个人信息保护合规审计人员能力要求：正式稿VS.征求意见稿

探寻合规之道，共筑数据保障之堡。专注为数据安全管理者、技术专家、隐私法务、律师等专业人士打造的知识共享与交流平台。

点击 "合规社" > 点击右上角“···” > 设为星标⭐

《网络安全标准实践指南——个人信息保护合规审计专业机构服务能力要求》发布

5月26日，全国网安标委官网公布《网络安全标准实践指南——个人信息保护合规审计专业机构服务能力要求》（以下简称《专业机构服务能力要求》）。

《专业机构服务能力要求》从基本条件、管理能力、专业能力、人员能力、场所与设备资源能力五个方面规范了专业机构提供个人信息保护合规审计服务的能力要求，可用于规范专业机构个人信息保护合规审计活动。

《专业机构服务能力要求》规定合规审计人员是与专业机构签订正式劳动合同，具备相应个人信息保护合规审计能力的人员。

按照人员能力和经验不同，将个人信息保护合规审计人员分为高级、中级、初级三个等级。

▲ 《专业机构服务能力要求》

《专业机构服务能力要求》正式稿相比征求意见稿，在“人员能力”方面主要有如下调整：

▲ 《专业机构服务能力要求》中“人员能力”要求

总体来看，专业机构“人员能力”方面主要调整为：

1.取消了“资质证书”要求和“资格”表述：正式稿删除需要通过考试获得资质证书的要求。正式稿取消了“具备高级能力和资格”的表述，仅保留“具备高级能力”的要求。

2.减少了人员数量要求并取消对初级人员数量要求：正式稿从17人减少到15人，并取消了对初级人员的具体数量要求（征求意见稿要求10人具备初级或以上能力）。正式稿对人员的要求：

个人信息保护合规审计人员能力要求及评价：

《专业机构服务能力要求》附录A对个人信息保护合规审计人员能力要求作了进一步细化的规定，评价维度包括"专业知识与法规理解"、“合规审计专业能力”、“沟通与协调”、“领导与团队管理”、“报告与文档”等方面。

通过对比，附录A《个人信息保护合规审计人员能力要求》正式稿与征求意见稿存在以下差异：

征求意见稿：包含“能力要求”和“任职资格”两部分。任职资格部分明确列出了高级、中级和初级合规审计人员的学历、证书和工作经验要求。

正式稿：取消了“任职资格”部分，仅保留了“能力要求”。对高级、中级和初级合规审计人员的能力要求进行了详细描述，但不再提及学历、证书等任职资格条件，更加注重实际工作经验和项目能力。

2.内容差异

01.工作经验要求

征求意见稿：工作经验要求放在“任职资格”部分。正式稿：工作经验要求明确量化，并整合到“能力要求”部分，更加清晰和具体。

02.项目经验量化

征求意见稿：未对项目经验进行量化。正式稿：对高级和中级人员的项目经验进行了明确量化。

高级：近3年作为项目负责人完成不少于5个处理超过1000万人个人信息的个人信息处理者的个人信息保护相关审计、检查、检测、评估等项目；
中级：近3年作为项目主要成员完成不少于5个处理超过1000万人个人信息的个人信息处理者的个人信息保护相关审计、检查、检测、评估等项目，或近3年作为项目负责人完成不少于5个处理超过100万人、不超过1000万人个人信息的个人信息处理者的个人信息保护相关审计、检查、检测、评估等项目。