂然机构在推行中鲜有落地。这次，《要点》对寂然机构竖立了关联的审查要点：外部成员与个东说念主信息处理者过甚主要股东是否存在可能妨碍其进行寂然客不雅判断的关系；评价外部成员的履职才能等。

袁忻悦则合计，这一条件走向落实，需要科罚的问题之一是“大型互联网平台”的界证据确。

2021年年底，阛阓监督总局《互联网平台分类分级指南（征求观点稿）》（以下简称《分类分级指南》），其中给出了基于用户限制、主营业务、经济体量、示寂才能等野心的平台分级法度。不外由于仅为征求观点稿，其遵循并不行保证，故也不行确定往常推行中是否基于这份文献提供的法度分散。

上述测评发现，无数平台穷乏寂然个东说念主信息保护企业社会使命阐扬。《要点》中指出，要点审查社会使命阐扬下列内容的潜入情况：个东说念主信息保护组织架构和里面经管情况；个东说念主应用权力的央求受理情况等。

频年来，网暴治理受到社会各界热心。《要点》第十二条也指出，个东说念主信息处理者处理已公开个东说念主信息的，应要点审查的违章行动包括“利用已公开的个东说念主信息从事集中暴力行动”。

吴沈括分析，勾搭个保法的要乞降网暴治理的关联轨则，在实质操作层面，已公开个东说念主信息的目次梳理、已公开个东说念主信息的流转旅途以及已公开个东说念主信息的投诉举报机制将是卓越要紧的一些卡点。此外，怎么敏捷监测、快速发现关联违章行动，怎么杀青对已公开个东说念主信息数据链路的管控值得要点热心。

邓志松指出，对于这类审查，一方面，不错从步伐上，对个东说念主信息处理的通盘体式进行审查，审核其个东说念主信息处理的全经过是否正当合规，是否有体式超出了法律允许的领域处理个东说念主信息。另一方面，需要进行内容识别，审查其个东说念主信息处理者是否有发布或者向他东说念主潜入类似内容。此外，还可能需要通过期代妙技构建网暴识别模子，并稽查该个东说念主信息处理者是否有关联内容的投诉信息。

此外，邓志松合计，由于集中暴力审查更多的是内容层面的审核，相较于步伐上的审查，照实更难察觉，往常可能还需通过期代妙技的扶助来杀青更完竣的筛查。