合规强监管｜个人信息保护审计认证人员管理要求

开展个人信息保护合规审计服务，审计人员的专业能力与职业操守是保障审计工作独立、客观、规范的关键。为规范相关认证活动，加强人员管理，明确从业准则，以确保审计服务质量，切实维护个人信息权益。

审计原则

个人信息处理者和专业机构开展个人信息保护合规审计，应遵循以下原则。

a)合法性原则:合规审计活动应遵守所有适用的法律法规要求，审计依据、审计程序、审计结论、整改建议等均需具备法律合规性，确保专业机构和审计人员行为不违反法律法规;

b)独立性原则:专业机构和审计人员应独立于被审计对象，避免利益关系和外部压力干扰，不受其他部门和人员影响。个人信息处理者内部机构开展的合规审计，审计人员应独立于具体审计对象的个人信息处理活动;

c)客观性原则:收集和记录的审计证据应保证其可信性，应采取科学、透明的方式获得审计证据，应保证审计证据的真实、完整、有效;

d)公正性原则:专业机构和审计人员应诚信正直、公正客观地作出合规审计职业判断，审计结论应基于充分、可靠的证据，避免个人利益、主观偏见、外界压力或先入为主的判断，确保审计报告真实、准确、可靠;

e)专业性原则:专业机构和审计人员应具备开展个人信息保护合规审计的能力，拥有执行合规审计所需的专业知识、技能及对相关法规的深刻理解;

f)保密性原则:专业机构和审计人员对在个人信息保护合规审计活动中获得的个人信息、商业秘密、保密商务信息等应予以保密，不应泄露或者非法向他人提供。

人员管理要求

按照人员能力和经验不同，个人信息保护合规审计人员可分为高级、中级、初级三个级别。个人信息处理者自行开展合规审计的，其审计人员也应具备个人信息保护合规审计人员能力，满足以下要求。

a)处理超过1000万人个人信息的个人信息处理者开展个人信息保护合规审计，应至少具备10名个人信息保护合规审计人员，其中具备高级个人信息保护合规审计人员能力的人员不少于1人、具备中级个人信息保护合规审计人员能力的人员不少于3人；

b)处理超过100万、不超过1000万人个人信息的个人信息处理者开展个人信息保护合规审计，应至少具备5名个人信息保护合规审计人员，其中具备中级以上个人信息保护合规审计人员能力的人员不少于2人。

频率要求

个人信息处理者应由个人信息处理者内部机构或者委托专业机构定期对其处理个人信息遵守法律、行政法规的情况进行合规审计，结合个人信息合规风险和审计对象重要性设定合理的合规审计频率，满足以下要求。

a)处理超过1000万人个人信息的个人信息处理者应每两年至少开展一次个人信息保护合规审计;

b)处理超过100万、不超过1000万人个人信息的个人信息处理者应根据个人信息合规风险、处理个人信息数量、业务规模等合理确定合规审计频率，每三年或四年至少开展一次个人信息保护合规审计;

C)处理不超过100万人个人信息的个人信息处理者应根据个人信息合规风险、处理个人信息数量、业务规模等合理确定合规审计频率，宜每五年至少开展一次个人信息保护合规审计。

龙域认证凭借多年经验与专业服务，帮众多企业攻克评估申报难题，获高度认可。龙域认证团队始终以客户需求为导向，提供高效解决方案。期待为您服务！